Hi, ich möchte mich auf einem meiner Rechner (Suse 9.2 pro) im Netzwerk peer ssh als root einloggen (z.B. "ssh -X root@192.168.178.22"). Ich kriege aber immer ein "Acces denied". Tausche ich das 'root' mit einem normalen Benutzer geht es. Ein Benutzer kann aber auch nicht 'su' ausführen. Hier die Teile der sshd-config die nicht auskommiert sind: PermitRootLogin yes PasswordAuthentication yes UsePAM yes X11Forwarding yes Subsystem sftp /usr/lib/ssh/sftp-server Die einzige Zeile, die ich geändert habe war das PermitRootLogin, welches ich auf yes gesetzt habe. Ansonsten sind alle Einstellungen noch so, wie nach der Installation. Die Installation erfolgte von den CD's. Lokal, also direkt an der Konsole des Rechners kann ich mich natürlich als root einloggen. Ich brauche den direkten root-Zugang aber, weil ich das System über Netz administrieren und konfigurieren will (der Rechner steht im Keller). Gruss, N. Eschricht
Hi, haste auch nen "rcsshd reload bzw. restart" gemacht ?? Ich weiß dumme Frage , aber manchmal wirds einfach vergessen :-) gruß jens ----- Original Message ----- From: "Nico Eschricht" <eschricht@hmi.de> To: <suse-linux@suse.com> Sent: Wednesday, March 09, 2005 2:36 PM Subject: Root login per SSH
Hi,
ich möchte mich auf einem meiner Rechner (Suse 9.2 pro) im Netzwerk peer ssh als root einloggen (z.B. "ssh -X root@192.168.178.22"). Ich kriege aber immer ein "Acces denied". Tausche ich das 'root' mit einem normalen Benutzer geht es. Ein Benutzer kann aber auch nicht 'su' ausführen. Hier die Teile der sshd-config die nicht auskommiert sind:
PermitRootLogin yes PasswordAuthentication yes UsePAM yes X11Forwarding yes Subsystem sftp /usr/lib/ssh/sftp-server
Die einzige Zeile, die ich geändert habe war das PermitRootLogin, welches ich auf yes gesetzt habe. Ansonsten sind alle Einstellungen noch so, wie nach der Installation. Die Installation erfolgte von den CD's. Lokal, also direkt an der Konsole des Rechners kann ich mich natürlich als root einloggen. Ich brauche den direkten root-Zugang aber, weil ich das System über Netz administrieren und konfigurieren will (der Rechner steht im Keller).
Gruss, N. Eschricht
-- Um die Liste abzubestellen, schicken Sie eine Mail an: suse-linux-unsubscribe@suse.com Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: suse-linux-help@suse.com
Am Mittwoch, 9. März 2005 14:36 schrieb Nico Eschricht:
Hi,
ich möchte mich auf einem meiner Rechner (Suse 9.2 pro) im Netzwerk peer ssh als root einloggen (z.B. "ssh -X root@192.168.178.22"). Ich kriege aber immer ein "Acces denied". Tausche ich das 'root' mit einem normalen Benutzer geht es. Ein Benutzer kann aber auch nicht 'su' ausführen. Hier die Teile der sshd-config die nicht auskommiert sind:
PermitRootLogin yes PasswordAuthentication yes UsePAM yes X11Forwarding yes Subsystem sftp /usr/lib/ssh/sftp-server
Die einzige Zeile, die ich geändert habe war das PermitRootLogin, welches ich auf yes gesetzt habe. Ansonsten sind alle Einstellungen noch so, wie nach der Installation. Die Installation erfolgte von den CD's. Lokal, also direkt an der Konsole des Rechners kann ich mich natürlich als root einloggen. Ich brauche den direkten root-Zugang aber, weil ich das System über Netz administrieren und konfigurieren will (der Rechner steht im Keller).
Gruss, N. Eschricht
Hallo, versuch' mal "ssh -v" um herauszubekommen was genau nicht geht. Prüfe auch mal die Rechte von "/root/.ssh" (sollte 700 sein). Wenn die Rechte großzügig sind verweigert die ssh das login. Mario
Hallo,
versuch' mal "ssh -v" um herauszubekommen was genau nicht geht. Prüfe auch mal die Rechte von "/root/.ssh" (sollte 700 sein). Wenn die Rechte großzügig sind verweigert die ssh das login.
Mario
ddo@dipro1-42>ssh -v root@84.188.XX.XX OpenSSH_3.5p1, SSH protocols 1.5/2.0, OpenSSL 0x0090609f 28803: debug1: Reading configuration data /net/home/myloginname/.ssh/config 28803: debug1: Applying options for * 28803: debug1: Reading configuration data /etc/ssh/ssh_config 28803: debug1: Applying options for * 28803: debug1: Rhosts Authentication disabled, originating port will not be trusted. 28803: debug1: ssh_connect: needpriv 0 28803: debug1: Connecting to 84.188.XX.XX [84.188.XX.XX] port 22. 28803: debug1: Connection established. 28803: debug1: identity file /net/home/myloginname/.ssh/identity type 0 28803: debug1: identity file /net/home/myloginname/.ssh/id_rsa type -1 28803: debug1: identity file /net/home/myloginname/.ssh/id_dsa type 2 28803: debug1: Remote protocol version 1.99, remote software version OpenSSH_3.9 p1 28803: debug1: match: OpenSSH_3.9p1 pat OpenSSH* 28803: debug1: Enabling compatibility mode for protocol 2.0 28803: debug1: Local version string SSH-2.0-OpenSSH_3.5p1 28803: debug1: SSH2_MSG_KEXINIT sent 28803: debug1: SSH2_MSG_KEXINIT received 28803: debug1: kex: server->client aes128-cbc hmac-md5 none 28803: debug1: kex: client->server aes128-cbc hmac-md5 none 28803: debug1: SSH2_MSG_KEX_DH_GEX_REQUEST sent 28803: debug1: expecting SSH2_MSG_KEX_DH_GEX_GROUP 28803: debug1: dh_gen_key: priv key bits set: 130/256 28803: debug1: bits set: 1028/2048 28803: debug1: SSH2_MSG_KEX_DH_GEX_INIT sent 28803: debug1: expecting SSH2_MSG_KEX_DH_GEX_REPLY 28803: debug1: Host '84.188.XX.XX' is known and matches the RSA host key. 28803: debug1: Found key in /net/home/myloginname/.ssh/known_hosts:46 28803: debug1: bits set: 1017/2048 28803: debug1: ssh_rsa_verify: signature correct 28803: debug1: kex_derive_keys 28803: debug1: newkeys: mode 1 28803: debug1: SSH2_MSG_NEWKEYS sent 28803: debug1: waiting for SSH2_MSG_NEWKEYS 28803: debug1: newkeys: mode 0 28803: debug1: SSH2_MSG_NEWKEYS received 28803: debug1: done: ssh_kex2. 28803: debug1: send SSH2_MSG_SERVICE_REQUEST 28803: debug1: service_accept: ssh-userauth 28803: debug1: got SSH2_MSG_SERVICE_ACCEPT 28803: debug1: authentications that can continue: publickey,password,keyboard-in teractive 28803: debug1: next auth method to try is publickey 28803: debug1: try privkey: /net/home/myloginname/.ssh/id_rsa 28803: debug1: try pubkey: /net/home/myloginname/.ssh/id_dsa 28803: debug1: authentications that can continue: publickey,password,keyboard-in teractive 28803: debug1: next auth method to try is keyboard-interactive Password: 28803: debug1: authentications that can continue: publickey,password,keyboard-in teractive Password: Hier habe ich dann mal nicht nochmal versucht das Passwort einzugeben. Meinen loginnamen hier habe ich geändert, genauso wie die IP des Rechners, ich greife nämlich gerade von der Arbeit auf ihn zu. Ich kann mit der Ausgabe aber nicht viel anfangen, ausser mit dieser Zeile: "Rhosts Authentication disabled, originating port will not be trusted." Doch was dagegen tun, wenn daran liegt? Gruss, N. Eschricht
Am Mittwoch, 9. März 2005 14:59 schrieb Nico Eschricht:
Hallo,
versuch' mal "ssh -v" um herauszubekommen was genau nicht geht. [..]
ddo@dipro1-42>ssh -v root@84.188.XX.XX [...] 28803: debug1: authentications that can continue: publickey,password,keyboard-in teractive Password:
Hier habe ich dann mal nicht nochmal versucht das Passwort einzugeben. Meinen loginnamen hier habe ich geändert, genauso wie
Aber ab da wird es IMO doch erst interessant.
Gruss, N. Eschricht
Viele Grüße Andreas
Andreas Hergesell wrote:
Am Mittwoch, 9. März 2005 14:59 schrieb Nico Eschricht:
Hallo,
versuch' mal "ssh -v" um herauszubekommen was genau nicht geht.
[..]
ddo@dipro1-42>ssh -v root@84.188.XX.XX
[...]
28803: debug1: authentications that can continue: publickey,password,keyboard-in teractive Password:
Hier habe ich dann mal nicht nochmal versucht das Passwort einzugeben. Meinen loginnamen hier habe ich geändert, genauso wie
Aber ab da wird es IMO doch erst interessant.
Gruss, N. Eschricht
Viele Grüße
Andreas
Also die Fortsetzung ab der ersten Passworteingabe: : 29843: debug1: authentications that can continue: publickey,password,keyboard-interactive 29843: debug1: next auth method to try is publickey 29843: debug1: try privkey: /net/home/myloginname/.ssh/id_rsa 29843: debug1: try pubkey: /net/home/myloginname/.ssh/id_dsa 29843: debug1: authentications that can continue: publickey,password,keyboard-interactive 29843: debug1: next auth method to try is keyboard-interactive Password: 29843: debug1: authentications that can continue: publickey,password,keyboard-interactive Password: 29843: debug1: authentications that can continue: publickey,password,keyboard-interactive Password: 29843: debug1: authentications that can continue: publickey,password,keyboard-interactive 29843: debug1: next auth method to try is password root@84.188.XXX.XXX's password: 29843: debug1: authentications that can continue: publickey,password,keyboard-interactive 29843: Permission denied, please try again. root@84.188.XXX.XXX's password: 29843: debug1: authentications that can continue: publickey,password,keyboard-interactive 29843: Permission denied, please try again. root@84.188.XXX.XXX's password: 29843: Received disconnect from 84.188.XXX.XXX: 2: Too many authentication failures for root 29843: debug1: Calling cleanup 0x8068d70(0x0) Interessant ist folgende Meldung nach drei Fehlversuchen: debug1: next auth method to try is password Warum ist erst nach drei Fehlversuchen die Authentifaktionsmethode 'password'? Gruss, N. Eschricht
Am Mittwoch, 9. März 2005 18:07 schrieb Nico Eschricht:
29843: Permission denied, please try again. root@84.188.XXX.XXX's password: 29843: Received disconnect from 84.188.XXX.XXX: 2: Too many authentication failures for root
Sind Sonderzeichen im Passwort von Root? Sonst fällt mir leider nix ein/auf :-(
Gruss, N. Eschricht
Viele Grüße Andreas
Guten Tag Andreas Hergesell, Am Mittwoch, 9. März 2005 um 18:31 schrieb Andreas Hergesell:
Am Mittwoch, 9. März 2005 18:07 schrieb Nico Eschricht:
29843: Permission denied, please try again. root@84.188.XXX.XXX's password: 29843: Received disconnect from 84.188.XXX.XXX: 2: Too many authentication failures for root
Sind Sonderzeichen im Passwort von Root?
Sonst fällt mir leider nix ein/auf :-(
Hallo! Mal ein Schuss ins Blaue... was hast du denn in /etc/passwd als Loginshell eingegeben? Kannst du dich DIREKT am Rechner einloggen? Wenn´s da schon nicht klappt, suchen wir nämlich alle an der falschen Stelle... Danke und eine gute N8 noch. cu, Stefan -- Mit freundlichen Grüssen Stefan Schilling mailto:mail.suse@gmx.de
Hallo, Nico Eschricht <eschricht@hmi.de> wrote :
Ich brauche den direkten root-Zugang aber, weil ich das System über Netz administrieren und konfigurieren will (der Rechner steht im Keller).
Falsche Begründung: Um einen Rechner remote zu administratrieren brauchst Du a) kein X für root b) kein X für root c) kein X für root sondern einen einfachen ssh-Zugang als User zum entferntem System, um eine Konsole zu erhalten. Im Bedarfsfall kann sich dieser User via su zu root machen. Ich denke, daß Du trotz allem an der falschen Stelle suchst, wenn Du aus welchen Gründen auch immer wirklich via X auf den Rechner möchtest. Wahrscheinlich unterbindet KDE oder GNOME das Anmelden als root a) grundsätzlich b) grundsätzlich von einem entferntem Rechner. bis dahin / kind regards Martin Mewes -- http://webmin.mamemu.de/
Martin Mewes wrote:
Hallo,
Nico Eschricht <eschricht@hmi.de> wrote :
Ich brauche den direkten root-Zugang aber, weil ich das System über Netz administrieren und konfigurieren will (der Rechner steht im Keller).
Falsche Begründung: Um einen Rechner remote zu administratrieren brauchst Du
a) kein X für root b) kein X für root c) kein X für root
sondern einen einfachen ssh-Zugang als User zum entferntem System, um eine Konsole zu erhalten. Im Bedarfsfall kann sich dieser User via su zu root machen.
Ich denke, daß Du trotz allem an der falschen Stelle suchst, wenn Du aus welchen Gründen auch immer wirklich via X auf den Rechner möchtest. Wahrscheinlich unterbindet KDE oder GNOME das Anmelden als root
a) grundsätzlich b) grundsätzlich von einem entferntem Rechner.
bis dahin / kind regards
Martin Mewes
1.) Als normalen Benutzer kann ich mich ja auch anmelden, aber su funktioniert nicht. Ich kann es zwar eingeben, aber das verweigert mir root zu werden. 2.) Installation ist das "Grafische Minimalsystem" ohne KDE und GNOME. Ich denke sowas habe ich nicht installiert. Trotzdem danke. Gruss, N. Eschricht
On Wednesday 09 March 2005 14:53, Martin Mewes wrote:
Hallo,
Nico Eschricht <eschricht@hmi.de> wrote :
Ich brauche den direkten root-Zugang aber, weil ich das System über Netz administrieren und konfigurieren will (der Rechner steht im Keller).
Falsche Begründung: Um einen Rechner remote zu administratrieren brauchst Du
a) kein X für root b) kein X für root c) kein X für root
Manchmal gibts aber doch Gruende warum man als root X braucht. Ich hatte z.B schon einige Games die mit dem Loki-Installer kamen der X haben wollte. Neuerdings kommt der aber auch mit ncurses zurecht.
Ich denke, daß Du trotz allem an der falschen Stelle suchst, wenn Du aus welchen Gründen auch immer wirklich via X auf den Rechner möchtest. Wahrscheinlich unterbindet KDE oder GNOME das Anmelden als root
a) grundsätzlich b) grundsätzlich von einem entferntem Rechner.
Ich denke nicht. Was hat eigentlich KDE/Gnome mit ssh -X zu tun? cu Ruediger
Hallo, Ruediger Meier <sweet_f_a@gmx.de> wrote :
On Wednesday 09 March 2005 14:53, Martin Mewes wrote:
Ich denke, daß Du trotz allem an der falschen Stelle suchst, wenn Du aus welchen Gründen auch immer wirklich via X auf den Rechner möchtest. Wahrscheinlich unterbindet KDE oder GNOME das Anmelden als root
a) grundsätzlich b) grundsätzlich von einem entferntem Rechner.
Ich denke nicht. Was hat eigentlich KDE/Gnome mit ssh -X zu tun?
Nichts direkt. Die Frage des Fragenden lies mich in diese Richtung denken. bis dahin / kind regards Martin Mewes -- http://webmin.mamemu.de/
Hallo Martin, Am Mittwoch, 9. März 2005 14:53 schrieb Martin Mewes:
Falsche Begründung: Um einen Rechner remote zu administratrieren brauchst Du
a) kein X für root b) kein X für root c) kein X für root
Könntest du das bitte ein wenig erläutern warum X als root so gefährlich ist? Ich _brauche_ kein X um einen Rechner remote zu warten, aber was ist an einem ssh getunneltem X so gefährlich? Vielen Dank Andreas
Hi Andreas, Andreas Hergesell <mail@zeus-computer.de> wrote :
Ich _brauche_ kein X um einen Rechner remote zu warten, aber was ist an einem ssh getunneltem X so gefährlich?
Auch in einer SSH-Sitzung mit gestartetem X (als root) hat man sich schneller mal verklickt und eventuell Daten gelöscht. Ich habe fälschlicherweise angenommen, daß der Fragende mit dem X auch ein KDE/Gnome hochzieht. bis dahin / kind regards Martin Mewes -- http://webmin.mamemu.de/
Hi nochmal, Am Mittwoch, 9. März 2005 20:12 schrieb Martin Mewes:
Hi Andreas,
Andreas Hergesell <mail@zeus-computer.de> wrote :
Ich _brauche_ kein X um einen Rechner remote zu warten, aber was ist an einem ssh getunneltem X so gefährlich?
Jaja, ich meinte 'ssh -X', kein ganzes X :-) sorry.
Auch in einer SSH-Sitzung mit gestartetem X (als root) hat man sich schneller mal verklickt und eventuell Daten gelöscht. Ich habe fälschlicherweise angenommen, daß der Fragende mit dem X auch ein KDE/Gnome hochzieht.
Ja war wohl ein Missverständnis:-) Dennoch denke ich dass für einen Anfänger ein kompletter Root-KDE-Login einfacher ist. Natürlich hat man sich schnell mal verklickt, aber darauf sollte man genauestens achten. Es geht um das subjektive Gefühl der Sicherheit. Als Anfänger "fühle" ich mich in KDE (oder was auch immer) sicherer, als mit einer kryptischen cp Zeile. Erst wenn man sich an cp (und andere) gewöhnt hat, steigt man um. So war es zumindest bei mir. Jetzt "fühle" ich mich mit cp sicherer.
bis dahin / kind regards
Martin Mewes
Viele Grüße Andreas
Martin Mewes wrote:
Hallo,
Nico Eschricht <eschricht@hmi.de> wrote :
Ich brauche den direkten root-Zugang aber, weil ich das System über Netz administrieren und konfigurieren will (der Rechner steht im Keller).
Falsche Begründung: Um einen Rechner remote zu administratrieren brauchst Du
a) kein X für root b) kein X für root c) kein X für root
sondern einen einfachen ssh-Zugang als User zum entferntem System, um eine Konsole zu erhalten. Im Bedarfsfall kann sich dieser User via su zu root machen.
Ich denke, daß Du trotz allem an der falschen Stelle suchst, wenn Du aus welchen Gründen auch immer wirklich via X auf den Rechner möchtest. Wahrscheinlich unterbindet KDE oder GNOME das Anmelden als root
a) grundsätzlich b) grundsätzlich von einem entferntem Rechner.
bis dahin / kind regards
Martin Mewes
Danke dass ihr diesen Thread für Grundsatzdiskussionen kappert, aber das ist hier wohl ein wenig fehl am Platz. Ich brauche ja nicht unbedingt X, aber ein externer ssh-Zugang als root ist wohl nicht so ungewöhnlich. Gruss, N. Eschricht
On 2005-03-09 14:53:44 +0100, Martin Mewes wrote:
eine Konsole zu erhalten. Im Bedarfsfall kann sich dieser User via su zu root machen.
Nimm sudo Gruß Martin -- Martin Schröder, ms@artcom-gmbh.de ArtCom GmbH, Lise-Meitner-Str 5, 28359 Bremen, Germany Voice +49 421 20419-44 / Fax +49 421 20419-10 http://www.artcom-gmbh.de
Benutzer kann aber auch nicht 'su' ausführen. Hier die Teile der sshd-config die nicht auskommiert sind:
PermitRootLogin yes PasswordAuthentication yes UsePAM yes
evtl. die PAM-Einstellungen in /etc/pam.d/sshd
X11Forwarding yes Subsystem sftp /usr/lib/ssh/sftp-server
Gruss Rainer -- SMS bei wichtigen e-mails und Ihre Gedanken sind frei ... Alle Infos zur SMS-Benachrichtigung: http://www.gmx.net/de/go/sms
participants (9)
-
Andreas Hergesell -
Jens Wolf -
Mario Goppold -
Martin Mewes -
Martin Schröder -
Nico Eschricht -
Rainer Kulhanek -
Ruediger Meier -
Stefan Schilling