[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
[debian-users:31492] Re: ssh ログインだけのアカウント
小野澤です。
From: YAMAGATA yoriyuki <yoriyuki@xxxxxxxxxxxxxxxx>
Subject: [debian-users:31489] ssh ログインだけのアカウント
Date: Fri, 18 Jan 2002 20:33:34 +0900
Message-ID: <20020118203245X.yoriyuki@xxxxxxxxxxxxxxxx>
yoriyuki> 山形と申します。はじめまして。
…
yoriyuki> これで何も問題はないのですが、ちょっといやなのが、普通のパスワードを設定
yoriyuki> しないとsshでもログインできないことです。(いにしえのSunOSだと、パスワー
yoriyuki> ドフィールドを*にしても、rshなんかが使えたような気がする。記憶違いかも知
yoriyuki> れないけど)
そのユーザにパスワードを利用したログインなどを
不可能にさせたいのであれば、上記の方法でいいとおもいます。
ただ、書き換えるファイルが /etc/passwd ではなく
/etc/shadow になります。
SunOS の passwd を書き換えるときと同様に
そのユーザのパスワードフィールドを * にしてください。
ただ、sudo とか使う場合は、これだと困りますのね?
yoriyuki> こっちででたらめなパスワードを設定してますが、誰かがDESクラッカーを使っ
yoriyuki> て解読するんじゃないかと思うと夜も眠れません。一般のパスワード認証を使え
yoriyuki> なくして、sshのRSA認証だけにする方法ってあるんでしょうか。
で、問題はどちらかというとこっちじゃないかと思います。
ユーザのパスワードを利用してアクセスが可能になるサービスを
外部に公開することをやめることはできませんか?
たとえば Secure Shell ならば /etc/ssh/sshd_config に
PasswordAuthentication no
と記述すれば、パスワードによる認証は利用できなくなります。
POP などは、APOP や POP3S などを利用すればいいでしょう。
あと、その方が SecureShell を利用してログインした際に
パスワードを変更して頂くということはできませんか?
ランダムな文字列を利用した一時的なパスワードを発行して、
GnuPG で暗号化したメールで送るとか。
ログインしている最中に talk なり echo を使って
相手に伝えるという方法もありますし。
--- Masaru Onozawa ---
other information : Please see mail header