Hallo, wenn der user root kein Passwort hat so kann ich mich nicht via ssh einloggen (bitte nicht den Schwachsinn 'root ohne Passwort' diskutieren, ist mir vollkommen klar). Oder doch? Danke im Voraus Michael Lootz
Am Freitag, 9. November 2001 09:47 schrieb Michael Lootz:
Hallo,
wenn der user root kein Passwort hat so kann ich mich nicht via ssh einloggen in der sshd_config gibt es eine Option, login mit leerem Passwort ablehnen, wenn ich es recht in Erinnerung habe, kann man hier auch den user user root vom login ausnehmen.
PermitRootLogin PermitEmptyPassword
(bitte nicht den Schwachsinn 'root ohne Passwort' diskutieren, ist mir vollkommen klar).
user ohne Password ? root ohne Password ? und vielleicht noch auf einem öffentlich zugänglichen Server ? Hagen
----- Original Message -----
From: "Hagen Kühnel"
Am Freitag, 9. November 2001 09:47 schrieb Michael Lootz:
Hallo,
wenn der user root kein Passwort hat so kann ich mich nicht via ssh einloggen in der sshd_config gibt es eine Option, login mit leerem Passwort ablehnen, wenn ich es recht in Erinnerung habe, kann man hier auch den user user root vom login ausnehmen.
PermitRootLogin PermitEmptyPassword
(bitte nicht den Schwachsinn 'root ohne Passwort' diskutieren, ist mir vollkommen klar).
user ohne Password ? root ohne Password ? und vielleicht noch auf einem öffentlich zugänglichen Server ?
Ja, ja, ja. Du hast vollkommen recht. Es ist ein TDSL-Server und damit die Kinder - wenn sie ins Internet gehen und spielen - nicht auch noch ein passwort eingeben müssen, habe ich das passwort leer gelassen. Werde ich aber überdenken denn was die sich für sch... alles merken können, da sollte ein passwort keine Rolle spielen. Danke Michael
Hallo Michael, hallo Leute, Am Freitag, 9. November 2001 12:32 schrieb Michael Lootz:
----- Original Message ----- überflüssig und unbeliebt
From: "Hagen Kühnel"
To:
noch überflüssiger
Sent: Friday, November 09, 2001 12:09 PM könnte auch hinter dem Absender stehen, siehe meine Zitateinleitung
Subject: Re: ssh login Steht das nicht schon im Betreff Deiner Mail? Das ist die überflüssigste Zeile von "Original Message".
Du solltest Dir ein anderes Mailprogramm zulegen ;-)
Am Freitag, 9. November 2001 09:47 schrieb Michael Lootz:
wenn der user root kein Passwort hat so kann ich mich nicht via ssh einloggen [...] (bitte nicht den Schwachsinn 'root ohne Passwort' diskutieren, ist mir vollkommen klar).
user ohne Password ? root ohne Password ? und vielleicht noch auf einem öffentlich zugänglichen Server ?
Ja, ja, ja. Du hast vollkommen recht. Es ist ein TDSL-Server und damit die Kinder - wenn sie ins Internet gehen und spielen - nicht auch noch ein passwort eingeben müssen, habe ich das passwort leer gelassen. Werde ich aber überdenken denn was die sich für sch... alles merken können, da sollte ein passwort keine Rolle spielen.
Also: Du solltest möglichst keine User ohne Passwort anlegen. Ein root-Zugang ohne Passwort ist aber mit Sicherheit grob fahrlässig... Du solltest Deinen Kindern auch nicht das root-Passwort verraten. Was ist, wenn jemand unbedingt mal die Wirkung von "rm -R /" testen möchte? Du wirst Deinen Spaß daran haben ;-) Ich glaube, Du suchst nach sudo. Damit kann man bestimmten Benutzern erlauben, einzelne Kommandos als root auszuführen, nicht aber alle anderen Kommandos. Die Einrichtung erfolgt durch Eingabe von "visudo", man visudo, man sudoers und man sudo sollten Dir weiterhelfen. Ich erlaube z. B. dem User halt, den Rechner herunterzufahren. Dazu habe ich folgende Zeile bei visudo eingetragen: halt ALL=(ALL) NOPASSWD:/sbin/init 0 Falls Du vi nicht kennst: Um Text eingeben zu können, "i" drücken, für Speichern und Beenden Escape :wq Return Als Benutzer gibt man dann "sudo /sbin/init 0" ein, um das Kommando auszuführen. Du kannst Dir aber z. B. auch Serviceuser anlegen und die sudo-Aufrufe in deren .profile schreiben. Hast Du eigentlich eine Firewall am Laufen? Falls nicht: sag mir Deine IP und Du erfährst, warum man keinen root-Login ohne Passwort erlauben sollte ;-) Gruß Christian Boltz -- Registrierter Linux-Nutzer #239431 Linux is like a wigwam: no gates, no windows, but an apache inside.
Hallo Christian,
From: "Christian Boltz"
Hallo Michael, hallo Leute,
Am Freitag, 9. November 2001 12:32 schrieb Michael Lootz:
----- Original Message ----- überflüssig und unbeliebt
berücksichtigt. Aber muß denn jede Zeile auf Sinn/Unsinn überprüft werden?
From: "Hagen Kühnel"
To:
noch überflüssiger
ACK
Also: Du solltest möglichst keine User ohne Passwort anlegen. Ein root-Zugang ohne Passwort ist aber mit Sicherheit grob fahrlässig...
Du solltest Deinen Kindern auch nicht das root-Passwort verraten.
Was ist, wenn jemand unbedingt mal die Wirkung von "rm -R /" testen möchte? Du wirst Deinen Spaß daran haben ;-)
dann spiele ich das Backup ein. Abgesehen davon haben die Kinder keine Ahnung von rm -R /*.
Ich glaube, Du suchst nach sudo. Damit kann man bestimmten Benutzern erlauben, einzelne Kommandos als root auszuführen, nicht aber alle anderen Kommandos.
Die Einrichtung erfolgt durch Eingabe von "visudo", man visudo, man sudoers und man sudo sollten Dir weiterhelfen. Ich erlaube z. B. dem User halt, den Rechner herunterzufahren. Dazu habe ich folgende Zeile bei visudo eingetragen:
halt ALL=(ALL) NOPASSWD:/sbin/init 0
Falls Du vi nicht kennst: Um Text eingeben zu können, "i" drücken, für Speichern und Beenden Escape :wq Return
Als Benutzer gibt man dann "sudo /sbin/init 0" ein, um das Kommando auszuführen. Du kannst Dir aber z. B. auch Serviceuser anlegen und die sudo-Aufrufe in deren .profile schreiben.
Hast Du eigentlich eine Firewall am Laufen? Falls nicht: sag mir Deine IP und Du erfährst, warum man keinen root-Login ohne Passwort erlauben sollte ;-)
Ich habe eigentlich - aus Neugier - nur wissen wollen, warum kein leeres Passwort unter ssh geht da es doch unter rlogin funktioniert. Die Antwort von Hagen Kühnel war das wonach ich suchte. Trotzdem vielen Dank für den Tip mit visudo. Das ist etwas was ich schon früher mal gesucht habe. Das werde ich auf jeden Fall auf dem TDSL-Server einrichten. Gruß Michael
Am Freitag, 9. November 2001 12:09 schrieb Hagen Kühnel:
PermitRootLogin PermitEmptyPassword
Nachtrag: in den aus den source gebldetem SSH2, V 3.0 auf meinem Server gibt es ausserdem noch die Möglichkeit: AllowUsers DenyUsers //hier steht bei mir der root - weil ich sowas nicht mag, weil nur ich der root bin, und ich das per su machen kann, wenns sein muss (z.B. laufende Logdateien) AllowGroups DenyGroups SSH2 ist übrigens richtig hübsch, zu überlegen, ob ich es auch auf meinen SuSE - tuxis zusammenbaue. - Für'n "echten" Server IMHO wirklich zu empfehlen. Hagen PS: muss den aber, wenn ich es richtig verstanden habe, das dialin/Login ins T-ADSL unbedingt der root machen ? Es gäbe doch auch die möglichkeit, dies über Gruppenzugehörigkeit einzurichten ?! Dann kann sich jeder mit seinem PW einlogen und, sofern er die Rechte hat, die Einwahl starten.
Michael Lootz schrieb am Fri, 9 Nov 2001 09:47:26 +0100: ssh login
Hallo,
wenn der user root kein Passwort hat so kann ich mich nicht via ssh einloggen (bitte nicht den Schwachsinn 'root ohne Passwort' diskutieren, ist mir vollkommen klar). Oder doch?
Danke im Voraus
Michael Lootz
und nicht via telnet, ftp ... zumindest bei mir, und zwar egal, ob als root oder irgendein user. Irgendwer Schlaues hat wenigstens die Forderung nach einem Passwort für remote-logins festgeschrieben. Außerdem verhindern ftp, telnet, ssh IMHO generell die direkte Anmeldung als root. Sicher kann man das alles aushebeln und ebenso sicher findest Du den Weg dazu im Archiv der Liste. Aber Voreinstellung ist - zumindest bei mir - s.o. -- may the tux be with You! Joerg Thuemmler sysadmin@vordruckleitverlag.de Vordruck Leitverlag GmbH Berlin, ZNL Freiberg Halsbruecker Str. 31b, 09599 Freiberg, Germany Tel. +49 (0)3731/303121
----- Original Message -----
From: "Joerg Thuemmler"
Michael Lootz schrieb am Fri, 9 Nov 2001 09:47:26 +0100: ssh login
Hallo,
wenn der user root kein Passwort hat so kann ich mich nicht via ssh einloggen (bitte nicht den Schwachsinn 'root ohne Passwort' diskutieren, ist mir vollkommen klar). Oder doch?
Danke im Voraus
Michael Lootz
und nicht via telnet, ftp ... zumindest bei mir, und zwar egal, ob als root oder irgendein user. Irgendwer Schlaues hat wenigstens die Forderung nach einem Passwort für remote-logins festgeschrieben. Außerdem verhindern ftp, telnet, ssh IMHO generell die direkte Anmeldung als root.
Sicher kann man das alles aushebeln und ebenso sicher findest Du den Weg dazu im Archiv der Liste. Aber Voreinstellung ist - zumindest bei mir - s.o.
Und wie kommst Du an den Server dran ohne extra Bildschirm? Michael Lootz
participants (4)
-
Christian Boltz
-
Hagen Kühnel
-
Joerg Thuemmler
-
Michael Lootz