-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 Hi there Ich hab' jetzt von vielen Leuten gehoert, dass sie sich nichtmehr einloggen konnten. Wieso und weshalb das so ist, dass will ich jetzt in diesem Mail kurz erklaeren. In OpenSSH 3.3 und hoeher gibt es ein Feature, dass sich "Privilege Separation" nennt. Dabei laeuft nur noch ein kleiner Teil von OpenSSH als root. Und, als zweite Begebenheit, haben wir eine Passwort Expire Time auf stinky gesetzt. Jedes Passwort wird nach 90 Tagen ungueltig und muss geaendert werden. Daraus entstehen nun die Login-Probleme. Wenn euer Passwort expired ist, muesste euch OpenSSH auffordern, dass Passwort zu aendern. Da es jedoch zu dem Zeitpunkt, an dem es das expirte Passwort bemerkt, nichtmehr ueber root-Rechte verfuegt, wird eine Aenderung des Passworts unmoeglich. Zur Zeit muss ein Passwort so geaendert werden: - Login ueber telnet - dabei neues Passwort setzen - Login ueber SSH - dabei nochmals neues, anderes Passwort setzen Es ist umstaendlich, dafuer geht das anschliessend gueltige Passwort nicht im Klartext ueber die Leitung. Und, ich moechte hiermit auch zur Diskussion anregen. Was sollen wir tun? Bisher denke ich da an zwei Moeglichkeiten: - UsePrivilegeSeparation auf 'no' setzen -- bringt allerdings einige Risiken - Wir machen ein Web-Passwort-Aenderungs-Frontend (wer moechte eines schreiben?) Bin auf eure Meinungen gespannt, - --thomas