[Announce] OpenSSH Probleme auf stinky

Thomas Bader thomasb at trash.net
Sa Sep 7 14:10:16 CEST 2002


-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

Hi there

Ich hab' jetzt von vielen Leuten gehoert, dass sie sich
nichtmehr einloggen konnten.  Wieso und weshalb das so ist,
dass will ich jetzt in diesem Mail kurz erklaeren.

In OpenSSH 3.3 und hoeher gibt es ein Feature, dass sich
"Privilege Separation" nennt.  Dabei laeuft nur noch ein
kleiner Teil von OpenSSH als root.

Und, als zweite Begebenheit, haben wir eine Passwort Expire
Time auf stinky gesetzt.  Jedes Passwort wird nach 90 Tagen
ungueltig und muss geaendert werden.

Daraus entstehen nun die Login-Probleme.  Wenn euer Passwort
expired ist, muesste euch OpenSSH auffordern, dass Passwort
zu aendern.  Da es jedoch zu dem Zeitpunkt, an dem es das
expirte Passwort bemerkt, nichtmehr ueber root-Rechte
verfuegt, wird eine Aenderung des Passworts unmoeglich.

Zur Zeit muss ein Passwort so geaendert werden:

   - Login ueber telnet
   - dabei neues Passwort setzen
   - Login ueber SSH
   - dabei nochmals neues, anderes Passwort setzen

Es ist umstaendlich, dafuer geht das anschliessend gueltige
Passwort nicht im Klartext ueber die Leitung.

Und, ich moechte hiermit auch zur Diskussion anregen.  Was
sollen wir tun?

Bisher denke ich da an zwei Moeglichkeiten:

   - UsePrivilegeSeparation auf 'no' setzen -- bringt
     allerdings einige Risiken
   - Wir machen ein Web-Passwort-Aenderungs-Frontend (wer
     moechte eines schreiben?)

Bin auf eure Meinungen gespannt,
- --thomas

-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.0.6 (GNU/Linux)
Comment: Weitere Infos: siehe http://www.gnupg.org

iD8DBQE9eeySeQV2j3WE9dgRAqmXAJsGNijrxWv+RH5lfuMuZRdcCIOPvACgivAQ
Y+VpHIFeVRbOLVj/7XuhTK8=
=fEyi
-----END PGP SIGNATURE-----



More information about the announce mailing list