Moin zusammen, ich befinde mich momentan im Zustand leichter Verwirrung und sehe den Wald nicht mehr. Gewollt ist eine Mailbenachrichtigung über jeden versuchten/stattgefundenen SSH Login. Soweit auch kein Thema mit der Zeile in /etc/hosts.allow bzw. /etc/hosts.deny sshd: 123.456.78.90: spawn (echo "Zugriff von %c auf %s "|/bin/mail -s "Unberechtigter %d-Zugriff von %c auf %s" root) (für hosts.deny, allow gleich nur ohne das "unberechtigt") Das hat soweit auch wunderbar funktioniert. Dann wollte ich den root Login via SSH abschaffen, klar, und nur für einen User (der in Gruppe "wartung" ist) mit auth required pam_wheel.so group=wartung regeln, wobei #auth required /lib/security/pam_unix.so nullok auskommentiert wurde. So mache ich das auch auf diversen RH Servern, klappt prima und das Leben könnte so schön sein. Warum auch immer: Es geht nicht. Fehler 1: Nach den Änderungen kann ich *nicht* mehr einloggen, auch nicht als User root. SSH läuft sich einfach tot wenn ich einen Connect versuche. Die Mail aus hosts.allow bekomme ich trotzdem - nur der Loginprompt erscheint nicht. Statt spwan hatte ich auch mal twist versucht - bringt aber auch nichts. Fehler 2: Nehme ich den Teil :spawn etc. raus, klappt der Login, aber nach "su -" mit User wartung kommt die lapidare Meldung: su: incorrect password begleitet wird das ganze in /var/log/messages mit # Login: sshd[30373]: Accepted password for service99 from xxx.x.xx.xx port xxxx ssh2 pam_limits[30375]: pam_parse: unknown option; one # SU su: FAILED SU (to root) service99 on /dev/pts/2 und nu steh ich da und weiss nicht weiter. Was könnte ich beim basteln versiebt haben? Beim Passwort für root habe ich mich nicht vertippt, soviel ist klar. Woher die "unknown option; one" kommt ist mir auch schleierhaft. Auf einem anderen Server kommt die Meldung nicht. Beide sind SuSE 8.1 danke im Voraus für jede Idee, Michael Weber
Hallo Michael, Michael Weber schrieb: [etwas über die gewollte Benachrichtung bei SSH Logins mittels TCP Wrapper und einen nicht funktionierenden SU Login von anderen Usern] Die Lösung für den nicht funktionierenden SU Login kann ich zwar nicht nachvollziehen, aber nachdem ich die Zeit im "Seconds to wait after an incorrect login attempt" via YaST von 10 wieder auf 3 Sekunden gestellt hatte - hat es auf einmal geklappt. Warum auch immer: Dabei wird die Datei /etc/pam.d/sshd neu geschrieben. Nicht das was anderes drinn stehen würde als vorher, aber damit hing es wohl zusammen. Was das, relativ plötzlich, nicht mehr funktionierende "spawn" und die damit zusammenhängende Benachrichtigung angeht kann ich mir leider auch nicht helfen. Er tut es nicht. Vielleicht hängt das mit der Version von OpenSSH zusammen - denn nach dem Update klappt es definitiv nicht mehr und es ist in keiner FAQ, HowTo oder manpage zu finden was man dagegen machen kann. Auch das testen mehrerer Syntaxe (?) hilft nix. #sshd: ALL: spawn /bin/echo "Zugriff von %c auf %s " | mail -s "%d-Zugriff von %c auf %s" root #sshd: ALL: spawn (echo "Zugriff von %c auf %s "|/bin/mail -s "%d-Zugriff von %c auf %s" root) Klappt beides nicht, auch nicht in Verbindung mit &. Die Mails kommen - aber ein Login-Prompt taucht nicht auf. Auch andere Kommandos, außer mail, laufen toll aber die Rückübergabe scheint zu hängen. Musst Du wohl mit leben :-( regards, Michael
participants (1)
-
Michael Weber