Toon posts:

Met meerdere personen veilig via SSH inloggen op server

Pagina: 1
Acties:

maandag 27 maart 2006 10:49

Acties:

Verwijderd

Topicstarter
Op mijn werk hebben we een aantal servers waar een aantal collega's en ikzelf op in moeten kunnen loggen met root-rechten. Nu is het duidelijk dat het niet ideaal is om het root-wachtwoord groot aan de muur te hangen dus willen we eigenlijk niet direct als root inloggen, maar als een sudoer.
Een tweede punt is is dat we gebruik willen maken van een (passphrase beveiligde) public/private key combinatie.

Op zich werkt dit allemaal prima, maar het is vrij onhandig om voor iedereen een user aan te maken, en weer te verwijderen als die niet meer nodig is. Ideaal zou dus zijn dat iedereen met z'n eigen public key kan inloggen als één centrale user en dat die centrale user niet in mag loggen met wachtwoord, maar alleen met keys.

De vraag is: is dit een goede oplossing? Kan dit beter? Hoe zouden jullie dit doen?

Voor de duidelijkheid: het gaat hier om +/- 20 servers en +/- 8 personen.

maandag 27 maart 2006 11:43

Acties:
  • frim
  • Registratie: Augustus 2001
  • Niet online

frim

Je kunt waarschijnlijk toch beter meerdere users maken. Als iemand dan per ongeluk iets kapot maakt, valt er altijd nog te traceren wie dat heeft gedaan zodat diegene gelijk voor een oplossing kan zorgen. Verder kan iedereen dan persoonlijke voorkeuren instellen (default editor etc) en kan de rest nog doorwerken als er 1 account moet worden afgesloten bij het uitlekken van de key oid. Verder zorg je er met aparte users voor dat het systeem sowieso minder anoniem is, waardoor mensen voorzichtiger te werk gaan.

maandag 27 maart 2006 13:53

Acties:
  • jvhaarst
  • Registratie: Maart 2000
  • Laatst online: 21-01 21:54

jvhaarst

Eendracht maakt macht

Is het niet beter om met een centrale database te gaan werken, waarin staat welke user op welke machine mag inloggen ?

If you don’t have enough time, stop watching TV.

maandag 27 maart 2006 14:04

Acties:

Verwijderd

Topicstarter
jvhaarst schreef op maandag 27 maart 2006 @ 13:53:
Is het niet beter om met een centrale database te gaan werken, waarin staat welke user op welke machine mag inloggen ?
Ben wel benieuwd hoe je dit zou opzetten. Maar feit blijft natuurlijk dat je via ssh inlogt op een server en dat die server je moet authenticeren.

maandag 27 maart 2006 14:07

Acties:
  • MrBarBarian
  • Registratie: Oktober 2003
  • Laatst online: 07-03-2023

MrBarBarian

Once

Verwijderd schreef op maandag 27 maart 2006 @ 14:04:
[...]


Ben wel benieuwd hoe je dit zou opzetten. Maar feit blijft natuurlijk dat je via ssh inlogt op een server en dat die server je moet authenticeren.
Gelukkig wel ja, beetje een enorm securityrisico anders.. Preshared keys vormen die naar mijn mening ook. Als je geen (of minder) wachtwoorden wilt is Kerberos de enige echt veilig oplossing. Maar Kerberos is eigelijk alleen interessant in een grote omgeving..

Centrale userdatabase kan dmv (open)ldap op zelfs Active directory. Sowieso altijd meerdere accounts gebruiken (auditing!) en je kan idd sudo zo configger dat iedere zijn ding kan doejn onder zijn eigen account

[ Voor 13% gewijzigd door MrBarBarian op 27-03-2006 14:08 ]

iRacing Profiel

maandag 27 maart 2006 14:23

Acties:
  • daft_dutch
  • Registratie: December 2003
  • Laatst online: 02-12-2025

daft_dutch

>.< >.< >.< >.<

iedereen de zelfde gebruiker klinkt mooi maar wat als 1 gebruiker dingen doet die je niet wilt.
wie is dan die gebruiker.

het genereren van een gebruiker en keys maken kan wel geautomatiseerd worden.
bijvoorbeeld met php/mysql. je genereert een unieke key. geeft iemand http://url/key
en dat php daarmee een user aan maakt en de gebruiker de key overhandigt waarmee hij zonder password kan inloggen.

root rechten kan je met sudo oplossen zoals al is aangegeven.

>.< >.< >.< >.<

maandag 27 maart 2006 14:30

Acties:

Verwijderd

Topicstarter
O.k. dus eigenlijk was het idee dat we hadden wel goed op zich, maar kan je beter iedereen zijn eigen user geven omdat je dan kunt achterhalen wie wat doet.

Als we van iedere user die moet in kunnen loggen de public key hebben is het bij een nieuwe server natuurlijk heel eenvoudig om voor iedereen een user aan te maken met zijn public key in de authenticated_keys file. Het enige waar ik dan nog mee zit is dat ik eigenlijk niet wil dat die gebruikers nog kunnen inloggen met hun wachtwoord (het heeft anders weinig zin om überhaupt gebruik te maken van certificates omdat je die dan kunt omzeilen). Is het mogelijk om voor een enkele (groep) gebruiker(s) uit te zetten dat deze met een wachtwoord kan inloggen? Voor onderhoude moet iig root met een wachtwoord kunnen inloggen.

maandag 27 maart 2006 20:20

Acties:

Verwijderd

Ik denk dat je eens naar pam moet gaan kijken. Daar zal vast wel een module zijn voor wat je wil (al vind ik het een wat vreemd idee allemaal).

maandag 27 maart 2006 22:07

Acties:

Verwijderd

Topicstarter
Verwijderd schreef op maandag 27 maart 2006 @ 20:20:
Ik denk dat je eens naar pam moet gaan kijken. Daar zal vast wel een module zijn voor wat je wil (al vind ik het een wat vreemd idee allemaal).
Zal eens wat gaan lezen over PAM, heb zojuist ook iets gelezen over Kerberos, weet niet of dit op elkaar lijkt?

Wat vind je precies een raar idee? Sta open voor zinnige oplossingen, er moet sowieso iets veranderen wat betreft security dus hoeft niet per sé op de manier zoals hierboven geschetst...
Pagina: 1
Reageer

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2026 Hosting door TrueFullstaq