Страница 1 из 1
sshd и su
Добавлено: 2007-07-16 18:24:18
MblW
Добрый день.
Такая ситуевина. Пытаюсь зайти на сервак (FreeBSD 6.1) через ssh, клиент putty. Пускает под пользователем на ура. Но когда даю команду su, спрашивает пароль и говорит, что su: Sorry.
С другого компа из той же подсети без проблем дает рутовый доступ. В чем может быть проблема? Заранее благодарен
login as: magister
Using keyboard-interactive authentication.
Password:
FreeBSD 6.1-RELEASE (MYKERNEL)
Welcome to FreeBSD!
mushroom:~>
mushroom:~> cat /etc/group | grep wheel
wheel:*:0:root,magister
mushroom:~> su
Password:
su: Sorry
mushroom:~>
Re: sshd и su
Добавлено: 2007-07-16 18:51:00
Alex Keda
фигасе... может и можно так настроить sshd - но я таких тонкостей не знаю...
давай /etc/ssh/sshd_config
Re: sshd и su
Добавлено: 2007-07-16 19:17:17
Alex Keda
и заодно, дай
с того и другого хоста, и
тоже зайдя и с того и с дргугого..
в принципе, можно запретить запуск команды - но вот чтобы по хостам...
===========
перечитал маны - просветления не принесло. странно
Re: sshd и su
Добавлено: 2007-07-16 21:40:06
alex3
может у тебя на одном компе переключательраскладок сломался?
Re: sshd и su
Добавлено: 2007-07-17 8:21:20
MblW
Код: Выделить всё
mushroom:~> cat /etc/ssh/sshd_config
# $OpenBSD: sshd_config,v 1.72 2005/07/25 11:59:40 markus Exp $
# $FreeBSD: src/crypto/openssh/sshd_config,v 1.42.2.1 2005/09/11 16:50:35 des Exp $
# This is the sshd server system-wide configuration file. See
# sshd_config(5) for more information.
# This sshd was compiled with PATH=/usr/bin:/bin:/usr/sbin:/sbin
# The strategy used for options in the default sshd_config shipped with
# OpenSSH is to specify options with their default value where
# possible, but leave them commented. Uncommented options change a
# default value.
# Note that some of FreeBSD's defaults differ from OpenBSD's, and
# FreeBSD has a few additional options.
#VersionAddendum FreeBSD-20050903
#Port 22
#Protocol 2
#AddressFamily any
#ListenAddress 0.0.0.0
#ListenAddress ::
# HostKey for protocol version 1
#HostKey /etc/ssh/ssh_host_key
# HostKeys for protocol version 2
#HostKey /etc/ssh/ssh_host_dsa_key
# Lifetime and size of ephemeral version 1 server key
#KeyRegenerationInterval 1h
#ServerKeyBits 768
# Logging
# obsoletes QuietMode and FascistLogging
#SyslogFacility AUTH
#LogLevel INFO
# Authentication:
#LoginGraceTime 2m
#PermitRootLogin no
#StrictModes yes
#MaxAuthTries 6
#RSAAuthentication yes
#PubkeyAuthentication no
#AuthorizedKeysFile .ssh/authorized_keys
# For this to work you will also need host keys in /etc/ssh/ssh_known_hosts
#RhostsRSAAuthentication no
# similar for protocol version 2
#HostbasedAuthentication no
# Change to yes if you don't trust ~/.ssh/known_hosts for
# RhostsRSAAuthentication and HostbasedAuthentication
#IgnoreUserKnownHosts no
# Don't read the user's ~/.rhosts and ~/.shosts files
#IgnoreRhosts yes
# Change to yes to enable built-in password authentication.
#PasswordAuthentication yes
#PermitEmptyPasswords no
# Change to no to disable PAM authentication
#ChallengeResponseAuthentication yes
# Kerberos options
#KerberosAuthentication no
#KerberosOrLocalPasswd yes
#KerberosTicketCleanup yes
#KerberosGetAFSToken no
# GSSAPI options
#GSSAPIAuthentication no
#GSSAPICleanupCredentials yes
# Set this to 'no' to disable PAM authentication, account processing,
# and session processing. If this is enabled, PAM authentication will
# be allowed through the ChallengeResponseAuthentication mechanism.
# Depending on your PAM configuration, this may bypass the setting of
# PasswordAuthentication, PermitEmptyPasswords, and
# "PermitRootLogin without-password". If you just want the PAM account and
# session checks to run without PAM authentication, then enable this but set
# ChallengeResponseAuthentication=no
#UsePAM yes
#AllowTcpForwarding yes
#GatewayPorts no
#X11Forwarding yes
#X11DisplayOffset 10
#X11UseLocalhost yes
#PrintMotd yes
#PrintLastLog yes
#TCPKeepAlive yes
#UseLogin no
#UsePrivilegeSeparation yes
#PermitUserEnvironment no
#Compression delayed
#ClientAliveInterval 0
#ClientAliveCountMax 3
#UseDNS yes
#PidFile /var/run/sshd.pid
#MaxStartups 10
# no default banner path
#Banner /some/path
# override default of no subsystems
Subsystem sftp /usr/libexec/sftp-server
AllowUsers magister
==========================================================================
МАШИНА, С КОТОРОЙ ПУСКАЕТ НОРМАЛЬНО
==========================================================================
Код: Выделить всё
mushroom:~> id
uid=1002(magister) gid=1002(magister) groups=1002(magister), 0(wheel)
Код: Выделить всё
mushroom:~> ps auxwv | grep sshd
root 25674 0.0 0.5 6104 2680 ?? Is 7:49AM 0:00.04 sshd: magister [priv] 127 127 12 - 156
root 25946 0.0 0.5 6104 2748 ?? Is 7:51AM 0:00.04 sshd: magister [priv] 127 127 0 - 156
magister 25677 0.0 0.5 6080 2668 ?? I 7:49AM 0:00.02 sshd: magister@ttyp0 127 127 0 - 156
magister 25949 0.0 0.5 6080 2760 ?? S 7:51AM 0:00.29 sshd: magister@ttyp1 0 127 0 - 156
root 36827 0.0 0.5 3356 2356 ?? Is 5:48PM 0:00.00 /usr/sbin/sshd 127 127 0 - 156
Код: Выделить всё
#
# magister@ttyp1 - отсюда su отрабатывает нормально
# magister@ttyp0 - а здесь su: sorry
#
Код: Выделить всё
mushroom:/home/magister# id
uid=0(root) gid=0(wheel) groups=0(wheel), 5(operator), 1003(netmon)
Код: Выделить всё
mushroom:/home/magister# ps -auxwv | grep sshd
root 25674 0.0 0.5 6104 2680 ?? Is 7:49AM 0:00.04 sshd: magister [priv] 127 127 12 - 156
root 25946 0.0 0.5 6104 2748 ?? Is 7:51AM 0:00.04 sshd: magister [priv] 127 127 0 - 156
magister 25677 0.0 0.5 6080 2668 ?? I 7:49AM 0:00.02 sshd: magister@ttyp0 92 127 0 - 156
magister 25949 0.0 0.5 6080 2760 ?? S 7:51AM 0:00.28 sshd: magister@ttyp1 0 127 0 - 156
root 36827 0.0 0.5 3356 2356 ?? Is 5:48PM 0:00.00 /usr/sbin/sshd 127 127 0 - 156
==========================================================================
А ВОТ ОТСЮДА ЗАЙТИ НЕ МОГУ
==========================================================================
Код: Выделить всё
mushroom:~> id
uid=1002(magister) gid=1002(magister) groups=1002(magister), 0(wheel)
mushroom:~> [b]ps auxwv | grep sshd[/b]
root 25674 0.0 0.5 6104 2680 ?? Is 7:49AM 0:00.04 sshd: magister [priv] 127 127 12 - 156
root 25946 0.0 0.5 6104 2748 ?? Is 7:51AM 0:00.04 sshd: magister [priv] 127 127 0 - 156
magister 25677 0.0 0.5 6080 2668 ?? S 7:49AM 0:00.03 sshd: magister@ttyp0 0 127 0 - 156
magister 25949 0.0 0.5 6080 2760 ?? I 7:51AM 0:00.29 sshd: magister@ttyp1 127 127 0 - 156
root 36827 0.0 0.5 3356 2356 ?? Is 5:48PM 0:00.00 /usr/sbin/sshd 127 127 0 - 156
И прицепом
Код: Выделить всё
mushroom:~> cat /etc/pam.d/sshd
#
# $FreeBSD: src/etc/pam.d/sshd,v 1.15 2003/04/30 21:57:54 markm Exp $
#
# PAM configuration for the "sshd" service
#
# auth
auth required pam_nologin.so no_warn
auth sufficient pam_opie.so no_warn no_fake_prompts
auth requisite pam_opieaccess.so no_warn allow_local
#auth sufficient pam_krb5.so no_warn try_first_pass
#auth sufficient pam_ssh.so no_warn try_first_pass
auth required pam_unix.so no_warn try_first_pass
# account
#account required pam_krb5.so
account required pam_login_access.so
account required pam_unix.so
# session
#session optional pam_ssh.so
session required pam_permit.so
Код: Выделить всё
# password
# Вот эту строку закомментил
#password sufficient pam_krb5.so no_warn try_first_pass
# и поставил вот эту
password required pam_unix.so no_warn try_first_pass
Re: sshd и su
Добавлено: 2007-07-17 8:28:38
Alex Keda
юзай кнопочку code - ладно?
==========
мдя... фиг знает
в логах что на попытку сделать su с той машины, где не даёт?
Re: sshd и su
Добавлено: 2007-07-17 8:47:01
MblW
Ок
Код: Выделить всё
mushroom:/etc# tail -f /var/log/messages
Jul 17 08:37:05 mushroom su: BAD SU magister to root on /dev/ttyp0
Ничего информативного
и при /usr/sbin/sshd -ddd
Код: Выделить всё
login as: magister
Using keyboard-interactive authentication.
Password:
Last login: Tue Jul 17 08:38:33 2007 from 192.168.1.8
Copyright (c) 1980, 1983, 1986, 1988, 1990, 1991, 1993, 1994
The Regents of the University of California. All rights reserved.
FreeBSD 6.1-RELEASE (MYKERNEL) #0: Mon Nov 13 21:20:11 UTC 2006
Welcome to FreeBSD!
debug3: Copy environment: PATH=/sbin:/bin:/usr/sbin:/usr/bin:/usr/games:/usr/local/sbin:/usr/local/bin:/usr/X11R6/bin:/home/magister/bin
debug3: Copy environment: MAIL=/var/mail/magister
debug3: Copy environment: BLOCKSIZE=K
debug3: Copy environment: FTP_PASSIVE_MODE=YES
Environment:
USER=magister
LOGNAME=magister
HOME=/home/magister
MAIL=/var/mail/magister
PATH=/sbin:/bin:/usr/sbin:/usr/bin:/usr/games:/usr/local/sbin:/usr/local/bin:/usr/X11R6/bin:/home/magister/bin
TERM=xterm
BLOCKSIZE=K
FTP_PASSIVE_MODE=YES
SHELL=/bin/tcsh
SSH_CLIENT=192.168.1.8 4711 22
SSH_CONNECTION=192.168.1.8 4711 192.168.1.5 22
SSH_TTY=/dev/ttyp0
debug3: channel 0: close_fds r -1 w -1 e -1 c -1
mushroom:~> su
Password:
su: Sorry
mushroom:~>
Re: sshd и su
Добавлено: 2007-07-17 8:49:34
Alex Keda
пароль не русскими ли буквами часом?
сделай простой аглицкий пароль - например 123123
попробуй с того компа, причём не с боковых цифр, а с тех которые над клавиатурой.
(у них коды разные - может и это сказаться)
Re: sshd и su
Добавлено: 2007-07-17 8:57:52
MblW
Пароль без кириллицы, все в порядке
к тому же проверил сейчас войти еще с одного компа - без проблем пустило
Выходит, ему не нравится аура моего компа
Прибил все настройки путти, которые могли мешать - эффекта нету...
Re: sshd и su
Добавлено: 2007-07-17 9:10:51
Alex Keda
пароль из цифр попробуй...
Re: sshd и su
Добавлено: 2007-07-17 9:12:42
schizoid
прибей на серваке в ~/.ssh/known_hosts строку с ключом того хоста, с которого не можешь зайти. нехай снова ключами обменяются.
Re: sshd и su
Добавлено: 2007-07-17 9:14:05
Alex Keda
и кстати - из под какой ОС ходишь?
Re: sshd и su
Добавлено: 2007-07-17 9:19:54
MblW
WinXP sp2, клиент putty 0.60
Re: sshd и su
Добавлено: 2007-07-17 9:21:30
Alex Keda
lissyara писал(а):пароль из цифр попробуй...
Re: sshd и su
Добавлено: 2007-07-17 9:28:35
MblW
хм... сменил пароль - пустило... выходил, клаву на металлолом пустить надо, я ж не мог несколько десятков раз набирать пасс неверно
Re: sshd и su
Добавлено: 2007-07-17 9:30:46
Alex Keda
ну...
зато я лишний раз пробежался по ману ссшд
кругом плюсы
Re: sshd и su
Добавлено: 2007-07-17 9:32:26
MblW
долго ковырялся с маном, понял, что проблем, вроде бы, быть не должно, а они есть (С)
поэтому и полез приставать к народу на форуме
спасибо большое!
Re: sshd и su
Добавлено: 2007-07-18 10:01:14
wizard
а здесь /etc/ttys ты ничего не менял?
Re: sshd и su
Добавлено: 2007-07-18 11:39:09
abanamat
puntoswitcher
Re: sshd и su
Добавлено: 2007-07-18 11:58:38
Alex Keda
да знаешь, хреновина такая, что через три минуты работы путти в исключения вносишь
Re: sshd и su
Добавлено: 2007-07-18 12:18:08
Andy
lissyara писал(а):да знаешь, хреновина такая, что через три минуты работы путти в исключения вносишь
В смысле в исключения? Исключения из употребления?
А чем еще в таком случае, из-под венды тогда ssh делать?
Re: sshd и su
Добавлено: 2007-07-18 12:26:18
Alex Keda
нет. в исклюения обработки ввода - в пунто
Re: sshd и su
Добавлено: 2007-07-19 11:48:21
Andy
Сегодня проверяю логи, вижу следующее:
Код: Выделить всё
Jul 18 15:12:20 freebsd sshd[1037]: reverse mapping checking getaddrinfo for hn.
kd.jz.adsl [221.15.37.58] failed - POSSIBLE BREAK-IN ATTEMPT!
Jul 18 15:12:20 freebsd sshd[1037]: User root from 221.15.37.58 not allowed beca
use not listed in AllowUsers
Кто-нибудь знает что такое reverse mapping checking? И еще, почему он только
про рута говорит, что он не в списке поддерживаемых пользователей? Остальных дает
перебирать спокойно?
Re: sshd и su
Добавлено: 2007-07-19 12:12:11
Alex Keda
может других не подбирали?
сам попробуй левым юзером....
Re: sshd и su
Добавлено: 2007-07-19 12:20:36
Andy
Пока спрашивал у Яндекса, наткнулся на такой
ответ
Код: Выделить всё
Угу. Ночь... Мягко шуршат винты, поют кулера. В верхине порты привычно ломятся черви administrator и admin. В 1026 и 1027 с великим энтузиазмом наяривают китайцы, иногда даже кажется, что лично, вручную и все. Люблю, когда всё нормально...