<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 3.2//EN">
<HTML>
<HEAD>
<META HTTP-EQUIV="Content-Type" CONTENT="text/html; charset=iso-8859-1">
<META NAME="Generator" CONTENT="MS Exchange Server version 5.5.2658.2">
<TITLE>RE: [Linux-cluster] Testing a fence program</TITLE>
</HEAD>
<BODY>

<P><FONT SIZE=2>Classification: UNCLASSIFIED</FONT>
</P>

<P><FONT SIZE=2>this should be off-list but I can't. you can find me at pattonme at yahoo dot com</FONT>
</P>

<P><FONT SIZE=2> PermitRootLogin forced-commands-only</FONT>
</P>

<P><FONT SIZE=2>is precisely what you need. If the auditors really are too stupid to know what that does, then I'd tell them to come back after they have somebody 'splain it to them and they rewrite their simpleton "policy". Like I said, sounds like the auditors are just checking boxes without knowledge of what they are actually checking. Typical, unfortunately.</FONT></P>

<P><FONT SIZE=2>You can of course leave </FONT>
<BR><FONT SIZE=2>"PermitRootLogin no        # for stupid auditors"</FONT>
<BR><FONT SIZE=2>in sshd_config and change /etc/init.d/sshd to put the "-o PermitRootLogin" on the command line. You could even bury it in an options file. *grin*</FONT></P>

<P><FONT SIZE=2>From a system auditing standpoint where one tries to minimize the number of places where security policies are stored, I'd use sudo and as a real account, not "nobody".</FONT></P>

<P><FONT SIZE=2>Have fun with the daemon. </FONT>
</P>

</BODY>
</HTML>