Thomas Ermer schrieb:
On Wednesday 26 February 2003 10:36, you wrote:
Thomas Ermer schrieb:
On Tuesday 25 February 2003 21:47, Patrick Klaus wrote:
Ssh erlaubt automatisch für den anmeldenden Benutzer Verbindungen zum lokalen X-Server. Wenn Du aber auf dem entfernten Rechner die Identität wechselst, wird der Zugriff folgerichtig verweigert.
Erlaube auf Deinem lokalen Rechner explizit den Zugriff für root@ampere auf den lokalen X-Server. Der Befehl dazu lautet xhost.
localhost> xhost +root@entfernterRechner
Das Funktioniert dann aber ohne SSH-Tunneling oder ? So komme ich aber nicht an der Firewall vom Router vorbei.
Nein, das bedeutet nur, dass der Benutzer Root vom entfernten Rechner Zugriff auf den lokalen X-Server erhält. Die Verbindung geht dennoch durch ssh. Versuche das Prinzip zunächst mit einem anderen (Nicht-Root)Benutzer. Wenn das geht, solltest Du Dir mal die ssh-Konfigurationsdateien ansehen... da gibts einige Einträge, die den Rootzugriff betreffen (für weitere Infos müsste ich auch erst nachlesen). Alternativ könntest Du zunächst versuchen, ob ssh-Verbindungen für Root überhaupt gestattet sind.
also wenn ich auf dem Client xhost +root@entfernterREchner eingebe meckert er schon ! root@[ampere2........] being added to access control list X Error of failed request: BadValue (integer parameter out of range for operation) Major opcode of failed request: 109 (X_ChangeHosts) Value in failed request: 0xfe Serial number of failed request: 7 Current serial number in output stream: 9 paddy@linux:~> Und auf der Serverseite kommt immer noch die gleiche Fehlermeldung auch wenn ich zu einem nicht root-Benutzer wechsele. AUf dem Server und auf dem Client steht in der /etc/sshd_config: X11Forwarding yes X11DisplayOffset 10 PrintMotd yes #PrintLastLog no KeepAlive yes #UseLogin no Noch irgendwelche Ideen ?= Natürlich könnte ich denn sshd auf dem Server einstellen das ich mich direkt als root einloggen kann, aber das ist mir bissl zu heikel wegen der Sicherheit! Gruss Patrick
Patrick Klaus wrote:
[...] Noch irgendwelche Ideen ?
Auf dem Client als User: ssh -X user@server Auf dem Server als User: ssh -X root@localhost Das Bild sollte dann auf dem Desktop des Users, der am Client sitzt, erscheinen (vorausgesetzt, das X11 Forwarding geht einwandfrei und ein ssh ist fuer root auf localhost moeglich). CU, Th. -- Thomas Hertweck, Geophysicist Geophysical Institute, Karlsruhe University (TH)
Thomas Hertweck schrieb:
Patrick Klaus wrote:
[...] Noch irgendwelche Ideen ?
Auf dem Client als User: ssh -X user@server
Auf dem Server als User: ssh -X root@localhost
Das kann ja net gehen, und klappt nicht, weil ja root-Login über ssh verboten ist. Sonst könnte man das ja auch von aussen direkt machen :-(
Das Bild sollte dann auf dem Desktop des Users, der am Client sitzt, erscheinen (vorausgesetzt, das X11 Forwarding geht einwandfrei und ein ssh ist fuer root auf localhost moeglich).
Trotzdem danke Gruss Patrick
Patrick Klaus schrieb:
Thomas Hertweck schrieb:
Patrick Klaus wrote:
[...] Noch irgendwelche Ideen ?
Auf dem Client als User: ssh -X user@server
Auf dem Server als User: ssh -X root@localhost
Das kann ja net gehen, und klappt nicht, weil ja root-Login über ssh verboten ist. Sonst könnte man das ja auch von aussen direkt machen
:-(
An den Kopf *klopf* Okay, ich könnte das nachtürlich aktivieren und sich trotzdem nie als root einloggen von aussen. OKay auch ne Lösung oder die Lösung. Sorry bin bissl langsam im nachdenken ;-) Gruss Patrick
Koennte da vielleicht sudo anstelle von su helfen? siehe man sudo At 12:02 26.02.2003 +0100, Patrick Klaus wrote:
Patrick Klaus schrieb:
Thomas Hertweck schrieb:
Patrick Klaus wrote:
[...] Noch irgendwelche Ideen ?
Auf dem Client als User: ssh -X user@server
Auf dem Server als User: ssh -X root@localhost
Das kann ja net gehen, und klappt nicht, weil ja root-Login über ssh verboten ist. Sonst könnte man das ja auch von aussen direkt machen :-( An den Kopf *klopf*
Okay, ich könnte das nachtürlich aktivieren und sich trotzdem nie als root einloggen von aussen.
OKay auch ne Lösung oder die Lösung.
Sorry bin bissl langsam im nachdenken ;-)
Gruss
Patrick
-- Um die Liste abzubestellen, schicken Sie eine Mail an: suse-linux-unsubscribe@suse.com Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: suse-linux-help@suse.com
Software Engineerung und Perl-Programmierung Martin Fabiani mailto:martin@fabiani.net / mailto:m.fabiani@linux-services.org / mailto:strat@perl.de http://www.fabiani.net/ / http://www.linux-services.org/ tel: +49-69-47885599 fax: +49-69-49086465
Patrick Klaus wrote:
Thomas Hertweck schrieb:
[...] Auf dem Server als User: ssh -X root@localhost
Das kann ja net gehen, und klappt nicht, weil ja root-Login über ssh verboten ist. Sonst könnte man das ja auch von aussen direkt machen
:-(
Wieso, es ist doch ein Unterschied, ob ich ein ssh von localhost auf localhost mache oder ein ssh von einem externen Rechner. Kann man das in der Konfiguration von ssh nicht unterscheiden? Ich wuerde nicht ge- nerell ein root-Login fuer ssh verbieten, sondern nur ein root-Login von ssh ueber das Netzwerk. Kann aber sein, dass es wirk- lich nicht geht, bin mir da auch nicht si- cher - ist wohl eine Frage der Konfigura- tionsmoeglichkeiten von ssh. War nur so eine Idee. Bliebe immer noch die Moeglichkeit mit sux und dem DISPLAY-Export auf den ver- schluesselten X11-Forwrding Kanal (siehe an- dere Mail von mir). Gruesse, Th. -- Thomas Hertweck, Geophysicist Geophysical Institute, Karlsruhe University (TH)
On Wednesday 26 February 2003 12:08, Thomas Hertweck wrote: [...]
Wieso, es ist doch ein Unterschied, ob ich ein ssh von localhost auf localhost mache oder ein ssh von einem externen Rechner. Kann man das in der Konfiguration von ssh nicht unterscheiden? Ich wuerde nicht ge- nerell ein root-Login fuer ssh verbieten, sondern nur ein root-Login von ssh ueber [...]
Hallo, wo liegt das Problem, wenn man sich per ssh als root ueber ein Netzwerk einloggt? Ciao Sebastian
Sebastian Huber schrieb:
On Wednesday 26 February 2003 12:08, Thomas Hertweck wrote: [...]
Hallo, wo liegt das Problem, wenn man sich per ssh als root ueber ein Netzwerk einloggt?
Falls jemand die Verbindung abhört und entschlüsselt dann hätte er direkt das root-Passwort. Wenn ich aber so nachdenke, wird bei einem su oder sux genauso, dann eben später, dieses Passwort übertragen. Ist ne Überlegung wert Gruss Patrick
* On Wed, 26 Feb 2003 at 17:00 +0100, Patrick Klaus wrote:
Sebastian Huber schrieb:
On Wednesday 26 February 2003 12:08, Thomas Hertweck wrote: [...]
Hallo, wo liegt das Problem, wenn man sich per ssh als root ueber ein Netzwerk einloggt?
Falls jemand die Verbindung abhört und entschlüsselt dann hätte er direkt das root-Passwort.
Wenn ich aber so nachdenke, wird bei einem su oder sux genauso, dann eben später, dieses Passwort übertragen.
Und genau das ist der Knackpunkt: Das Passwort des Users, mit dem man sich anmeldet, wird zu einem relativ klar definierten Zeitpunkt übertragen - "am Anfang". Das Passwort bei einem su folgt dann erst irgendwann mittendrin. -- Adalbert GPG welcome, request public key: mailto:adalbert+key@lopez.at
Sebastian Huber wrote:
wo liegt das Problem, wenn man sich per ssh als root ueber ein Netzwerk einloggt?
Das Problem ist, dass Patrick das nicht wollte... That's all ;-) Cu, Th. -- Thomas Hertweck, Geophysicist Geophysical Institute, Karlsruhe University (TH)
Am Mit, 2003-02-26 um 10.58 schrieb Patrick Klaus:
also wenn ich auf dem Client xhost +root@entfernterREchner eingebe meckert er schon !
root@[ampere2........] being added to access control list X Error of failed request: BadValue (integer parameter out of range for operation) Major opcode of failed request: 109 (X_ChangeHosts) Value in failed request: 0xfe Serial number of failed request: 7 Current serial number in output stream: 9 paddy@linux:~>
Und auf der Serverseite kommt immer noch die gleiche Fehlermeldung auch wenn ich zu einem nicht root-Benutzer wechsele.
AUf dem Server und auf dem Client steht in der /etc/sshd_config:
X11Forwarding yes X11DisplayOffset 10 PrintMotd yes #PrintLastLog no KeepAlive yes #UseLogin no
Noch irgendwelche Ideen ?=
Natürlich könnte ich denn sshd auf dem Server einstellen das ich mich direkt als root einloggen kann, aber das ist mir bissl zu heikel wegen der Sicherheit!
Hi Patrick, wenn in der ssh_config auf beiden Rechnern ForwardX11 yes steht, kommt man mit sux (SuSE-bash-script) ein Stück weiter. Es klemmt dann allerdings mit xauth, der Schwierigkeiten mit stdin hat. Sollte aber lösbar sein. Vielleicht hat hier jemand eine weiterführende Idee. HTH, Wolfgang
Am Mit, 2003-02-26 um 11.34 schrieb Wolfgang Hinsch:
wenn in der ssh_config auf beiden Rechnern
ForwardX11 yes
steht, kommt man mit sux (SuSE-bash-script) ein Stück weiter. Es klemmt dann allerdings mit xauth, der Schwierigkeiten mit stdin hat. Sollte aber lösbar sein. Vielleicht hat hier jemand eine weiterführende Idee.
Hi, ok - hat sich gekreuzt mit Thomas Hertweck.Ziehe meinen Vorschlag zurück. ssh -X ist die Lösung. Danke, und schönen Tag noch Wolfgang
participants (6)
-
Adalbert Michelic -
Martin Fabiani -
Patrick Klaus -
Sebastian Huber -
Thomas Hertweck -
Wolfgang Hinsch