SSH Daemon neu starten klappt nicht...

[mulipo43]

Moin.

Ich hab' SSH gerade abgesichert, deswegen hab' ich 2mal den Server neu gestartet und den Dienst SSH auch neu gestartet - kann mich aber immer noch als 'root' einloggen Jemand ne' Idee was ich da falsch mache? Ich verwende Cent OS.

Thx.

 

[Thorsten]

Hallo!
Was bedeutet kann mich nicht einloggen? Funktioniert denn die Verbindung zum sshd?

mfG
Thorsten

 

[Janny82]

...
kann mich aber immer noch als 'root' einloggen
...

Wo schrieb er denn was von "nicht einloggen"?

@mulipo43:
hast du denn den permit root login parameter richtig gesetzt?

 

[Thorsten]

Sorry, die Zeitumstellung macht mir noch zu schaffen .

 

[elias5000]

Bei welchem Provider steht der Server?

Ich habe schon mal erlebt, dass jemand per SSH nicht das root-Login verbieten konnte.
Das war bei Strato und es handelte sich um einen SSH-Zugang, der auf einem Terminal-Server terminierte, welcher widerum eine Serielle Konsole auf die Maschine öffnete.

Das mal checken.

 

[mulipo43]

Hoi. Bei Hetzner @ DS 7000

hast du denn den permit root login parameter richtig gesetzt?

Hab ich (auf PermitRootLogin no).

Nachtrag: Wollte gerade den Port ändern, hab ihn auf XXX gestellt wurde angeblich auch akzeptiert. Hab dann einen reboot mit /etc/init.d/sshd restart gemacht und den kompletten Server rebootet - allerdings kann ich nur auf 22 verbinden und nicht auf meinen geänderten?! In der Datei /etc/ssh/sshd_config ist aber der Port auf XXX geändert und wirklich nicht mehr 22 ... Da stimmt doch was net

 

[LinuxAdmin]

Den Server einfach zu rebooten ist ganz schön mutig

Du könntest mal folgendes machen:

/etc/init.d/sshd stop
/usr/sbin/sshd -d -e

Das beendet den aktuell laufenden sshd und startet den Daemon direkt im debug-Modus. Dabei bleibt der Prozess im Fordergrund und schreibt ziemlich viele Meldungen auf die Konsole -- die sollten Dir verraten, welche Konfiguration, etc. verwendet wird.
In diesem Modus akzeptiert der sshd nur eine Verbindung und beendet sich danach (Nach dem Testen also nicht vergessen, den regulären Betrieb mit dem Script in /etc/init.d/ wieder zu starten).
Weitere Optionen stehen in der man-page des sshd. Obacht, die Ausgabe enthält je nachdem auch Passwörter im Klartext -- daher verwende ich immer die Option -e, damit diese Informationen nicht in den Logfiles landen.

 

[Huschi]

es handelte sich um einen SSH-Zugang, der auf einem Terminal-Server terminierte, welcher widerum eine Serielle Konsole auf die Maschine öffnete.

Das ist aus Sicht des Servers auch keine SSH-Verbindung sondern ein Terminal.
Aber Grundsätzlich ist die Frage berechtigt, ob evtl. ein Proxy dazwischen steckt?

@mulipo43
Wie wäre es mit Fakten? Zeig mal Deine sshd_config und einen Auszug von netstat.

huschi.

 

[Whistler]

Das ist aus Sicht des Servers auch keine SSH-Verbindung sondern ein Terminal.

Dann stand aber bestimmt "ttyS0" in /etc/securetty ?

 

[elias5000]

Da schon zwei Änderungen genannt wurden, die sich nicht auswirken, sollte mulipo43 erstmal feststellen, ob er auf der Maschine wirklich per SSH rauskommt...
Wobei ich mich auch für die sshd_config interessieren würde.

 

[3-Stadt]

Also ich hab den Port bei meinem STRATO Server ändern können, vielleicht hast du vergessen das # vor der Einstellung zu entfernen, ist mir auch schonmal passiert

 

[mulipo43]

Aber Grundsätzlich ist die Frage berechtigt, ob evtl. ein Proxy dazwischen steckt?

Habe kein Proxy geschaltet. Hier meine sshd_config:

#	$OpenBSD: ssh_config,v 1.21 2005/12/06 22:38:27 reyk Exp $

# This is the ssh client system-wide configuration file.  See
# ssh_config(5) for more information.  This file provides defaults for
# users, and the values can be changed in per-user configuration files
# or on the command line.

# Configuration data is parsed as follows:
#  1. command line options
#  2. user-specific file
#  3. system-wide file
# Any configuration value is only changed the first time it is set.
# Thus, host-specific definitions should be at the beginning of the
# configuration file, and defaults at the end.

# Site-wide defaults for some commonly used options.  For a comprehensive
# list of available options, their meanings and defaults, please see the
# ssh_config(5) man page.

# Host *
#   ForwardAgent no
#   ForwardX11 no
#   RhostsRSAAuthentication no
#   RSAAuthentication yes
#   PasswordAuthentication yes
#   HostbasedAuthentication no
#   BatchMode no
#   CheckHostIP yes
#   AddressFamily any
#   ConnectTimeout 0
#   StrictHostKeyChecking ask
#   IdentityFile ~/.ssh/identity
#   IdentityFile ~/.ssh/id_rsa
#   IdentityFile ~/.ssh/id_dsa
    Port 63109
#   Protocol 2,1
#   Cipher 3des
#   Ciphers aes128-cbc,3des-cbc,blowfish-cbc,cast128-cbc,arcfour,aes192-cbc,aes256-cbc
#   EscapeChar ~
#   Tunnel no
#   TunnelDevice any:any
#   PermitLocalCommand no
Host *
	GSSAPIAuthentication yes
# If this option is set to yes then remote X11 clients will have full access
# to the original X11 display. As virtually no X11 client supports the untrusted
# mode correctly we set this to yes.
	ForwardX11Trusted yes
# Send locale-related environment variables
	SendEnv LANG LC_CTYPE LC_NUMERIC LC_TIME LC_COLLATE LC_MONETARY LC_MESSAGES 
	SendEnv LC_PAPER LC_NAME LC_ADDRESS LC_TELEPHONE LC_MEASUREMENT 
	SendEnv LC_IDENTIFICATION LC_ALL

Habe wie man unschwer erkennt keine großen Veränderungen gemacht.

Den Server einfach zu rebooten ist ganz schön mutig

Anfänger-Frage: Warum ?

 

[3-Stadt]

Hi,

PermitRootLogin no

steht nirgendwo, dann ist klar, warum du dich noch als root anmelden kannst

Ursache ist wahrscheinlich, dass die Einstellungen, die nicht auskommentiert sind (u.a. deine Portangabe) ganz nach vorne rücken, sodass keine Leerzeichen mehr davor stehen. Das würde erklären, warum der Port nicht geändert wird

 

[Mordor]

Was haben bitte vorn anstehende Leerzeichen in der sshd_conf mit der Ausführung von Einstellungen zu tun?

 

[3-Stadt]

@Mordor: Bei mir wird der Standardport genommen, wenn ich vor meiner Angabe Leerzeichen stehen habe...

 

[Whistler]

Hier meine sshd_config:
# $OpenBSD: ssh_config,v 1.21 2005/12/06 22:38:27 reyk Exp $
# This is the ssh client system-wide configuration file.

Fällt Dir was auf?

 

[Mordor]

Okay, wäre mir jetzt neu, dass das was zu sagen hat. Bei mir läuft es ohne Leerzeichen wunderbar. Aber man lernt ja nie aus ;-)

 

[3-Stadt]

# This is the ssh client system-wide configuration file.

Is mir erst durch dein dickes d im Quote aufgefallen^^

/etc/ssh/sshd_config wäre wohl die passendere Datei zum Ändern des SSH-Serverports

 

[Mordor]

Ich glaub das ist jedem schon mal ganz am Anfang passiert ;-)

 

[mulipo43]

Auuu ... Thx Leute, stimmt war einfach falsche Datei. Warum gibt es den 2 ?? Finde ich relativ unlogisch.... Ich hätte da noch eine Port Frage (denke ein neuer Thread lohnt sich wegen einer Kleinigkeit nicht) und zwar was hat es mit Dynamischen und/oder freie Ports auf sich im Bezug auf IANA.org? Wenn ich z.B. 1028 nehm - funktioniert diese dan nicht? Siehe hier.