Проблема с настройкой SSH

[Rotti]

Здравствуйте.
На работе имеется сервак с фряхой (7.2), который находится, ну, мягко говоря, в не очень удобном месте. Поэтому налицо необходимость использования SSH.
Полазил в rc.conf, убедился в наличии строки sshd-enable=”YES”, разкоментил следующие строки в /etc/ssh/sshd_config:

Код: Выделить всё

Port 22 
PermitRootLogin yes
AllowUsers root
PasswordAuthentication yes

По идее, должно было заходить под рутом. Но после ввода пароля клиент выдавал

Код: Выделить всё

login as: root
Using keyboard-interactive authentication.
Password:
Access denied
Using keyboard-interactive authentication.

Так ничего не смог с этим поделать, решил создать нового пользователя с правами рута.

Код: Выделить всё

pw useradd username -G wheel -s /bin/tcsh -m -d /home/username

В sshd_config добавил AllowUsers username и все) Перестал вообще подключаться по SSH. Пишет, что проблема соединения. Пробовал различные клиеты, ситуация та же.

Я уже не знаю, куда рыть, который день в гуглах. Помогите пожалуйста кто чем может...

Спасибо

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[hizel]

во-первых sshd_enable
во-вторых в конфигурации достаточно раскомментировать PermitRootLogin yes если вы хотите иметь парольный доступ от рута

[Rotti]

во-первых sshd_enable
во-вторых в конфигурации достаточно раскомментировать PermitRootLogin yes если вы хотите иметь парольный доступ от рута

1. Да, очипятка.
2. Теоретически. Но на практике это не так, по крайней мере у меня

[f_andrey]

Не рассказывайте сказок, востановите исходный конфиг и просто раскоментируйте строку про рута, и смените там значение с no на yes, перезапустите демон и всё заработает.

[Гость]

/etc/ssh/sshd_config

Код: Выделить всё

Protocol 2
Port 22
PermitRootLogin yes
PasswordAuthentication[code]

yes
Subsystem sftp /usr/libexec/sftp-server[/code]

/etc/hosts.allow

Код: Выделить всё

sshd : 192.168.0.10 : ALLOW

/etc/rc.conf

Код: Выделить всё

sshd_enable="YES"

Вот список изменений, которые я делал. Может еще что-то, но вроде не припомню.
Кгм, но что интересно: после удаления строки AllowUsers из sshd_config все стало работать под рутом.

Только что заработал и кастомный юзер. кгм. странно, но в любом случае спасибо за помощь

ЗЫ. Блин, рано начал радоваться. su под юзером по SSH таки не прет(

Код: Выделить всё

/usr/home/user$ su
su: Sorry

[Gamerman]

>su под юзером по SSH таки не прет(
юзер в группу wheel должен входить.

[Гость]

юзер в группу wheel должен входить.

Ну да. Он входит.

[f_andrey]

Блин да прочтите вы логи, man и правильно вводите то что нужно, и не будет у вас таких вселенских проблем

[hizel]

Блин да прочтите вы логи, man и правильно вводите то что нужно, и не будет у вас таких вселенских проблем

мягче мягче, таки раздел для начинающих

[thefree]

покажите вывод /etc/group и покажите как вы сервис sshd перезагружали.

[hedgehog]

юзер в группу wheel должен входить.

Ну да. Он входит.

судя по логу пароль не запрашивался, а, как я понимаю, либо пользователь в группу wheel таки не входит, либо

Код: Выделить всё

man su
man pam_group
cat /etc/pam.d/su

а вообще стоит обратить внимание на security/sudo , удобно
и, как мне кажется, разрешать руту логиниться по ssh - не путь джедая

[Rotti]

В wheel входит. Тем более напрямую все ок.

Код: Выделить всё

$ cat /etc/pam.d/su
#
# $FreeBSD: src/etc/pam.d/su,v 1.16.30.1 2009/04/15 03:14:26 kensmith Exp $
#
# PAM configuration for the "su" service
#

# auth
auth            sufficient      pam_rootok.so           no_warn
auth            sufficient      pam_self.so             no_warn
auth            requisite       pam_group.so            no_warn group=wheel root_only fail_safe
auth            include         system

# account
account         include         system

# session
session         required        pam_permit.so

Чесно говоря, это мне мало чего сказало.

а вообще стоит обратить внимание на security/sudo , удобно
и, как мне кажется, разрешать руту логиниться по ssh - не путь джедая

А имеет ли смысл вообще с судой заморачиваться? В системе пользователей минимум, а фактически только я. Да и я слышал, бывают проблемы.
Под рутом сидеть да, не красиво, но юзер подводит) Да и если ССШ разрешить только на один айпишник... или это всеравно ужасно?

[Gendos]

ну как же не нужен юзер, дай мне твой белый ип и через день ты потеряешь рута

[Gendos]

Лан давай так:
дерни с консоли выложи сюда

Код: Выделить всё

cat /etc/group | grep root

Код: Выделить всё

uname -a

Код: Выделить всё

ifconfig -a

Код: Выделить всё

cat /etc/ssh/sshd_config | grep PermitRootLogin

[Rotti]

Да без проблем)

Код: Выделить всё

server# cat /etc/group | grep root

wheel:*:0:root,user
operator:*:5:root

Код: Выделить всё

server# uname -a

FreeBSD server.xxx.xxx 7.2-RELEASE FreeBSD 7.2-RELEASE #0: Fri May  1 08:49:13 UTC 2009     root@walker.cse.buffalo.edu:/usr/obj/usr/src/sys/GENERIC  i386

Код: Выделить всё

server# ifconfig -a

rl0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500
        options=8<VLAN_MTU>
        ether 00:23:cd:b3:20:88
        inet 192.168.0.1 netmask 0xffffff00 broadcast 192.168.0.255
        media: Ethernet autoselect (100baseTX <full-duplex>)
        status: active
rl1: flags=8802<BROADCAST,SIMPLEX,MULTICAST> metric 0 mtu 1500
        options=8<VLAN_MTU>
        ether 00:23:cd:b3:0c:d3
        media: Ethernet autoselect
        status: no carrier
rl2: flags=8802<BROADCAST,SIMPLEX,MULTICAST> metric 0 mtu 1500
        options=8<VLAN_MTU>
        ether 00:23:cd:b3:8f:11
        media: Ethernet autoselect
        status: no carrier
nfe0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500
        options=10b<RXCSUM,TXCSUM,VLAN_MTU,TSO4>
        ether 00:24:8c:3e:73:3e
        inet 192.168.1.3 netmask 0xffffff00 broadcast 192.168.1.255
        media: Ethernet autoselect (100baseTX <full-duplex>)
        status: active
lo0: flags=8049<UP,LOOPBACK,RUNNING,MULTICAST> metric 0 mtu 16384
        inet6 fe80::1%lo0 prefixlen 64 scopeid 0x5
        inet6 ::1 prefixlen 128
        inet 127.0.0.1 netmask 0xff000000

Код: Выделить всё

server# cat /etc/ssh/sshd_config | grep PermitRootLogin

PermitRootLogin yes
# the setting of "PermitRootLogin without-password".

Вот такие пироги.

ПС. Сегодня я последний день на смене, так что я не забил, а просто не на месте))) Если получится по быстрому прошарить доступ к SSH по инету, зайду из дому)

ПСС. Кстати, строка "sshd : 192.168.0.10 : ALLOW" в "hosts.allow" походу имеет не много смысла.

[Gendos]

Полностью можно пожалуйста

Код: Выделить всё

cat /etc/ssh/sshd_config 

[Gendos]

hosts.allow имеет отношение к inetd это написано в руковродстве, ssh запущен через inetd?
и ещё вывод

Код: Выделить всё

sockstat -4

[Barracuda]

и ещё вывод

Код: Выделить всё

sockstat -4

Да чего уж мелочиться,

Код: Выделить всё

cat /etc/master.passwd

если есть возможность локального входа, заходим под этим юзером и делаем су. Не работает - копаем дальше.
Мож дело suid'е?

[Rotti]

Хех) проблема решилась весьма странным образом. До этого пользовался в основном wincsp в качестве клиента. Решил ради интереса воспользоваться putty. Все заработало. Рута можно блокировать)
Теперь буду пытаться заниматься защитой сервака. Так что всем спасибо.
Если у кого есть любые советы или линки на адекватные маны, буду благодарен) Гугл не предлагать, умею

[go6pblueex]

На практике не стОит таки пускать рута по ssh.
Делается простой финт ушами - создается обычный пользователь, добавляется в группу wheel.
После чего заходишь по ssh этим пользователем, и при необходимости поднимаешься до рута командой su.
Делается это для затруднения подбора пароля методом перебора, т.к. злоумышленнику нужно угадать не только пароль, но и имя пользователя для доступа по ssh.
И даже если он его угадает, получит в результате непривилегированный аккаунт. Занимаются этим обычно боты на зараженных машинах. Чтобы совсем уж затруднить им задачу, я переношу службу sshd на нестандартный порт. Если есть такая возможность, можно открыть доступ по ssh только для определенных IP, но это не всегда удобно, т.к. иногда срочно нужен доступ с ближайшего подручного компьютера.