Intereting Posts

Уселогин в sshd_config

Я просматривал файл sshd_config, и я нашел следующее:

#Uselogin no 

Я знаю, что он прокомментирован, но над ним нет объяснений, и когда я это сделаю, я получаю следующее:

Не используйте традиционную службу входа (1) для входа в систему. Поскольку мы используем разделение привилегий, как только пользователь регистрируется в службе входа (1), отключается.

ИЛИ

Указывает, будет ли вход (1) использоваться для интерактивных сеансов входа в систему. По умолчанию «нет». Обратите внимание, что логин (1) никогда не используется для выполнения удаленной команды. Также обратите внимание, что если это разрешено, X11Forwarding будет отключен, потому что login (1) не знает, как обрабатывать файлы cookie xauth (1). Если указано UsePrivilegeSeparation, оно будет отключено после аутентификации.

Насколько я понимаю, no мешает ssh использовать «традиционный логин», но я ничего не могу найти о «традиционном» входе в систему.

Может кто-нибудь объяснить, что он делает?

Хорошо, нам нужна некоторая история здесь, еще в те дни, когда основным способом доступа к коробке UNIX был Терминал, и последовательная линия заключалась в использовании четырех программ для входа в систему. Это были init, getty, login и shell. init начал getty и продолжал работать. getty открыл последовательный порт (и, возможно, сделал специфичные для модема вещи), а затем отобразил приглашение для входа и ждал ввода имени пользователя. Когда имя пользователя было введено, getty запускал логин с именем пользователя, и логин затем запрашивал пароль, затем делал учетную запись, а затем запускал оболочку, после чего вы могли использовать эту систему. Это все еще используется в центрах обработки данных, виртуальных машинах и многих других местах.

Затем пришел telnet. Telnet не использовал последовательный порт, поэтому все немного изменилось. init в дополнение к getty также запустит telnetd (или inetd, который начнет telnetd). telnetd получит имя пользователя, а затем запустит логин, и все будет работать практически так же, как и там.

Теперь идет безопасная оболочка. Теперь защищенная оболочка позволяет вам входить без пароля (используя ключ или, возможно, в зависимости от версии GSS), поэтому есть несколько способов сделать что-то, вы можете делать что-то точно, как telnet, и не использовать приятные функции, или вы можете позволить sshd handle войдите в систему и запустите оболочку, которая позволяет вам делать всевозможные интересные вещи. Если у вас нет пользовательской версии входа, я рекомендую вам разрешить sshd обрабатывать логины. (И если у вас есть пэд, нет оснований для внесения пользовательского входа больше.)