sshd - remote root login

C

chrisi

0
Ich bitte euch mal wieder um Hilfe...
hab schon ein paar Dinge versucht, aber bis jetzt klappt folgendes nicht: Ich will nicht, dass man sich remote per ssh gleich als root einloggen kann. Aber wenn man schon als normaler User eingeloggt ist, soll man sich mit su - als root einloggen koennen.
OS ist Trustix Secure Linux 2.2.

meine /etc/ssh/sshd_config:
Code: 
#sshd_config

Port 22
Protocol 2
#ListenAddress 0.0.0.0
#ListenAddress ::

# HostKey for protocol version 1
#HostKey /etc/ssh/ssh_host_key
# HostKeys for protocol version 2
#HostKey /etc/ssh/ssh_host_rsa_key
#HostKey /etc/ssh/ssh_host_dsa_key

# Lifetime and size of ephemeral version 1 server key
#KeyRegenerationInterval 3600
#ServerKeyBits 768

# Logging
#obsoletes QuietMode and FascistLogging
#SyslogFacility AUTH
SyslogFacility AUTHPRIV
#LogLevel INFO

# Authentication:

#LoginGraceTime 120
#PermitRootLogin yes
#StrictModes yes

#RSAAuthentication yes
#PubkeyAuthentication yes
#AuthorizedKeysFile     .ssh/authorized_keys

# rhosts authentication should not be used
#RhostsAuthentication no
# Don't read the user's ~/.rhosts and ~/.shosts files
#IgnoreRhosts yes
# For this to work you will also need host keys in /etc/ssh/ssh_known_hosts
#RhostsRSAAuthentication no
# similar for protocol version 2
#HostbasedAuthentication no
# Change to yes if you don't trust ~/.ssh/known_hosts for
# RhostsRSAAuthentication and HostbasedAuthentication
#IgnoreUserKnownHosts no

# To disable tunneled clear text passwords, change to no here!
#PasswordAuthentication yes
#PermitEmptyPasswords no

# Change to no to disable s/key passwords
#ChallengeResponseAuthentication yes

# Kerberos options
#KerberosAuthentication no
#KerberosOrLocalPasswd yes
#KerberosTicketCleanup yes

#AFSTokenPassing no

# Kerberos TGT Passing only works with the AFS kaserver
#KerberosTgtPassing no

# Set this to 'yes' to enable PAM keyboard-interactive authentication
# Warning: enabling this may bypass the setting of 'PasswordAuthentication'
#PAMAuthenticationViaKbdInt no

#X11Forwarding no
X11Forwarding yes
#X11DisplayOffset 10
#X11UseLocalhost yes
#PrintMotd yes
#PrintLastLog yes
#KeepAlive yes
#UseLogin no
#UsePrivilegeSeparation yes
#PermitUserEnvironment no
#Compression yes

#MaxStartups 10
# no default banner path
#Banner /some/path
#VerifyReverseMapping no

# override default of no subsystems
Subsystem       sftp    /usr/libexec/openssh/sftp-server
IgnoreRhosts yes
RhostsRSAAuthentication no
IgnoreUserKnownHosts no
PrintMotd yes
StrictModes yes
RSAAuthentication yes
DenyUsers root
PermitRootLogin yes
PermitEmptyPasswords no
PasswordAuthentication yes

das
Code: 
DenyUsers root
PermitRootLogin yes
hatte ich schon mal durch
Code: 
PermitRootLogin no
ersetzt gehabt, es funktioniert aber weder so noch so, wie ich will. selbst wenn ich PermitRootLogin auf yes setzt, kann ich mich remote nicht als root einloggen.

Ich hab einfach keine Idee, woran es noch liegen koennte.. bitte um alle Tipps, Rat- und Loesungsvorschlaege :)

liebe gruesse,
~chrisi
 
Ich habs nun nur überflogen da in Eile aber eine ganz blöde Frage: Hast du den sshd nach Änderung der Konfiguration neu gestartet?
 
Kleiner Tipp: Mach mal das "#" vor der Zeile weg die du änderst, sonst ist die ganze Zeile auskommentiert und nicht gültig.

Mittlerweile hab ich deinen Thread jetzt schon 3 mal gelesen und werde aber immer noch nicht schlau daraus, ob du das root-login jetzt erlauben willst oder nicht, da wiederspricht sich
Ich will nicht, dass man sich remote per ssh gleich als root einloggen kann
Zum Vergrößern anklicken....
und
selbst wenn ich PermitRootLogin auf yes setzt, kann ich mich remote nicht als root einloggen.
Zum Vergrößern anklicken....
 
Original von chrisi

Code: 
#PermitRootLogin yes
#StrictModes yes

....

# To disable tunneled clear text passwords, change to no here!
#PasswordAuthentication yes
#PermitEmptyPasswords no

....

DenyUsers root
PermitRootLogin yes


Also Du solltest mal die Optionen wie folgt setzen:

Code: 
#PermitRootLogin yes <-- Zeile entfernen
#StrictModes yes

....

DenyUsers root <-- Zeile entfernen bzw. auskommentieren
PermitRootLogin yes <-- auf "no" setzen

Dann sollte es gehen.

MfG Rushjo
Zum Vergrößern anklicken....
 
@ bm2000:
Mittlerweile hab ich deinen Thread jetzt schon 3 mal gelesen und werde aber immer noch nicht schlau daraus, ob du das root-login jetzt erlauben willst oder nicht, da wiederspricht sich
Zum Vergrößern anklicken....
ich will, dass man sich nicht gleich als root einloggen kann, sondern nur umloggen auf root, wenn man schon als normaler user eingeloggt ist.

@ Rushjo:
genau so hab ichs auch schon versucht, aber wenn ich remote su - versuche, antwortet es immer su: incorrect password - trotzdem das PW 100%ig stimmt...

@ beko: jap, /etc/init.d/sshd restart ...

danke, das hab ich aber leider alles schon mal versucht. und auf dem notebook und auch am jetzigen server funktioniert es mit dem "PermitRootLogin no" ja auch genau so, wie ich oben beschrieben habe, dass ich es will... gibts vllt noch irgendwelche andern config's und systemeinstellungen, die da mitmischen koennten?
bin ziemlich ratlos, da...

alles liebe und nochmal danke,
~chrisi
 
*uhm* Umloggen hat aber nicht wirklich etwas mit deinem sshd zu tun. Afair ist das Zauberwort hier auf den meisten Distributionen die Gruppe wheel sowie /dev/pts/

Vorsicht: Das ist nun Halbwissen was ich da von mir gebe (Ja, das passiert ;) )
 
auf andern distris hab ich die gruppe wheel nie angeruehrt, und /dev/pts/ auch nicht....
aber du weisst worums mir bei umloggen geht, oder? will halt nicht, dass man sich sofort von ueberall als root anmelden kann, ist ja doch ein ziemliches sicherheitsloch...

edit @ /dev/pts:
auf meinen RH- bzw. RH-aehnlichen Systemen, in dem Fall am Server:
Code: 
[root@crystalserver~]# ls -aFli /dev/pts
insgesamt 120
      1 drwxr-xr-x    2 root     root            0  6. Dez 23:41 ./
  64001 drwxr-xr-x   21 root     root       118784  6. Dez 23:40 ../
      4 crw--w----    1 crystal  tty      136,   2  9. Dez 15:23 2

auf der Trustix - Kiste:
Code: 
[root@crystalserver~]# ls -aFl /dev/pts
insgesamt 120
drwxr-xr-x    2 root     root            0  6. Dez 23:41 ./
drwxr-xr-x   21 root     root       118784  6. Dez 23:40 ../
crw--w----    1 crystal  tty      136,   2  9. Dez 15:23 1
also nicht wirklich unterschiedlich... schaut auf allen 3 Rechnern die ich grad da hab ziemlich aehnlich aus
 
gut, hab ich versucht. die gruppe wheel hatte bis zuvor keine mitglieder. auf den RH-systemen ist nur root mitglied der gruppe wheel. ich habs zuerst versucht, indem ich root der gruppe wheel hinzufuegte, kein positives ergebnis, dann auch den normalen user, ebenfalls kein ergebnis... :(
 
Der Username, mit dem Du Dich einloggst per ssh, der muss Mitglied der Gruppe "wheel" sein, damit er dann per "su" auf "root" wechseln kann.

MfG Rushjo
 
Üblicherweise sind Mitglieder der Gruppe user gleichzeitig Mitglied der Gruppe wheel.
 
Hast du schon mal geschaut ob es entsprechende PAM-Restriktionen gibt? Wenn du einen der RSBAC-Kernel installiert hast könnte die Beschränkung auch dort geregelt sein.
 
danke DelumaX fuer diesen neuen Aspekt. waere gut moeglich, da es ja Trustix Secure Linux heisst...
Aber wie seh ich das @ RSBAC-Kernel bzw PAM, und was kann ich da aendern?
---------------------------
EDIT: gefunden, gefunden *hurra*
die gruppe wheel ist egal, man muss in der gruppe root sein, um sich umloggen zu koennen ;)
 
Original von beko
Üblicherweise sind Mitglieder der Gruppe user gleichzeitig Mitglied der Gruppe wheel.
Zum Vergrößern anklicken....

Nein, das sollte mich sehr wundern. Ich werde zu mindestens bei meiner "openBSD" Kiste schon nett gefragt, ob ich das will. Und "Trustix Secure Linux" dürfte sich traditionell mehr an "*nix" anlehnen als an ein normales Linux wie "Fedora".

MfG Rushjo
 
Aber wie seh ich das @ RSBAC-Kernel bzw PAM, und was kann ich da aendern?
Zum Vergrößern anklicken....
Mit einem "uname -a" bekommst du die Kernelversion etc. angezeigt. Taucht hier irgendwo RSBAC auf hast du einen entsprechenden Kernel installiert. Was PAM angeht schau mal in /etc/pam.d/su nach. Im Zweifelsfall posten..
 
danke @ DelumaX, der zweite Tipp war der Volltreffer, der mir jetzt nicht nur die Loesung, sondern auch die Theorie hinter der Loesung erklaert ;) vielen vielen dank, gleich wieder was dazugelernt ;)
Code: 
root@cserver ~# cat /etc/pam.d/su
#%PAM-1.0
auth       sufficient   /lib/security/pam_rootok.so
auth       required     /lib/security/pam_wheel.so group=root
auth       required     /lib/security/pam_pwdb.so
account    required     /lib/security/pam_pwdb.so
session    required     /lib/security/pam_pwdb.so
das heisst, wenn ich das "group=root" loesche, muss der user, der su ausfuehrt, nicht mehr in der gruppe root sein und es klappt trotzdem, wenn ich das recht verstehe...

Danke noch mal euch allen :)

PS: ...und ich muss nochmal sagen, ich bin von Trustix schwer begeistert =)
 
Du musst die # davor schmeissen da der Parameter "group=" nur die jeweilige Gruppe festlegt. Wenn du nur den Parameter löschst sollte der Standard imho immer noch "root" lauten.
 
Okay :) auch gut, eigentlich ists ja der Sinn der Sache, das System sicherer zu machen und da will ich nicht mit Gewalt dagegenarbeiten ;) Jetz weiss ich ja des Raetsels Loesung :) Thanks nochmal
 
Um antworten zu können musst du eingeloggt sein.
Zurück
Oben