sshish
authorOwen Smith <owen@omsmith.ca>
Wed, 15 May 2013 06:14:39 +0000 (02:14 -0400)
committerOwen Smith <owen@omsmith.ca>
Wed, 15 May 2013 06:14:39 +0000 (02:14 -0400)
bootstrap.sh
templates/ssh_config [new file with mode: 0644]
templates/sshd_config [new file with mode: 0644]

index 72743ec..7d8f872 100755 (executable)
@@ -59,3 +59,11 @@ cp ./templates/common-account /etc/pam.d/common-account
 # nfs
 cp ./templates/nfs-common /etc/default/nfs-common
 
+# ssh
+cp ./templates/ssh_config /etc/ssh/ssh_config
+cp ./templates/sshd_config /etc/ssh/sshd_config
+
+echo "prompts for root on caffeine..."
+scp root@caffeine.csclub.uwaterloo.ca:/etc/ssh/ssh_known_hosts /etc/ssh/ssh_known_hosts
+scp root@caffeine.csclub.uwaterloo.ca:/etc/hosts /etc/hosts
+
diff --git a/templates/ssh_config b/templates/ssh_config
new file mode 100644 (file)
index 0000000..70ec908
--- /dev/null
@@ -0,0 +1,24 @@
+# This is the ssh client system-wide configuration file.  See
+# ssh_config(5) for more information.  This file provides defaults for
+# users, and the values can be changed in per-user configuration files
+# or on the command line.
+
+# Configuration data is parsed as follows:
+#  1. command line options
+#  2. user-specific file
+#  3. system-wide file
+# Any configuration value is only changed the first time it is set.
+# Thus, host-specific definitions should be at the beginning of the
+# configuration file, and defaults at the end.
+
+# Site-wide defaults for some commonly used options.  For a comprehensive
+# list of available options, their meanings and defaults, please see the
+# ssh_config(5) man page.
+
+Host *
+    SendEnv LANG LC_*
+    GSSAPITrustDns yes
+    GSSAPIKeyExchange yes
+
+    GSSAPIAuthentication yes
+    GSSAPIDelegateCredentials yes
diff --git a/templates/sshd_config b/templates/sshd_config
new file mode 100644 (file)
index 0000000..0caa334
--- /dev/null
@@ -0,0 +1,61 @@
+# Package generated configuration file
+# See the sshd(8) manpage for details
+
+# What ports, IPs and protocols we listen for
+Port 22
+
+# Use only protocol version 2
+Protocol 2
+
+# HostKeys for protocol version 2
+HostKey /etc/ssh/ssh_host_rsa_key
+HostKey /etc/ssh/ssh_host_dsa_key
+
+# Privilege Separation is turned on for security
+UsePrivilegeSeparation yes
+
+# Logging
+SyslogFacility AUTH
+LogLevel INFO
+
+# Authentication
+UsePAM yes
+StrictModes yes
+PermitRootLogin yes
+LoginGraceTime 120
+MaxStartups 25:30:100
+
+# password authentication via PAM (single sign-on initial case)
+PasswordAuthentication yes
+PermitEmptyPasswords no
+
+# keyboard-interactive authentication (like password, works with +needchange)
+ChallengeResponseAuthentication yes
+
+# kerberos (single sign-on already authenticated case)
+GSSAPIAuthentication yes
+GSSAPIKeyExchange yes
+GSSAPICleanupCredentials yes
+
+# public key authentication with authorized_keys
+PubkeyAuthentication yes
+
+# no single sign-on via hosts.equiv; we use kerberos
+HostbasedAuthentication no
+IgnoreRhosts yes
+
+# no builtin kerberos auth with password, we do the same via pam_krb5
+KerberosAuthentication no
+
+# allow X forwarding
+X11Forwarding yes
+X11DisplayOffset 10
+
+# PAM prints these already
+PrintMotd no
+PrintLastLog no
+
+# Allow client to pass locale environment variables
+AcceptEnv LANG LC_*
+
+Subsystem sftp /usr/lib/openssh/sftp-server