ssh Anmeldung nur vom lokalen Server

[Ruebenmaster]

Hallo Leute,
eigentlich bin ich ja nicht auf den Kopf gefallen... Aber der SuSE 9.2, den ich heute aufgesetzt hab, raubt mir in Sachen ssh den letzten Nerv. Ich möchte gerne von einem Client aus, per putty, auf dem Server zugreifen. Er meldet, dass ich den Benutzernamen eingeben soll und danach das Passwort. Es folgt die Fehlermeldung:

Access denied

Ich habe mich an der Konsole des Servers angemeldet und dann ssh <IPAdresse des Servers> eingegeben. Die gleiche Prozedur läuft ab, aber ich bekomme "Have a lot of fun".

Ich kann mich also vom localhost aus anmelden.

Ich bin dann zur /etc/ssh/ssh_config und sshd_config gegangen um entfernte Rechner freizugeben.

Die Firewall Funktion von SuSE 9.2 ist abgeschaltet!

Es gelingt mir immer noch nicht, mich von einem entfernten System aus anzumelden. Was muss ich in welcher Konfigurationsdatei angeben, damit ich Zugriff erhalte. Oder ist es ein Benutzerproblem? Fehlen dem Benutzer die Rechte zur Anmeldung? "root" darf sich auch nicht anmelden...

Gruss
DER Ruebenmaster

 

[tr0nix]

Login als root? -> /etc/ssh/sshd_config allow_root_login (oder sowas)
Login lokal moeglich? -> ssh localhost
Kommt Passworteingabeaufforderung wenn du remote versuchst einzuloggen? Dann ist ssh-daemon sicher aktiv und erreichbar.

Letzten endes:
auf Susi sshd stoppen und manuell mit sshd -DDD (-D ist glaubs Debug Schalter) starten und auf der Konsole schauen was nicht i.O. ist

Gruess
Joel

 

[Ruebenmaster]

Hallo tr0nix,
ich werde mal nachschauen, was in die sshd_config eingetragen werden muss.

Wenn ich von einem externen Rechner zugreife, dann bekomme ich den "login:"
Ich gebe den Benutzernamen ein (nicht root) und dann wird nach dem Passwort gefragt. Erst danach kommt: Access denied.

Ich habe mich lokal angemeldet und dann ein ssh 172.16.78.239 abgesetzt. Es folgt die gleiche Prozedur wie oben nur dass die Anmeldung erfolgreich verläuft. Ein ssh localhost habe ich noch nicht getestet, werde dies aber gleich mal ausprobieren.

Gruss
DER Ruebenmaster

 

[Ruebenmaster]

Hallo tr0nix,
ich habe die Lösung gefunden. Es muss in der Datei /etc/ssh/sshd_config folgende zwei Einträge geändert werden.

PermitRootLogin yes

und für die normalen Benutzer:

PasswordAuthentication yes

Und schon kann ich mich mit beiden Benutzern anmelden.

Vielen Dank für Deine Tipps.


Viele Grüsse vom Kraichgaurand
DER Ruebenmaster

 

[bananenman]

den root-login würde ich gleich wieder abschalten - jeder der als root auf der maschine was zu machen hat, kann sich mit seinem user anmelden und anschließend durch su - root werden (1. gibt es weltweit wahrscheinlich nur einen anderen account der ähnlich oft mit brute-force attacken angegriffen wird (administrator), 2. wird in den log's dokumentiert wer wann root war und so schlau war mkreiserfs über die ungesicherte datenpartition laufen zu lassen ). noch sinnvoller ist es gleich sämtlichen zugang per password zu verbieten und den wenigen usern die wirklich zugriff brauchen einen entsprechenden key-file zu verpassen.

mfg

bananenman

 

[Ruebenmaster]

root über ssh

Hallo Bananenmann,
Du hast aus Sicherheitsgründen schon Recht. Kein Root sollte sich anmelden können. Mir ginge es in erster Linie nur darum, ssh überhaupt zum Laufen zu bringen.
Währen mein MAC OS X gleich Zutritt hatte, hatte ich mit Putty vom Windows System Probleme. Scheinbar übermittelt der putty zu Beginn das Passwort in Reinform, kann das sein?

Zudem kam mir beim SuSE System spanisch vor, dass es ausser der ssh_config und der sshd_config noch eine eigene ssh Konfigurationsdatei gibt.Leider ist aus den mitgelieferten Handbüchern und online Hilfen nichts über diese Dateien, deren Unterschiede oder Einsatzbereiche beschrieben.

Gruss vom Kraichgaurand
Ruebenmaster

 

[odcheck]

von wegen seltsam... ssh und Sicherheit

@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
@ WARNING: REMOTE HOST IDENTIFICATION HAS CHANGED! @
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
IT IS POSSIBLE THAT SOMEONE IS DOING SOMETHING NASTY!

wenn Ihr diese Meldung bei einem Verbindungsversuch via ssh jemals bekommen habt dann wisst Ihr wahrscheinlich was es damit auf sich hat.
- kann muß aber nicht eine "man-in-the-middle attack" Angriff sein
was bei mir zu der derzeitigen Netzwerkkonfiguration auszuschließen ist.

Wie dem auch sei. Lösung kann angeblich an dieser Stelle sein wenn man immer nur von einem Client aus seinen "server" o.ä. via ssh erreichen möchte das eintragen eines "known hosts" in der Datei /root/.ssh/known_hosts beheben. Hört sich ja ganz toll an nur zu dumm das ich diese besagte Datei nicht finde... (als root über die bash !??)
ich finde sie nicht.
Benutzte Suse 9.2 Prof.
Hat einer eine Ahnung warum ich die Datei nicht finde. Wahrscheinlich lacht jetzt jeder der genau weiß was gemeint ist nur ich kann da leider nicht darüber lachen.. obwohl :-) Ich hoffe hier einfach auf einen Rat. ja ja rtfm Bin dabei! Aber parallel Info's sammeln kann ja nicht schaden.

gruß
odchek

 

[wasseradler]

Tach!

Habe ein ehnliches Problem. Bei mir kann ich mich trotz ssh 2 per Putty/Windows nicht anmelden. Ich kann mich aber von einem Debian-Rechner per ssh anmelden.
D.h. doch das eine Anpassung der ssh_config wenig sinnvoll ist - oder ?

Gruß

 

[Ruebenmaster]

putty und ssh version 2

hallo wasseradler,
ich kenne mich mit dem Putty nicht gut aus. ich denke aber, dass der Putty wohl die erste Anmeldungen auf der Version 1 basieren, sozusagen ohne Verschlüsselung. Dies ist aber eine Vermutung meiner Seite, die ich heute wohl mit dem SLES der Version 8 wieder erleben darf. ich werde dann mal genauer schaun... ;o) Schliesslich kann man da ja nur auf Version 2 schalten und dann schauen, ob ausser meinem debian Liebling auch noch der Putty dran darf!

Viele Grüsse vom Kraichgaurand
DER Ruebenmaster

 

[bananenman]

nein, putty implementiert die ssh-version 2 vollständig - auf wunsch sogar ausschließlich (im menue unter ssh-options einstellbar).

wenn ihr diese meldung bekommt

WARNING: REMOTE HOST IDENTIFICATION HAS CHANGED!

dann wurde der key des servers geändert. sofern ihr wisst das das so ist, die maschine einfach aus der /.known_host-datei löschen. beim nächsten verbindungsversuch bekommt ihr dann eine neuerliche abfrage, ob ihr den key akzeptiert. wenn ihr nichts von der umstellung der keys wisst, solltet ihr unbedingt nachfragen und den key erst dann akzeptieren wenn ihr euch sicher seit, dass der server der richtige ist! (wie oben schon erwähnt droht eine man-in-the-middle-attack).

wer heute noch mit dem sles 8.x unterwegs ist, sollte ssh updaten - da hat sich einiges getan. außerdem ist es sinnvoll immer die neueste putty-version zu verwenden (0.56)

mfg

bananenman

 

[wasseradler]

Das war der Kinken

Danke!

Hatte eigentlich ein relativ aktuelles putty-Release (0.51). War aber nicht genug. Mit 0.56 geht's. Bei der Version kann man nämlich '2 only' unter SSH einstellen. Schon gehts.

Gruß