SSH für rootlogins abschalten ?
Hallo, was muss man konfigurieren, damit ich statt mit ssh mittels rsh auf einen Server komme ? Als root klappt das komischweise nicht. Mit allen anderen usern schon. -- SET THE CONTROLS FOR THE HEART OF THE SUN Jens
Hallo, J.Strohschnitter wrote:
was muss man konfigurieren, damit ich statt mit ssh mittels rsh auf einen Server komme ? Als root klappt das komischweise nicht. Mit allen anderen usern schon.
cat /usr/share/doc/packages/pam/modules/README.pam_securetty pam_securetty: Allows root logins only if the user is logging in on a "secure" tty, as defined by the listing in /etc/securetty Also checks to make sure that /etc/securetty is a plain file and not world writable.
Ich würde mal schauen, ob in Deinem Configfile für PAM (/etc.pam.conf oder eher /etc/pam.d/rsh) etwas steht, dass beim Einloggen per rsh das PAM-Modul securetty gecheckt wird, denn - s.o. - dieses verbietet das Einloggen als root. Gruß Heiko
On 2003-01-14 03:59:43, Heiko Ettelbrueck wrote:
Hallo,
J.Strohschnitter wrote:
was muss man konfigurieren, damit ich statt mit ssh mittels rsh auf einen Server komme ? Als root klappt das komischweise nicht. Mit allen anderen usern schon.
nachdem Du die Antwort bekommen hast, muß hier natürlich noch das unvermeidliche: "Das willst Du nicht wirklich" kommen. Selbst in einem abgeschotteten Netz würde ich so etwas nie machen. Es gibt meines Erachtens keine Anwendung, die mit rsh glücklich ist, mit ssh aber nicht. Gruß Volker
Kroll, Volker wrote:
nachdem Du die Antwort bekommen hast, muß hier natürlich noch das unvermeidliche: "Das willst Du nicht wirklich" kommen. Selbst in einem abgeschotteten Netz würde ich so etwas nie machen. Es gibt meines Erachtens keine Anwendung, die mit rsh glücklich ist, mit ssh aber nicht.
Da hast Du natürlich völlig Recht ;-) Andererseits denke ich mir, wenn jemand rsh überhaupt kennt (ist ja nun nicht gerade aktuell in aller Munde), dann wird er wissen, wieso er es will - auch wenn ich vielleicht nicht verstehen werde, warum man rsh ssh vorzieht... ;-) Gruß Heiko
* On Tue, 14 Jan 2003 at 16:25 +0100, Kroll, Volker wrote:
nachdem Du die Antwort bekommen hast, muß hier natürlich noch das unvermeidliche: "Das willst Du nicht wirklich" kommen. Selbst in einem abgeschotteten Netz würde ich so etwas nie machen. Es gibt meines Erachtens keine Anwendung, die mit rsh glücklich ist, mit ssh aber nicht.
Kann schon sein, daß die Anwendung glücklich ist - ich kann Dir aber gerne einen Fall nennen, bei dem zwar die Anwendung mit ssh durchaus glücklich ist, aber der Benutzer nicht: Schreib ein größeres Backup von einem nicht sonderlich flotten Rechner auf einen anderen, noch weniger flotten Rechner, der grad genug Leistung hat, um mit rsh das Bandlaufwerk schnell genug zu füttern - mit ssh schläft dann das Laufwerk ein. -- Adalbert GPG welcome, request public key: mailto:adalbert+key@lopez.at
Am Dienstag, 14. Januar 2003 16:58 schrieb Adalbert Michelic:
* On Tue, 14 Jan 2003 at 16:25 +0100, Kroll, Volker wrote:
nachdem Du die Antwort bekommen hast, muß hier natürlich noch das unvermeidliche: "Das willst Du nicht wirklich" kommen. Selbst in einem abgeschotteten Netz würde ich so etwas nie machen. Es gibt meines Erachtens keine Anwendung, die mit rsh glücklich ist, mit ssh aber nicht.
Kann schon sein, daß die Anwendung glücklich ist - ich kann Dir aber gerne einen Fall nennen, bei dem zwar die Anwendung mit ssh durchaus glücklich ist, aber der Benutzer nicht:
Schreib ein größeres Backup von einem nicht sonderlich flotten Rechner auf einen anderen, noch weniger flotten Rechner, der grad genug Leistung hat, um mit rsh das Bandlaufwerk schnell genug zu füttern - mit ssh schläft dann das Laufwerk ein.
Ihr habt ja recht, aber z.Zt. laufen einige Skripte die via rsh auf unsere ca. 120 Linux-Server (verteilt in ganz Deutschland) zugreifen noch mittels rsh. Um das Ganze umzustellen bedarf es natürlich einiger Änderungen an den Servern und Skripten. Nun kam jedoch ein Red Hat Server hinzu, bei dem man als root nur via ssh zugreifen konnte. Um jetzt nicht alle Server auf ssh und die Skripte anzupassen, dachte ich übergangsweise den Login eben halt mit rsh zu realisieren. Wenn ich dann mal ein Konzept habe, wie man alle Server so umstellt, dass ich via ssh (ohne Passworteingabe) auf alle Server komme, werde ich natürlich rsh und rcp auf ssh und scp umstellen. -- SET THE CONTROLS FOR THE HEART OF THE SUN Jens
Am Dienstag, 14. Januar 2003 15:59 schrieben Sie:
Hallo,
J.Strohschnitter wrote:
was muss man konfigurieren, damit ich statt mit ssh mittels rsh auf einen Server komme ? Als root klappt das komischweise nicht. Mit allen anderen usern schon.
cat /usr/share/doc/packages/pam/modules/README.pam_securetty
pam_securetty: Allows root logins only if the user is logging in on a "secure" tty, as defined by the listing in /etc/securetty etc/pam.d/rsh) Also checks to make sure that /etc/securetty is a plain file and not world writable.
Ich würde mal schauen, ob in Deinem Configfile für PAM (/etc.pam.conf oder eher /etc/pam.d/rsh) etwas steht, dass beim Einloggen per rsh das PAM-Modul securetty gecheckt wird, denn - s.o. - dieses verbietet das Einloggen als root.
Hi, also ich habe in der etc/pam.d/rsh die Zeile auth required /lib/security/pam_securetty.so auskommentiert und den sshd mal reloaded. Brachte aber keinen Erfolg. Ein Test mit rsh SERVER ls brachte nur ein permission denied. -- SET THE CONTROLS FOR THE HEART OF THE SUN Jens
participants (4)
-
Adalbert Michelic -
Heiko Ettelbrueck -
J.Strohschnitter -
Kroll, Volker