Проблема с настройкой SSH

Простые/общие вопросы по UNIX системам. Спросите здесь, если вы новичок

Модераторы: vadim64, terminus

Правила форума
Убедительная просьба юзать теги [cоde] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
Rotti
проходил мимо
Сообщения: 5
Зарегистрирован: 2010-06-07 18:12:48

Проблема с настройкой SSH

Непрочитанное сообщение Rotti » 2010-06-07 18:51:13

Здравствуйте.
На работе имеется сервак с фряхой (7.2), который находится, ну, мягко говоря, в не очень удобном месте. :smile: Поэтому налицо необходимость использования SSH.
Полазил в rc.conf, убедился в наличии строки sshd-enable=”YES”, разкоментил следующие строки в /etc/ssh/sshd_config:

Код: Выделить всё

Port 22 
PermitRootLogin yes
AllowUsers root
PasswordAuthentication yes
По идее, должно было заходить под рутом. Но после ввода пароля клиент выдавал

Код: Выделить всё

login as: root
Using keyboard-interactive authentication.
Password:
Access denied
Using keyboard-interactive authentication.
Так ничего не смог с этим поделать, решил создать нового пользователя с правами рута.

Код: Выделить всё

pw useradd username -G wheel -s /bin/tcsh -m -d /home/username
В sshd_config добавил AllowUsers username и все) Перестал вообще подключаться по SSH. Пишет, что проблема соединения. Пробовал различные клиеты, ситуация та же.

Я уже не знаю, куда рыть, который день в гуглах. Помогите пожалуйста кто чем может...

Спасибо :smile:
Последний раз редактировалось f_andrey 2010-06-07 19:13:21, всего редактировалось 1 раз.
Причина: Автору, выбирайте пожалуйста раздел соответствуюший тематике вашего сообщения.

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

Аватара пользователя
hizel
дядя поня
Сообщения: 9031
Зарегистрирован: 2007-06-29 10:05:02
Откуда: Выборг

Re: Проблема с настройкой SSH

Непрочитанное сообщение hizel » 2010-06-07 18:59:42

во-первых sshd_enable
во-вторых в конфигурации достаточно раскомментировать PermitRootLogin yes если вы хотите иметь парольный доступ от рута
В дурацкие игры он не играет. Он просто жуткий, чу-чу, паровозик, и зовут его Блейн. Блейн --- это Боль.

Rotti
проходил мимо
Сообщения: 5
Зарегистрирован: 2010-06-07 18:12:48

Re: Проблема с настройкой SSH

Непрочитанное сообщение Rotti » 2010-06-07 19:03:36

hizel писал(а):во-первых sshd_enable
во-вторых в конфигурации достаточно раскомментировать PermitRootLogin yes если вы хотите иметь парольный доступ от рута
1. Да, очипятка.
2. Теоретически. Но на практике это не так, по крайней мере у меня

Аватара пользователя
f_andrey
майор
Сообщения: 2651
Зарегистрирован: 2007-12-26 1:22:58
Откуда: СПб
Контактная информация:

Re: Проблема с настройкой SSH

Непрочитанное сообщение f_andrey » 2010-06-07 19:15:08

Не рассказывайте сказок, востановите исходный конфиг и просто раскоментируйте строку про рута, и смените там значение с no на yes, перезапустите демон и всё заработает.
Если ваша тема перенесена, то смотри http://forum.lissyara.su/viewtopic.php?f=1&t=32308

Гость
проходил мимо

Re: Проблема с настройкой SSH

Непрочитанное сообщение Гость » 2010-06-07 21:16:24

/etc/ssh/sshd_config

Код: Выделить всё

Protocol 2
Port 22
PermitRootLogin yes
PasswordAuthentication[code]
yes
Subsystem sftp /usr/libexec/sftp-server[/code]

/etc/hosts.allow

Код: Выделить всё

sshd : 192.168.0.10 : ALLOW
/etc/rc.conf

Код: Выделить всё

sshd_enable="YES"
Вот список изменений, которые я делал. Может еще что-то, но вроде не припомню.
Кгм, но что интересно: после удаления строки AllowUsers из sshd_config все стало работать под рутом.

Только что заработал и кастомный юзер. кгм. странно, но в любом случае спасибо за помощь :smile: :smile:

ЗЫ. Блин, рано начал радоваться. su под юзером по SSH таки не прет(

Код: Выделить всё

/usr/home/user$ su
su: Sorry

Аватара пользователя
Gamerman
капитан
Сообщения: 1717
Зарегистрирован: 2009-05-17 21:01:23
Откуда: Украина, Ужгород - Днепр
Контактная информация:

Re: Проблема с настройкой SSH

Непрочитанное сообщение Gamerman » 2010-06-07 22:11:19

>su под юзером по SSH таки не прет(
юзер в группу wheel должен входить.
Глюк глюком вышибают!

Гость
проходил мимо

Re: Проблема с настройкой SSH

Непрочитанное сообщение Гость » 2010-06-08 10:41:33

Gamerman писал(а):юзер в группу wheel должен входить.
Ну да. Он входит.

Аватара пользователя
f_andrey
майор
Сообщения: 2651
Зарегистрирован: 2007-12-26 1:22:58
Откуда: СПб
Контактная информация:

Re: Проблема с настройкой SSH

Непрочитанное сообщение f_andrey » 2010-06-08 12:37:43

Блин да прочтите вы логи, man и правильно вводите то что нужно, и не будет у вас таких вселенских проблем :evil:
Если ваша тема перенесена, то смотри http://forum.lissyara.su/viewtopic.php?f=1&t=32308

Аватара пользователя
hizel
дядя поня
Сообщения: 9031
Зарегистрирован: 2007-06-29 10:05:02
Откуда: Выборг

Re: Проблема с настройкой SSH

Непрочитанное сообщение hizel » 2010-06-08 14:26:54

f_andrey писал(а):Блин да прочтите вы логи, man и правильно вводите то что нужно, и не будет у вас таких вселенских проблем :evil:
мягче мягче, таки раздел для начинающих :)
В дурацкие игры он не играет. Он просто жуткий, чу-чу, паровозик, и зовут его Блейн. Блейн --- это Боль.

Аватара пользователя
thefree
лейтенант
Сообщения: 980
Зарегистрирован: 2008-12-29 9:23:19
Откуда: Весёлая Страна

Re: Проблема с настройкой SSH

Непрочитанное сообщение thefree » 2010-06-08 14:32:01

покажите вывод /etc/group и покажите как вы сервис sshd перезагружали.
Не судите меня строго, Я не волшебник, а только учусь!
http://planetbsd.ru - RSS-агрегатор *BSD по Рунету

Аватара пользователя
hedgehog
сержант
Сообщения: 220
Зарегистрирован: 2010-01-26 11:47:05
Откуда: Kharkiv, Ukraine
Контактная информация:

Re: Проблема с настройкой SSH

Непрочитанное сообщение hedgehog » 2010-06-08 14:35:35

Гость писал(а):
Gamerman писал(а):юзер в группу wheel должен входить.
Ну да. Он входит.
судя по логу пароль не запрашивался, а, как я понимаю, либо пользователь в группу wheel таки не входит, либо

Код: Выделить всё

man su
man pam_group
cat /etc/pam.d/su
а вообще стоит обратить внимание на security/sudo , удобно :)
и, как мне кажется, разрешать руту логиниться по ssh - не путь джедая

Rotti
проходил мимо
Сообщения: 5
Зарегистрирован: 2010-06-07 18:12:48

Re: Проблема с настройкой SSH

Непрочитанное сообщение Rotti » 2010-06-08 19:43:21

В wheel входит. Тем более напрямую все ок.

Код: Выделить всё

$ cat /etc/pam.d/su
#
# $FreeBSD: src/etc/pam.d/su,v 1.16.30.1 2009/04/15 03:14:26 kensmith Exp $
#
# PAM configuration for the "su" service
#

# auth
auth            sufficient      pam_rootok.so           no_warn
auth            sufficient      pam_self.so             no_warn
auth            requisite       pam_group.so            no_warn group=wheel root_only fail_safe
auth            include         system

# account
account         include         system

# session
session         required        pam_permit.so
Чесно говоря, это мне мало чего сказало. :smile:
а вообще стоит обратить внимание на security/sudo , удобно :)
и, как мне кажется, разрешать руту логиниться по ssh - не путь джедая
А имеет ли смысл вообще с судой заморачиваться? В системе пользователей минимум, а фактически только я. :smile: Да и я слышал, бывают проблемы.
Под рутом сидеть да, не красиво, но юзер подводит) Да и если ССШ разрешить только на один айпишник... или это всеравно ужасно?

Аватара пользователя
Gendos
лейтенант
Сообщения: 801
Зарегистрирован: 2009-02-18 14:30:39
Откуда: АЗиОПА
Контактная информация:

Re: Проблема с настройкой SSH

Непрочитанное сообщение Gendos » 2010-06-08 20:06:15

ну как же не нужен юзер, дай мне твой белый ип и через день ты потеряешь рута :)
Да как удав! Работаю.

Аватара пользователя
Gendos
лейтенант
Сообщения: 801
Зарегистрирован: 2009-02-18 14:30:39
Откуда: АЗиОПА
Контактная информация:

Re: Проблема с настройкой SSH

Непрочитанное сообщение Gendos » 2010-06-08 20:13:19

Лан давай так:
дерни с консоли выложи сюда

Код: Выделить всё

cat /etc/group | grep root

Код: Выделить всё

uname -a

Код: Выделить всё

ifconfig -a

Код: Выделить всё

cat /etc/ssh/sshd_config | grep PermitRootLogin
Да как удав! Работаю.

Rotti
проходил мимо
Сообщения: 5
Зарегистрирован: 2010-06-07 18:12:48

Re: Проблема с настройкой SSH

Непрочитанное сообщение Rotti » 2010-06-08 20:38:51

Да без проблем)

Код: Выделить всё

server# cat /etc/group | grep root

wheel:*:0:root,user
operator:*:5:root

Код: Выделить всё

server# uname -a

FreeBSD server.xxx.xxx 7.2-RELEASE FreeBSD 7.2-RELEASE #0: Fri May  1 08:49:13 UTC 2009     root@walker.cse.buffalo.edu:/usr/obj/usr/src/sys/GENERIC  i386

Код: Выделить всё

server# ifconfig -a

rl0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500
        options=8<VLAN_MTU>
        ether 00:23:cd:b3:20:88
        inet 192.168.0.1 netmask 0xffffff00 broadcast 192.168.0.255
        media: Ethernet autoselect (100baseTX <full-duplex>)
        status: active
rl1: flags=8802<BROADCAST,SIMPLEX,MULTICAST> metric 0 mtu 1500
        options=8<VLAN_MTU>
        ether 00:23:cd:b3:0c:d3
        media: Ethernet autoselect
        status: no carrier
rl2: flags=8802<BROADCAST,SIMPLEX,MULTICAST> metric 0 mtu 1500
        options=8<VLAN_MTU>
        ether 00:23:cd:b3:8f:11
        media: Ethernet autoselect
        status: no carrier
nfe0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500
        options=10b<RXCSUM,TXCSUM,VLAN_MTU,TSO4>
        ether 00:24:8c:3e:73:3e
        inet 192.168.1.3 netmask 0xffffff00 broadcast 192.168.1.255
        media: Ethernet autoselect (100baseTX <full-duplex>)
        status: active
lo0: flags=8049<UP,LOOPBACK,RUNNING,MULTICAST> metric 0 mtu 16384
        inet6 fe80::1%lo0 prefixlen 64 scopeid 0x5
        inet6 ::1 prefixlen 128
        inet 127.0.0.1 netmask 0xff000000

Код: Выделить всё

server# cat /etc/ssh/sshd_config | grep PermitRootLogin

PermitRootLogin yes
# the setting of "PermitRootLogin without-password".
Вот такие пироги. :smile:

ПС. Сегодня я последний день на смене, так что я не забил, а просто не на месте))) Если получится по быстрому прошарить доступ к SSH по инету, зайду из дому)

ПСС. Кстати, строка "sshd : 192.168.0.10 : ALLOW" в "hosts.allow" походу имеет не много смысла. :smile:

Аватара пользователя
Gendos
лейтенант
Сообщения: 801
Зарегистрирован: 2009-02-18 14:30:39
Откуда: АЗиОПА
Контактная информация:

Re: Проблема с настройкой SSH

Непрочитанное сообщение Gendos » 2010-06-08 20:45:55

Полностью можно пожалуйста

Код: Выделить всё

cat /etc/ssh/sshd_config 
Да как удав! Работаю.

Аватара пользователя
Gendos
лейтенант
Сообщения: 801
Зарегистрирован: 2009-02-18 14:30:39
Откуда: АЗиОПА
Контактная информация:

Re: Проблема с настройкой SSH

Непрочитанное сообщение Gendos » 2010-06-08 20:52:52

hosts.allow имеет отношение к inetd это написано в руковродстве, ssh запущен через inetd?
и ещё вывод

Код: Выделить всё

sockstat -4
Да как удав! Работаю.

Barracuda
проходил мимо
Сообщения: 4
Зарегистрирован: 2010-05-27 18:45:37
Контактная информация:

Re: Проблема с настройкой SSH

Непрочитанное сообщение Barracuda » 2010-06-10 17:21:53

Gendos писал(а): и ещё вывод

Код: Выделить всё

sockstat -4
Да чего уж мелочиться,

Код: Выделить всё

cat /etc/master.passwd
если есть возможность локального входа, заходим под этим юзером и делаем су. Не работает - копаем дальше.
Мож дело suid'е?

Rotti
проходил мимо
Сообщения: 5
Зарегистрирован: 2010-06-07 18:12:48

Re: Проблема с настройкой SSH

Непрочитанное сообщение Rotti » 2010-06-13 16:13:53

Хех) проблема решилась весьма странным образом. До этого пользовался в основном wincsp в качестве клиента. Решил ради интереса воспользоваться putty. Все заработало. Рута можно блокировать)
Теперь буду пытаться заниматься защитой сервака. Так что всем спасибо. :smile:
Если у кого есть любые советы или линки на адекватные маны, буду благодарен) Гугл не предлагать, умею :-D

go6pblueex
проходил мимо

Re: Проблема с настройкой SSH

Непрочитанное сообщение go6pblueex » 2010-06-17 13:30:12

На практике не стОит таки пускать рута по ssh.
Делается простой финт ушами - создается обычный пользователь, добавляется в группу wheel.
После чего заходишь по ssh этим пользователем, и при необходимости поднимаешься до рута командой su.
Делается это для затруднения подбора пароля методом перебора, т.к. злоумышленнику нужно угадать не только пароль, но и имя пользователя для доступа по ssh.
И даже если он его угадает, получит в результате непривилегированный аккаунт. Занимаются этим обычно боты на зараженных машинах. Чтобы совсем уж затруднить им задачу, я переношу службу sshd на нестандартный порт. Если есть такая возможность, можно открыть доступ по ssh только для определенных IP, но это не всегда удобно, т.к. иногда срочно нужен доступ с ближайшего подручного компьютера.