Mailinglist Archive: opensuse-security (375 mails)

< Previous Next >
sshd, harden_suse, pam und md5
  • From: <webmaster@xxxxxxxxxxxxxxxxxx>
  • Date: Thu, 12 Sep 2002 10:21:57 +0200
  • Message-id: <BLEBLLIHHJBOLKNCLGEPMEBCCLAA.webmaster@xxxxxxxxxxxxxxxxxx>
hallo vielleicht könnt ihr mir mal kurz helfen,

folgendes Problem, habe auf ner 7.3er mal den harden_suse laufen lassen.
dabei habe ich auch unter anderem die password auth. auf md5 umgestellt.

danach konnte ich mich nicht mehr mit ssh anmelden, daher habe ich aus der
/etc/pam.d/sshd die md5 einträge gelöscht damit funktionierte wieder alles.

;) ok.. nun hab ichs gecheckt.. das root password war natürlich noch nicht
MD5 ;(
hab dann das password geändert.. und somit steht nun in der /etc/shadow das
password
im md5 format (beginnt mit $1$ usw..)

nun habe ich in der /etc/pam.d/sshd die md5 einträge wieder eingetragen,
sshd neu gestartet.. aber.. kann mich nicht mehr anmelden (access denied!)

schon mal danke für eure tips.

mfg
Wolfgang


hier mal meine config files:

/etc/pam.d/sshd

#%PAM-1.0
auth required /lib/security/pam_unix.so # set_secrpc
auth required /lib/security/pam_nologin.so
auth required /lib/security/pam_env.so
account required /lib/security/pam_unix.so
password required /lib/security/pam_pwcheck.so md5 use_cracklib
password required /lib/security/pam_unix.so md5 use_first_pass
use_authtok
session required /lib/security/pam_unix.so none # trace or debug
session required /lib/security/pam_limits.so


/etc/ssh/ssh_config

Host *
# ForwardAgent no
# ForwardX11 no
# RhostsAuthentication no
# RhostsRSAAuthentication yes
# RSAAuthentication yes
# PasswordAuthentication yes
# FallBackToRsh no
# UseRsh no
# BatchMode no
# CheckHostIP yes
# StrictHostKeyChecking yes
# IdentityFile ~/.ssh/identity
# IdentityFile ~/.ssh/id_dsa
# IdentityFile ~/.ssh/id_rsa
# Port 22
Protocol 1,2
# Cipher blowfish
# EscapeChar ~
ForwardAgent no
ForwardX11 no
FallBackToRsh no


/etc/ssh/sshd_config

Port 22
Protocol 1,2
ListenAddress 192.168.2.2
#ListenAddress ::
HostKey /etc/ssh/ssh_host_key
#HostKey /etc/ssh/ssh_host_rsa_key
HostKey /etc/ssh/ssh_host_dsa_key
ServerKeyBits 768
LoginGraceTime 300
KeyRegenerationInterval 3600
PermitRootLogin no
#
# Don't read ~/.rhosts and ~/.shosts files
IgnoreRhosts yes
# Uncomment if you don't trust ~/.ssh/known_hosts for
RhostsRSAAuthentication
#IgnoreUserKnownHosts yes
StrictModes yes
X11Forwarding no
X11DisplayOffset 10
PrintMotd yes
#PrintLastLog no
KeepAlive yes

# Logging
SyslogFacility AUTH
LogLevel INFO
#obsoletes QuietMode and FascistLogging

RhostsAuthentication no
#
# For this to work you will also need host keys in /etc/ssh/ssh_known_hosts
RhostsRSAAuthentication no
# similar for protocol version 2
HostbasedAuthentication no
#
RSAAuthentication yes

# To disable tunneled clear text passwords, change to no here!
PasswordAuthentication yes
PermitEmptyPasswords no

# Uncomment to disable s/key passwords
ChallengeResponseAuthentication no

# Uncomment to enable PAM keyboard-interactive authentication
# Warning: enabling this may bypass the setting of 'PasswordAuthentication'
#PAMAuthenticationViaKbdInt yes

# To change Kerberos options
#KerberosAuthentication no
#KerberosOrLocalPasswd yes
#AFSTokenPassing no
#KerberosTicketCleanup no

# Kerberos TGT Passing does only work with the AFS kaserver
#KerberosTgtPassing yes

#CheckMail yes
#UseLogin no

#MaxStartups 10:30:60
#Banner /etc/issue.net
#ReverseMappingCheck yes

Subsystem sftp /usr/lib/ssh/sftp-server


< Previous Next >
This Thread
  • No further messages