SSHD und PermitRootLogin

[Huschi]

@phor:
Dies ist hier kein Chat. Bitte ließ die Antworten und Handel ein wenig mit Verstand und eigener Initiative.
Ausserdem mißachtest Du seit einigen Posts unseren Punkt 3 der Boardregeln.

huschi.

 

[phor]

Are you sure you want to continue connecting (yes/no)? yes
Warning: Permanently added 'localhost' (RSA) to the list of known hosts.
debug2: bits set: 503/1024
debug1: ssh_rsa_verify: signature correct
debug2: kex_derive_keys
debug2: set_newkeys: mode 1
debug1: SSH2_MSG_NEWKEYS sent
debug1: expecting SSH2_MSG_NEWKEYS
debug2: set_newkeys: mode 0
debug1: SSH2_MSG_NEWKEYS received
debug1: SSH2_MSG_SERVICE_REQUEST sent
debug2: service_accept: ssh-userauth
debug1: SSH2_MSG_SERVICE_ACCEPT received
debug2: key: /root/.ssh/identity ((nil))
debug2: key: /root/.ssh/id_rsa ((nil))
debug2: key: /root/.ssh/id_dsa ((nil))
debug1: Authentications that can continue: publickey,keyboard-interactive
debug1: Next authentication method: publickey
debug1: Trying private key: /root/.ssh/identity
debug1: Trying private key: /root/.ssh/id_rsa
debug1: Trying private key: /root/.ssh/id_dsa
debug2: we did not send a packet, disable method
debug1: Next authentication method: keyboard-interactive
debug2: userauth_kbdint
debug2: we sent a keyboard-interactive packet, wait for reply
debug2: input_userauth_info_req
debug2: input_userauth_info_req: num_prompts 1
Password:
debug2: input_userauth_info_req
debug2: input_userauth_info_req: num_prompts 0
debug1: Authentication succeeded (keyboard-interactive).
debug1: channel 0: new [client-session]
debug2: channel 0: send open
debug1: Entering interactive session.
debug2: callback start
debug2: client_session2_setup: id 0
debug2: channel 0: request pty-req confirm 0
debug1: Sending environment.
debug1: Sending env LC_CTYPE =
debug2: channel 0: request env confirm 0
debug2: channel 0: request shell confirm 0
debug2: fd 3 setting TCP_NODELAY
debug2: callback done
debug2: channel 0: open confirm rwindow 0 rmax 32768
debug2: channel 0: rcvd adjust 131072
Last login: Wed Jul 19 00:08:46 2006 from ppp-XX-YYY-UUU-VVV.dynamic.mnet-online.de
Have a lot of fun...

Nun gut, wenn ich "yes" eingebe, kann ich mich mit dem root-pw einloggen. Ich poste jetzt noch einmal den weiteren Verlauf der Bildschirmausgabe - in der Hoffnung, dass mir weitergeholfen werden kann. Falls das wieder als fast-Spam gewertet wird, werde ich natürlich von weiteren Postings absehen.

 

[HornOx]

Wie gesagt, UsePAM no bringt keine Besserung, deshalb hab ichs wieder auf yes gesetzt.

Sieht danach aus als wäre UsePAM immer noch aktiviert, bitte ein neuer Debug Test mit deaktiviertem UsePAM...

 

[phor]

UsePAM war/ist deaktiviert...

edit:
gerade mal spaßeshalber den Port noch mal geändert, um zu prüfen, ob meine Änderungen überhaupt theoretisch einen Effekt haben. Konnte folgendes beobachten:

- bisherigen Port A auf B gesetzt
- sshd restart
- ssh-console wurde geschlossen, weil verbindung abgebrochen

- ssh loginversuch über neuen port B: root wird nicht akzeptiert - konsole schließt sich; allerdings alle anderen bestehenden benutzer werden ebenfalls nicht akzeptiert - konsole schließt sich auch

- zum glück funktionierte aus welchem Grund auch immer noch der Port A, über den ich mich problemlos wie bisher einloggen konnte (obwohl Port A nicht mehr in der sshd_config steht und ich ssh neugestartet habe) warum?!

- wenn ich Port B wieder aus der sshd_config nehme und sshd neu starte werden die Änderungen aktiv und Port B ist wieder gesperrt...

Aber egal was ich mache (zum Glück muss man sagen) ist Port A aktiv...

Hab echt keine Ahnung mehr, was ich machen soll...

 

[redfreakz]

hallo,

ich hab exakt das selbe problem. bei mir bringen änderungen in der sshd_config rein gar nichts (zumindest was portänderung und PermitRootLogin betrifft, die anderen einstellungen kenn ich nicht)
nach einem versuch die datei zu löschen konnte sshd nicht neu gestartet werden durch rcsshd restart
erst bei einem systemneustart war ssh wieder aktiv

ist übrigens auch ein strato root server

über jegliche hilfe die dem problem auf die spur kommt bin ich sehr dankbar

edit.. es hat sich erledigt.. nach 2 tagen knobeln

also unser server ist bei strato... die gaben als information über die console wir sollen uns folgend einloggen:

x.console.serverkompetenz.de (x = benutzerkennung) auf port 22

ich hab mich nun direkt mit unserer IP eingeloggt auf port 22. ging nicht. also auf den von mir veränderten port 2223 -> siehe da: es ging

und gleich mal root ausprobiert. access denied. hurra!
dann mit erlaubten benutzer eingeloggt: es ging
su -> geht!

 

[framp]

Du hattest doch aber geschrieben Du waerest als root per ssh reingekommen. Warum jetzt ploetzlich nicht mehr? Und dann auf dem anderen Port. Ist irgendwie sehr mysterioes

 

[Moneo]

Ich habe genau das selbe problem wie phor, werde aber aus dem post von redfreaks zu lösung des problems nicht schlau.


ich hab nen vserver a von strato, ssh config auf permitrootlogin no geändert port geändert restart. auf neuem port verhalten wie gewünscht ( kein root login ) aber dennoch antwortet mein vserver auf port 22 weiterhin und dort ist auch weiterhin root login möglich.

nun hab ich damit ja quasi neben eine offene tür eine abgeschlossene gebaut....also quasi nutzlos....wer testen schon ob er durch die verschlossene tür kommt wenn die daneben direkt offen ist


kann mir vielleicht einer helfen diese offene tür port 22 zu schliessen? bei redfreak scheint es ja irgendwie geklappt zu haben, nur sagt mir bitte nochmal wie genau...oder ist dieses wegen rettungs was auch auch immer oder vserver was auch immer garnicht erst möglich?



danke,

moneo

 

[Huschi]

dennoch antwortet mein vserver auf port 22 weiterhin und dort ist auch weiterhin root login möglich.

Das liegt in der Natur von SSHd. Da Du Dich sonst selber kickst mit einem Restart, bleibt der aktuelle ssh-Port offen. Theoretisch sollte es so funktionieren:
- Login auf alten Port.
- Config bearbeiten (Port verlegen, permitrootlogin no).
- Restart ssh.
- Testen auf neuen Port ob alles funzt.
- Logout auf alten Port.
- Login auf neuen Port.
- Restart ssh.
- Testen auf alten Port. (sollte jetzt nicht mehr gehen.)

Ansonsten hilft evtl. nur noch ein Reboot um die Änderungen auf Port 22 wirksam zu machen.

PS: Bitte ließ nochmal Punkt 3 der Boardregeln!

huschi.

 

[Moneo]

Danke Dir Huschi,

hat nun alles geklappt und ich werde mich bemühen an Nr.3 zu denken.

 

[gammla]

Hallo!
Entschuldigt, dass ich diese Thema nocheinmal ausgraben muss!

Kurze Systeminformation: Suse 10.2 + SA24 (Strato)

Ich würde ja schon fast tippen, dass das hier unter einen neuen Thread in Server Admin 24 gehört.... Hoffe das es doch einigermaßen passt!

Habe die Änderungen wie beschrieben durchgeführt! Funktioniert auch alles wunderbar!

Leider wird bei mir in der SA24 Administration angezeigt, dass der Dienst ssh nicht gestartet ist.
Dem ist aber nicht so! Wie schon gesagt, es funktioniert alles.

Woran kann das liegen?
Gibt es eine Möglichkeit, dass ich den Dienst (SSH) weiterhin über SA24 "überwachen" und steuern kann?

Hier meine ps aux:

USER       PID %CPU %MEM    VSZ   RSS TTY      STAT START   TIME COMMAND
root         1  0.1  0.0    740   288 ?        Ss   00:33   0:01 init [3]
root         2  0.0  0.0      0     0 ?        S    00:33   0:00 [migration/0]
root         3  0.0  0.0      0     0 ?        SN   00:33   0:00 [ksoftirqd/0]
root         4  0.0  0.0      0     0 ?        S<   00:33   0:00 [events/0]
root         5  0.0  0.0      0     0 ?        S<   00:33   0:00 [khelper]
root         6  0.0  0.0      0     0 ?        S<   00:33   0:00 [kthread]
root         9  0.0  0.0      0     0 ?        S<   00:33   0:00 [kblockd/0]
root        10  0.0  0.0      0     0 ?        S<   00:33   0:00 [kacpid]
root       133  0.0  0.0      0     0 ?        S<   00:33   0:00 [cqueue/0]
root       134  0.0  0.0      0     0 ?        S<   00:33   0:00 [kseriod]
root       176  0.0  0.0      0     0 ?        S    00:33   0:00 [pdflush]
root       177  0.0  0.0      0     0 ?        S    00:33   0:00 [pdflush]
root       178  0.0  0.0      0     0 ?        S<   00:33   0:00 [kswapd0]
root       179  0.0  0.0      0     0 ?        S<   00:33   0:00 [aio/0]
root       430  0.0  0.0      0     0 ?        S<   00:33   0:00 [kpsmoused]
root       784  0.0  0.0      0     0 ?        S<   00:33   0:00 [ata/0]
root       785  0.0  0.0      0     0 ?        S<   00:33   0:00 [ata_aux]
root       905  0.0  0.0      0     0 ?        S<   00:33   0:00 [md1_raid1]
root       917  0.0  0.0      0     0 ?        S<   00:33   0:00 [kjournald]
root       961  0.0  0.1   1932   620 ?        S<s  00:33   0:00 /sbin/udevd --daemon
root      1307  0.0  0.0      0     0 ?        S<   00:33   0:00 [khubd]
root      1857  0.0  0.0      0     0 ?        S<   00:33   0:00 [md0_raid1]
100       2194  0.0  0.1   3548   924 ?        Ss   00:33   0:00 /usr/bin/dbus-daemon --system
root      2197  0.0  0.1   1584   532 ?        Ss   00:33   0:00 /sbin/acpid
root      2241  0.0  0.1   1824   652 ?        Ss   00:33   0:00 /sbin/resmgrd
root      2281  0.0  0.3   3252  1716 ?        Ss   00:33   0:00 /usr/sbin/polkitd
101       2282  0.0  0.7   5284  3776 ?        Ss   00:33   0:00 /usr/sbin/hald --daemon=yes
root      2283  0.0  0.2   2948  1092 ?        S    00:33   0:00 hald-runner
root      2613  0.0  0.2   3020  1212 ?        S    00:33   0:00 /usr/lib/hal/hald-addon-cpufreq
101       2661  0.0  0.1   2028   892 ?        S    00:33   0:00 hald-addon-acpi: listening on acpid socket /var/run/acpid.socket
root      2816  0.0  0.0   1612   228 ?        Ss   00:33   0:00 /sbin/dhcpcd -C -H -D -K -N -t 999999 -h h1385133 -c /etc/sysconfig/network/scripts/dhcpcd-h
root      2964  0.0  0.1   2104   644 ?        Ss   00:33   0:00 /sbin/syslog-ng -a /var/lib/named/dev/log
root      2972  0.0  0.1   1720   532 ?        Ss   00:33   0:00 /sbin/klogd -c 1 -x -x
root      2994  0.0  0.2   2632  1260 ?        S    00:33   0:00 /bin/sh /usr/bin/mysqld_safe --mysqld=mysqld --user=mysql --pid-file=/var/lib/mysql/mysqld.p
root      3039  0.0  0.0   1576   412 ?        S    00:33   0:00 /usr/sbin/courierlogger -pid=/var/run/authdaemon.courier-imap/pid -start /usr/lib/courier-au
root      3040  0.0  0.1   3528   828 ?        S    00:33   0:00 /usr/lib/courier-authlib/authdaemond
root      3043  0.0  0.2   5708  1388 ?        Ss   00:33   0:00 /usr/sbin/sshd -o PidFile=/var/run/sshd.init.pid
root      3083  0.0  0.0   1576   412 ?        S    00:33   0:00 /usr/sbin/courierlogger -pid=/var/run/imapd.pid -start -name=imapd /usr/lib/courier-imap/cou
root      3084  0.0  0.1   1676   528 ?        S    00:33   0:00 /usr/lib/courier-imap/couriertcpd -address=0 -maxprocs=40 -maxperip=4 -nodnslookup -noidentl
mysql     3087  0.1  3.6 112168 18696 ?        Sl   00:33   0:00 /usr/sbin/mysqld --basedir=/usr --datadir=/var/lib/mysql --user=mysql --pid-file=/var/lib/my
root      3098  0.0  0.0   3528   360 ?        S    00:33   0:00 /usr/lib/courier-authlib/authdaemond
root      3099  0.0  0.0   3528   360 ?        S    00:33   0:00 /usr/lib/courier-authlib/authdaemond
root      3100  0.0  0.0   3528   360 ?        S    00:33   0:00 /usr/lib/courier-authlib/authdaemond
root      3101  0.0  0.0   3528   360 ?        S    00:33   0:00 /usr/lib/courier-authlib/authdaemond
root      3102  0.0  0.0   3528   360 ?        S    00:33   0:00 /usr/lib/courier-authlib/authdaemond
root      3110  0.0  0.0   1576   412 ?        S    00:33   0:00 /usr/sbin/courierlogger -pid=/var/run/imapd-ssl.pid -start -name=imapd-ssl /usr/lib/courier-
root      3111  0.0  0.1   1676   524 ?        S    00:33   0:00 /usr/lib/courier-imap/couriertcpd -address=0 -maxprocs=40 -maxperip=4 -nodnslookup -noidentl
root      3134  0.0  0.0   1576   412 ?        S    00:33   0:00 /usr/sbin/courierlogger -pid=/var/run/pop3d-ssl.pid -start -name=pop3d /usr/lib/courier-imap
root      3137  0.0  0.0   1576   412 ?        S    00:33   0:00 /usr/sbin/courierlogger -pid=/var/run/pop3d.pid -start -name=pop3d /usr/lib/courier-imap/cou
root      3143  0.0  0.1   1676   524 ?        S    00:33   0:00 /usr/lib/courier-imap/couriertcpd -address=0 -maxprocs=40 -maxperip=4 -nodnslookup -noidentl
root      3153  0.0  0.1   1676   528 ?        S    00:33   0:00 /usr/lib/courier-imap/couriertcpd -address=0 -maxprocs=40 -maxperip=4 -nodnslookup -noidentl
nobody    3175  0.0  0.0   1632   428 ?        Ss   00:33   0:00 /sbin/portmap -i 127.0.0.1
named     3180  0.0  0.5  30784  2896 ?        Ssl  00:33   0:00 /usr/sbin/named -t /var/lib/named -u named
root      3212  0.0  0.3   4416  1740 ?        S    00:33   0:00 /usr/sbin/powersaved -d -f /var/run/acpid.socket -v 3
root      3229  0.0  0.0      0     0 ?        S<   00:33   0:00 [kondemand/0]
root      3239  0.0  0.1   3568   996 ?        S    00:33   0:00 /usr/sbin/vsftpd
root      3266  0.0  0.1   2732   956 ?        Ss   00:33   0:00 /usr/sbin/xinetd
ntp       3278  0.0  0.2   4388  1456 ?        Ss   00:33   0:00 /usr/sbin/ntpd -p /var/lib/ntp/var/run/ntp/ntpd.pid -u ntp -i /var/lib/ntp
mail      3285  0.0  0.2   7972  1392 ?        Ss   00:33   0:00 /usr/sbin/exim -bd -q30m
root      3293  0.0  0.1   1960   732 ?        Ss   00:33   0:00 /usr/sbin/cron
root      3302  0.0  0.2 106564  1048 ?        Ssl  00:33   0:00 /usr/sbin/nscd
root      3360  0.0  4.9  28556 25724 ?        Ss   00:33   0:00 /usr/sbin/spamd -d -q -x -L -u spamd -r /var/run/spamd.pid
root      3365  0.0  1.4  55132  7656 ?        Ss   00:33   0:00 /usr/sbin/httpd2-prefork -f /etc/apache2/httpd.sa24.conf -DSSL -DMAILMAN
root      3367  0.0  1.5  55656  7828 ?        Ss   00:33   0:00 /usr/sbin/httpd2-prefork -f /etc/apache2/httpd.conf -DSSL -DMAILMAN
root      3368  0.0  0.0   1632   460 ?        S    00:33   0:00 /usr/local/sa24/cronolog/cronolog --symlink=/usr/local/sa24/logfiles/schule-ratgeber.de/acce
spamd     3369  0.0  4.8  28688 24892 ?        S    00:33   0:00 spamd child
spamd     3370  0.0  4.7  28556 24368 ?        S    00:33   0:00 spamd child
wwwrun    3371  0.0  0.9  56052  4968 ?        S    00:33   0:00 /usr/sbin/httpd2-prefork -f /etc/apache2/httpd.conf -DSSL -DMAILMAN
wwwrun    3372  0.0  0.9  56052  4864 ?        S    00:33   0:00 /usr/sbin/httpd2-prefork -f /etc/apache2/httpd.conf -DSSL -DMAILMAN
wwwrun    3373  0.0  0.9  55920  4792 ?        S    00:33   0:00 /usr/sbin/httpd2-prefork -f /etc/apache2/httpd.conf -DSSL -DMAILMAN
wwwrun    3374  0.0  0.9  56052  4916 ?        S    00:33   0:00 /usr/sbin/httpd2-prefork -f /etc/apache2/httpd.conf -DSSL -DMAILMAN
sa24      3375  0.1  2.0  57404 10376 ?        S    00:33   0:01 /usr/sbin/httpd2-prefork -f /etc/apache2/httpd.sa24.conf -DSSL -DMAILMAN
sa24      3376  0.0  1.9  57568  9996 ?        S    00:33   0:00 /usr/sbin/httpd2-prefork -f /etc/apache2/httpd.sa24.conf -DSSL -DMAILMAN
sa24      3377  0.0  2.0  57428 10444 ?        S    00:33   0:00 /usr/sbin/httpd2-prefork -f /etc/apache2/httpd.sa24.conf -DSSL -DMAILMAN
sa24      3378  0.0  0.7  55132  3784 ?        S    00:33   0:00 /usr/sbin/httpd2-prefork -f /etc/apache2/httpd.sa24.conf -DSSL -DMAILMAN
sa24      3379  0.0  0.7  55132  3784 ?        S    00:33   0:00 /usr/sbin/httpd2-prefork -f /etc/apache2/httpd.sa24.conf -DSSL -DMAILMAN
wwwrun    3380  0.0  0.9  55920  5132 ?        S    00:33   0:00 /usr/sbin/httpd2-prefork -f /etc/apache2/httpd.conf -DSSL -DMAILMAN
root      3391  0.0  0.1   2056   632 tty1     Ss+  00:33   0:00 /sbin/mingetty --noclear tty1
root      3395  0.0  0.1   2060   636 tty2     Ss+  00:33   0:00 /sbin/mingetty tty2
root      3396  0.0  0.1   2060   636 tty3     Ss+  00:33   0:00 /sbin/mingetty tty3
root      3400  0.0  0.1   2060   636 tty4     Ss+  00:33   0:00 /sbin/mingetty tty4
root      3402  0.0  0.1   2056   632 tty5     Ss+  00:33   0:00 /sbin/mingetty tty5
root      3406  0.0  0.1   2060   636 tty6     Ss+  00:33   0:00 /sbin/mingetty tty6
root      3410  0.0  0.0   1584   492 ttyS0    Ss+  00:33   0:00 /sbin/agetty -L 57600 ttyS0 vt102
wwwrun    3456  0.0  0.9  55920  4760 ?        S    00:33   0:00 /usr/sbin/httpd2-prefork -f /etc/apache2/httpd.conf -DSSL -DMAILMAN
root      3459  0.0  0.0      0     0 ?        S<   00:35   0:00 [kauditd]
wwwrun    3466  0.0  0.9  55920  4764 ?        S    00:35   0:00 /usr/sbin/httpd2-prefork -f /etc/apache2/httpd.conf -DSSL -DMAILMAN
wwwrun    3467  0.0  0.9  55928  5096 ?        S    00:36   0:00 /usr/sbin/httpd2-prefork -f /etc/apache2/httpd.conf -DSSL -DMAILMAN
wwwrun    3468  0.0  0.9  55928  5076 ?        S    00:36   0:00 /usr/sbin/httpd2-prefork -f /etc/apache2/httpd.conf -DSSL -DMAILMAN
sa24      3470  0.0  0.7  55132  3784 ?        S    00:36   0:00 /usr/sbin/httpd2-prefork -f /etc/apache2/httpd.sa24.conf -DSSL -DMAILMAN
sa24      3517  0.0  0.7  55132  3784 ?        S    00:36   0:00 /usr/sbin/httpd2-prefork -f /etc/apache2/httpd.sa24.conf -DSSL -DMAILMAN
root      3605  0.0  0.5   9284  2596 ?        Ss   00:45   0:00 sshd: rootlogin [priv]
rootlogin  3611  0.0  0.3   9284  1808 ?        S    00:46   0:00 sshd: rootlogin@pts/0
rootlogin  3612  0.2  0.3   4540  1928 pts/0    Ss   00:46   0:00 -bash
root      3628  0.0  0.2   4052  1400 pts/0    S    00:46   0:00 su root
root      3631  0.0  0.3   4144  1884 pts/0    S    00:46   0:00 bash
root      3637  0.0  0.1   2480   856 pts/0    R+   00:47   0:00 ps aux

Bzw. wie überprüft SA24 ob der Dienst läuft oder nicht? Wenn er in die ps aux schauen würde, wüsste er ja dass der Dienst gestartet ist!

Gruß,

Gammla

 

[Huschi]

Da SA24 ein proprietäres System ist, kann ich nur raten:
Es schaut nach ob auf Port 22 ein Dienst lauscht... :?
(Z.B. mit netstat oder lsof.)

huschi.

 

[gammla]

Ok, vielen Dank!
Werde wohl das Programm durchforsten müssen um diesen Eintrag zu finden. Bzw. wo er konfiguriert wird.
Eigentlich wäre es auch schön, wenn ich über SA24 selbst Dienste hinzufügen könnte, die "überwacht" werden bzw. gesteuert werden!
Ich begebe mich mal aud die Suche und werde dann berichten!

Gruß,

Gammla

 

[gammla]

Hallo!

System: Suse 10.2 + SA24

Falls ein Port (siehe Posting zuvor) von einem Dienst (z.B. ssh) geändert wird, kann dieser von SA24 nicht mehr überwacht werden!

Der Port kann in folgender Datei angepasst werden:

/usr/local/sa24/lib/sa24_system.inc.php

$service_list["ftp"]            = array('desc'=>_("FTPserver"),                 'name'=>"ftp",          'port'=>"21",   'track'=>1);
$service_list["sa24_http"]      = array('desc'=>_("ServerAdmin24-Webserver"),   'name'=>"sa24_httpd",   'port'=>"22222",        'track'=>0);
$service_list["sa24d3"]         = array('desc'=>_("ServerAdmin24-Daemon"),      'name'=>"sa24d3",       'port'=>"22223",        'track'=>0);

Über 'track' kann gesteuert werden, ob der Dienst "überwacht" wird!
Vielleicht ist es ebenfalls möglich eigene Dienste hinzuzufügen?! Das habe ich allerdings noch nicht geprüft!

Vielleicht hilft es mal jemandem!

Gruß,

Gammla