ssh und damit auch proftp Problem ...

FreeBSD, Gentoo, openSUSE, CentOS, Ubuntu, Debian
mascha
Posts: 22
Joined: 2003-11-07 15:01

ssh und damit auch proftp Problem ...

Post by mascha »

Hallo Miteinander,

ich habe unter Debain ein kleineres Problem mit dem ssh-Login von "normalen" Nutzern per ssh. Obwohl diese eine Loginshell zugeordnet bekommen und auch in der shadow mit Passwort eingetragen sind, können Sie sich mangel "richtigem" Passwort nicht einloggen.

In meinem Unverstand habe ich mal die UID eines Nutzers geändert - brachte aber auch nix.

Der einzige Nutzer, der sich derzeit per ssh einloggen kann, ist "root". :-(

Könnte mir jemand von Euch vielleicht einen Tip geben, woran dies liegen könnte?

Vielen Dank für Eure Mühe!

M.

dodolin
Posts: 3840
Joined: 2003-01-21 01:59
Location: Sinsheim/Karlsruhe

Re: ssh und damit auch proftp Problem ...

Post by dodolin »

Da kann man nur raten... was sagen die Logfiles des sshd?
PAM verkonfiguriert?
sshd_config verkonfiguriert?

mascha
Posts: 22
Joined: 2003-11-07 15:01

...

Post by mascha »

dodolin wrote:Da kann man nur raten... was sagen die Logfiles des sshd?
PAM verkonfiguriert?
sshd_config verkonfiguriert?
Das sshd Log sagt folgendes:

Code: Select all

sshd[2047]: Failed password for xyz from 111.222.333.444 port 63885 ssh2
Hinsichtlich PAM und sshd habe ich eigentlich gar nix konfiguriert - wahrscheinlich aus der Unkenntnis heraus, dass ich da tatsächlich noch etwas fonfigurieren muss - bisher lief es eigentlich immer ohne weitere Konfiguration ... einfach apt-get sshd und schon lief es :-).

Vielen Dank!

M.

dodolin
Posts: 3840
Joined: 2003-01-21 01:59
Location: Sinsheim/Karlsruhe

Re: ssh und damit auch proftp Problem ...

Post by dodolin »

Hast du überhaupt Passwort-Auth im sshd aktiviert?
Bist du 100% sicher, dass das PW korrekt ist?
Ich würde es vorher nochmal ändern und es dann nochmal versuchen - nur um sicherzugehen.

Was sagen die PAM-Logs? Unter Debian IIRC in /var/log/auth.log.

mascha
Posts: 22
Joined: 2003-11-07 15:01

...

Post by mascha »

Huhu,

Die Passworte habe ich noch einmal gecheckt - da gibt es keine Probleme.

In der /etc/pam.d/ssh steht folgendes:

auth required pam_nologin.so
auth required pam_unix.so
auth required pam_env.so # [1]
account required pam_unix.so
password required pam_unix.so


Die /etc/security/access.conf sieht wie folgt aus:

+betreffender_nutzername:ALL

Schliesslich habe ich als Root noch einmal versucht, mich als "nutzername" per ssh auf der shell einzulogen - also i.d.F. ssh username@localhost

da kam dann als Reaktion des Systems: Permission denied (publickey,password,keyboard-interactive).

Die Ausgabe der auth.log habe ich oben schon geschrieben. Mehr steht da wirklich nciht drin!

Vielen Dank für die Hilfe!

M.
dodolin wrote:Hast du überhaupt Passwort-Auth im sshd aktiviert?
Bist du 100% sicher, dass das PW korrekt ist?
Ich würde es vorher nochmal ändern und es dann nochmal versuchen - nur um sicherzugehen.

Was sagen die PAM-Logs? Unter Debian IIRC in /var/log/auth.log.

darkspirit
Posts: 553
Joined: 2002-10-05 16:39
Location: D'dorf

Re: ssh und damit auch proftp Problem ...

Post by darkspirit »

Poste mal deine sshd_config.

mascha
Posts: 22
Joined: 2003-11-07 15:01

...

Post by mascha »

.. und noch einmal Hallo ...:-)

also ich habe jetzt eine Lösung des Problems gefunden, die allerdings nach meinem Dafürhalten ziemlich "brutal" ist und nicht unbedingt die Sicherheit des Systems fördert:

Ich habe zunächst in der /etc/pam.d/ssh die Zeile "auth required pam_nologin.so" auskommentiert - das gleich dann nochmals in der /etc/pam.d/login gemacht.

Auf diese Weise kam ich dann als User erst mal kurzzeitig in den Server - dieser schloss jedoch sofort wieder die session unter Rückgriff auf die /etc/nologin- Datei. Dann habe ich diese auch noch umbenannt und dann klappte auch das Login. allerdings gefällt mir diese Lösung nicht sehr - wenn mir da jemand noch mal einen Tip geben könnte, wäre das super!
DarkSpirit wrote:Poste mal deine sshd_config.

Hier ist noch mein sshd_config

Code: Select all

# Package generated configuration file
# See the sshd(8) manpage for defails

# What ports, IPs and protocols we listen for
Port 22
# Use these options to restrict which interfaces/protocols sshd will bind to
#ListenAddress ::
#ListenAddress 0.0.0.0
Protocol 2
# HostKeys for protocol version 2
HostKey /etc/ssh/ssh_host_rsa_key
HostKey /etc/ssh/ssh_host_dsa_key
#Privilege Separation is turned on for security
UsePrivilegeSeparation yes

# ...but breaks Pam auth via kbdint, so we have to turn it off
# Use PAM authentication via keyboard-interactive so PAM modules can
# properly interface with the user (off due to PrivSep)
PAMAuthenticationViaKbdInt no
# Lifetime and size of ephemeral version 1 server key
KeyRegenerationInterval 3600
ServerKeyBits 768

# Logging
SyslogFacility AUTH
LogLevel INFO

# Authentication:
LoginGraceTime 600
PermitRootLogin yes
StrictModes yes

RSAAuthentication yes
PubkeyAuthentication yes
#AuthorizedKeysFile     %h/.ssh/authorized_keys

# rhosts authentication should not be used
RhostsAuthentication no
# Don't read the user's ~/.rhosts and ~/.shosts files
IgnoreRhosts yes
# For this to work you will also need host keys in /etc/ssh_known_hosts
RhostsRSAAuthentication no
# similar for protocol version 2
HostbasedAuthentication no
# Uncomment if you don't trust ~/.ssh/known_hosts for RhostsRSAAuthentication
#IgnoreUserKnownHosts yes

# To enable empty passwords, change to yes (NOT RECOMMENDED)
PermitEmptyPasswords no

# Uncomment to disable s/key passwords
#ChallengeResponseAuthentication no

# To disable tunneled clear text passwords, change to no here!
PasswordAuthentication yes


# To change Kerberos options
#KerberosAuthentication no
#KerberosOrLocalPasswd yes
#AFSTokenPassing no
#KerberosTicketCleanup no

# Kerberos TGT Passing does only work with the AFS kaserver
#KerberosTgtPassing yes

X11Forwarding no
X11DisplayOffset 10
PrintMotd no
#PrintLastLog no
KeepAlive yes
#UseLogin no

#MaxStartups 10:30:60
#Banner /etc/issue.net
#ReverseMappingCheck yes

Subsystem       sftp    /usr/lib/sftp-server
Hier mal die URL, die mich weitergebracht hat: http://www.europe.redhat.com/documentat ... imple.php3

Vielen Dank an Euch!

M.

dodolin
Posts: 3840
Joined: 2003-01-21 01:59
Location: Sinsheim/Karlsruhe

Re: ssh und damit auch proftp Problem ...

Post by dodolin »

Ich habe zunächst in der /etc/pam.d/ssh die Zeile "auth required pam_nologin.so" auskommentiert - das gleich dann nochmals in der /etc/pam.d/login gemacht.
Das ist nicht nötig. Ich habe in beiden Dateien diesen Eintrag drin und kann mich trotzdem als normaler User per Passwort einloggen. Daran liegt's also nicht.
dieser schloss jedoch sofort wieder die session unter Rückgriff auf die /etc/nologin- Datei. Dann habe ich diese auch noch umbenannt und dann klappte auch das Login.
Na, das ist ja mal logisch, oder? Sobald die Datei /etc/nologin existiert, kann sich niemand ausser vielleicht noch root mehr einloggen. Lösche diese Datei (oder benenne sie von mir aus um), dann sollte alles funktionieren. Deshalb heißt die Datei ja auch "nologin", weil dann keine Logins mehr erlaubt sind, sobald sie existiert. Genau dieses Verhalten hat auch obige PAM-Config-Zeile zur Folge.