Am 19.09.23 um 17:11 schrieb Ulf Volmer:

Am Tue, Sep 19, 2023 at 04:26:08PM +0200 schrieb Stefan Baur:

Die Lösung ist, dass die /etc/ssh/sshd_config seit Bookworm ein explizites >>
KbdInteractiveAuthentication no

enthält.

Ist der Parameter nicht gesetzt, dann gilt laut sshd_config-Manpage, dass
der Wert von ChallengeResponseAuthentication übernommen wird - den setze ich
für google_authenticator explizit auf yes.

Du hast offentsichtlich eine andere man Page als ich sie hier habe.

Ja, der Text, den ich gelesen habe, ist aus der manpage vom
Bullseye-System, das ich da gerade gestartet hatte, also oldstable: <https://manpages.debian.org/bullseye/openssh-server/sshd_config.5.en.html#KbdInteractiveAuthentication>

| KbdInteractiveAuthentication
| Specifies whether to allow keyboard-interactive authentication.
| The argument to this keyword must be yes or no. The default is
| to use whatever value ChallengeResponseAuthentication is set to
| (by default yes).

Bei mir steht:

| KbdInteractiveAuthentication
| Specifies whether to allow keyboard-interactive authentication. The default is yes. The argument to this keyword must be yes or no.
| ChallengeResponseAuthentication is a deprecated alias for this.

Du hast also zwei Wege gefunden, die gleiche Einstellung zu
konfigurieren.

Jetzt wird's interessant. Hier widerspricht sich die neuere Manpage von Bookworm quasi selbst (zumindest, wenn man nicht genau hinschaut). Sie
spricht von "default is yes", im Kopf der selben Manpage steht aber,
dass Debian explizit "no" setzt:

| Note that the Debian openssh-server package sets several options as
| standard in /etc/ssh/sshd_config which are not the default in sshd(8):
|
| Include /etc/ssh/sshd_config.d/*.conf
| KbdInteractiveAuthentication no
| X11Forwarding yes
| PrintMotd no
| AcceptEnv LANG LC_*
| Subsystem sftp /usr/lib/openssh/sftp-server
| UsePAM yes

Sinnvollerweise müsste man also "The upstream default, but not Debian's default, is yes." schreiben.

Und die Werte überschreiben sich leider auch nicht in der Reihenfolge
ihres Erscheinens in der Config.

KbdInteractiveAuthentication no
ChallengeResponseAuthentication yes

zusammen, in dieser Reihenfolge, ergibt weiterhin keine
Login-Möglichkeit per Google Authenticator. "deprecated alias" trifft es
also nicht so ganz - sonst müsste der zweite Wert ja ein "yes" auch für KbdInteractiveAuthentication erzwingen.

Bissel weird ist das schon.

Gruß
Stefan

--- SoupGate-Win32 v1.05
* Origin: fsxNet Usenet Gateway (21:1/5)