2003年09月27日

sshのロックアカウント

rsa認証用の個人鍵を持ち歩くめどが立ったのでさっくりパスワード認証もチャレンジレスポンス認証も無効にして、ついでにPAM認証も無効にしてみました。

# vi /etc/ssh/sshd_config

PasswordAuthentication no
ChallengeResponseAuthentication no
UsePAM no

これで、多少はセキュアになったかなと思っていたんですが、今日ふとリモートマシンがsshを利用したバックアップに失敗している事に気がつきました。

こいつはリモートバックアップ専用アカウントなのでパスワードを設定せず元々rha認証を使ってたんで、なんでかなぁと思いながら早速syslogをのぞいみていると

sshd[---]: User hoge not allowed because account is locked

ロックアカウントって何?(苦笑)

どうも↓の変更が関係しているようで

  • 利用される認証方式に関わらず、
    ロックアカウントに対して接続を拒否するようになった.

cvsの変更ログにそれっぽいのがありました
  • RCS file: /home/web/eviladmin/cvsweb/openssh_cvs/auth.c,v
    retrieving revision 1.74
    retrieving revision 1.75
    diff -u -r1.74 -r1.75
見てみると、どうもpasswdファイルとshadowファイルを読み込んでパスワード文字列が設定されてないとだめな感じです。
(ざっとしか見てないんでアレですが)

っていうか、なんか気持ち悪いのでダミーでもパスワード設定したくないなぁ(´・ω・`)と思っていたらPAMを有効にすればとりあえず動くことが判明(苦笑)

ということで妥協の末PAMを使うことにしました(^^;
(でもやっぱりダミーパスワードの方が安心かなぁ・・・・)

Posted by Takuchan at 2003年09月27日 01:32 | トラックバック(0)