ssh: root-login nur per key, aber nicht per password?

[rootsvr]

Also: generell möchte ich ein root Login nicht erlauben, das Backupscript (rsync über ssh) braucht das aber. Jetzt will ich das ganze zumindest so einschränken das Root sich nur über den Key einloggen kann und nicht mehr über Password.

Wie ist es jetzt:
User können per Key oder PW
Root kann per key nur den rsync befehl ausführen, kann sich aber per Password einloggen.

Stelle ich PermitRootLogin auf No geht das Backupscript nicht, schreibe ich in /root/.ssh/config ein "PasswordAuthentication No" ändert sich nichts, root kann sich immer noch per Passwort einloggen.

an welcher Schraube müßte ich drehen?

[hornox]

Benutzt du bzw benutzt ssh Pluggable Authentication Modules/PAM?

[rootsvr]

Danke für den indirekten Tipp:
Man musste PermitRootLogin auf 'forced-commands-only' setzen, dann
gings!

Danke!

[tiberian]

Is zwar schon älter hier, aber hab gerade genau das gleiche Problem...

Ich habs mit der Option 'forced-commands-only' probiert, aber das script von mir macht das net.
Ich benutzt zum backupen rsnapshot, welches wiederum auf rsync via SSH zurückgreift.

Habs nu auch grad ma probiert, aber er fragt nachm Passwort.

Laut Manpage funktioniert das nur wenn ich die "command option" von SSH benutze...
Allerdings versteh ich den Zusammenhang net ganz mit dieser command option..

Grüße
Tiberian

[Joe User]

http://www.google.com/search?hl=en&q=rs ... gle+Search

[tiberian]

Jo sowas in der Art habe ich gesucht.
Habe nach langem Suchen auch ein HowTo gefunden das genau dieses Problem bei rsnapshot erklärt und damit funzt das nu auch.

Thx

Grüße
Tiberian

[legato]

Jo sowas in der Art habe ich gesucht.
Habe nach langem Suchen auch ein HowTo gefunden das genau dieses Problem bei rsnapshot erklärt und damit funzt das nu auch.

Spitze, hast du vielleicht noch die URL zu dem HowTo parat?

edit:
Ich denke ich habs (erster Google Treffer...):
http://www.jdmz.net/ssh/

[tiberian]

Gleiche Seite, gleiche Anleitung, aber das war die die ich benutzt hab :)

http://troy.jdmz.net/rsnapshot/

Grüße
Tiberian

[isotopp]

Also: generell möchte ich ein root Login nicht erlauben, das Backupscript (rsync über ssh) braucht das aber. Jetzt will ich das ganze zumindest so einschränken das Root sich nur über den Key einloggen kann und nicht mehr über Password.

PermitRootLogin without-password

"If this option is set to ``without-password'' password authentication is disabled for root." Das ist ein wenig indirekt erklärt, denn es bleibt dann nur noch Key-Login als Option übrig.

Jeder Rootserver sollte nach der Inbetriebnahme und dem erzeugen einer authorized_hosts-Datei so konfiguriert sein. Das erlaubt immerhin noch direkte Root-Logins ohne sudo-Umweg (eine andere, noch striktere Option), ohne daß man das Paßwort des Servers hacken könnte.

[legato]

PermitRootLogin without-password

"If this option is set to ``without-password'' password authentication is disabled for root." Das ist ein wenig indirekt erklärt, denn es bleibt dann nur noch Key-Login als Option übrig.

Jeder Rootserver sollte nach der Inbetriebnahme und dem erzeugen einer authorized_hosts-Datei so konfiguriert sein. Das erlaubt immerhin noch direkte Root-Logins ohne sudo-Umweg (eine andere, noch striktere Option), ohne daß man das Paßwort des Servers hacken könnte.

Genau die Variante habe ich jetzt auch genommen.
Ich hätte gerne forced-commands-only gemacht, so dass root nur rsync ausführen darf, aber das hat noch nicht funktioniert.
rsync returned immer "12", was mir nicht so wirklich geholfen hat.
Naja, in einer ruhigen Minute werde ich das nochmal durchgehen, fürs erste ist das aber die beste Alternative.