Password für root

[Peter18]

Ein freundliches Hallo an alle,

für eine Datensicherung über ssh wollte ich einen Schlüssel für root übertragen. Den habe ich als root auf dem Quellrechner erzeugt. Beim Übertragen auf den Zielrechner wurde das Passwort für root erfragt. Da ich es nicht wusste habe ich es ändern wollen:

Code: Alles auswählen

sudo passwd root
Geben Sie ein neues UNIX-Passwort ein:
Geben Sie das neue UNIX-Passwort erneut ein:
passwd: Passwort erfolgreich ge▒ndert

Mit diesem Passwort funktioniert die Übertragung nicht.

Hintergrund: "-o preserve owner (super-user only)" Mit der Option "--super" erscheint die Meldung rsync: chown "*" failed: Operation not permitted (1). (* Steht für Pfad und Dateiname)

Meine Fragen:

• Warum funktioniert das Passwort nicht?

• Wie kann ich den Schlüssel übertragen?

• Gibt es andere Möglichkeiten die Daten auf dem Zielrechner korrekt, also mit Owner, Gruppe und Berechtigungen zu sichern?

Grüße von der Nordsee

Peter

[TomL]

für eine Datensicherung über ssh wollte ich einen Schlüssel für root übertragen. Den habe ich als root auf dem Quellrechner erzeugt. Beim Übertragen auf den Zielrechner wurde das Passwort für root erfragt. Da ich es nicht wusste habe ich es ändern wollen:

Code: Alles auswählen

sudo passwd root
Geben Sie ein neues UNIX-Passwort ein:
Geben Sie das neue UNIX-Passwort erneut ein:
passwd: Passwort erfolgreich ge▒ndert

Mit diesem Passwort funktioniert die Übertragung nicht.

Mit diesem Befehl sieht es so aus, als hättest Du das root-Passwort nicht auf dem entfernten Zielrechner geändert, sondern auf Deinem lokalen PC. Die bessere vorgehensweise wäre gewessen:

Code: Alles auswählen

peter@lokalerPC $ ssh peter@zielPC
peter@zielPC    $ su -
peter@zielPC    # passwd
peter@zielPC    # exit
peter@zielPC    $ exit
peter@lokalerPC $

Danach solllte das root-Pwd auf dem Zielrechner durch ein neues Password gesetzt sein.... wenn das wirklich notwendig ist. Wenn es jedoch nur um die Übertragung von Pubkey-Files geht, kannst Du die auch als User 'peter' übertragen und diese dann mit ssh-Anmeldung auf dem Zielrechner und mit root-Rechten passend manuell verschieben.

[Bullet64]

Ist auf dem Zielrechner der Ordner .ssh vorhanden?

Ansonsten mal

Code: Alles auswählen

ssh-keygen -t rsa

auf dem Zielrechner ausführen.

[Peter18]

Hallo Tom. hallo Bullet64,

Dank Euch für die Antwort!

Ich habe mich auf dem Zielrechner mit pi (Raspberry) angemeldet. Nach der Passwortänderung für root konnte ich mich dort aber nicht mit root anmelden. Gehe ich aber über ssh auf den Zielrechner, dann funktioniert die Anmeldung. (su -; passwordabfrage; Anmeldung bestätigt.)

Zum Testen habe ich auf dem Quellrechner zuvor mit einem anderen user einen Schlüssel erzeugt und ihn an den Zielrechner (Raspberry) übertragen. Die ssh-Verbindung funktioniert! Dort ist in dem betrefenden Home ein Ordner .ssh vorhanden! Root hat aber keinen Ordner .ssh.

Grüße von der Nordsee

Peter

[TRex]

Es ist eine gute Praxis (und vermutlich auch schon default), dass sich root nicht mit Passwort per SSH authentifizieren kann. Dafür verantwortlich ist ein bisschen Konfiguration in /etc/ssh/sshd_config. Du kannst wahlweise das ändern oder einen SSH-Key für root erzeugen und den public key auf dem Zielrechner an entsprechender Stelle (~root/.ssh/authorized_keys) hinterlegen.

[eggy]

@TRex: https://www.debian.org/releases/jessie/ ... ml#openssh sagt

5.2. OpenSSH server defaults to "PermitRootLogin without-password"

In an attempt to harden the default setup, the openssh-server configuration will now default to "PermitRootLogin without-password".

[Peter18]

Hallo TRex, hallo eggy,

Dank Euch für die Antworten!

TRex, es ist mir bislang nicht gelungen einen Schlüssel wirksam zu hinterlegen. Auch eine Anmeldung als root über ssh gelingt nicht. Ich werde mit konstanter Bosheit nach einem Passwort gefragt, auch beim Übertragen des Schlüssels. Manuelles Hinterlegen des Schlüssels bringt auch nichts, eventuell fehlt der Eintrag in ".ssh/known_hosts".

Windows ist doof

muß heißen "Windoof".

eggy, eine Anmeldung ohne Passwort geht bei mir nicht! Und das ist gut so! Wenn das auf irgendwelche Systeme zuträfe, wäre das eine katastrophale Sicherheitslücke! Jeder könnte in jedem System mit Root-Rechen herumpfuschen!

Grüße von der sonnigen Nordsee

Peter

[TomL]

Auch eine Anmeldung als root über ssh gelingt nicht.

Warum meldest Du Dich nicht via SSH als normaler User "Peter18" auf dem Ziel-Rechner an und wechselst dann aus dieser Anmeldung mit su - in den root-Account. Dazu wird natürlich auf diesem Ziel-Rechner das dort angelegte root-PWD verwendet, nicht das des PCs, an dessen Tastatur/Bildschirm Du sitzt.

Du könntest dann das .ssh-Verzeichnis aus Deinem eigenen homedir einfach nach root kopieren, die Rechte mit chown auf root übertragen und schon müsstest Du Dich via gleicher Pubkey-Auth ausgehend von Deinem PC auf dem Ziel-Rechner auch als root via SSH anmelden können. Und natürlich kannst Du auch auf gleichem Wege für root eigene Pubkey-Files anlegen.

Aber auch mein Rat wäre, statt einen solchen Weg zu gehen, würde ich nach evtl. vorhandenen anderen Möglichkeiten überlegen, die die direkte root-Anmeldung gar nicht erst erfordern.

[eggy]

eggy, eine Anmeldung ohne Passwort geht bei mir nicht! Und das ist gut so! Wenn das auf irgendwelche Systeme zuträfe, wäre das eine katastrophale Sicherheitslücke! Jeder könnte in jedem System mit Root-Rechen herumpfuschen!

Da hast Du was falsch verstanden. Lies die sshd_config Manpage mal in Ruhe:

PermitRootLogin
Specifies whether root can log in using ssh(1). The argument must be yes, prohibit-password, forced-commands-only, or no. The default is prohibit-password.

If this option is set to prohibit-password (or its deprecated alias, without-password), password and keyboard-interactive authentication are disabled for root.

If this option is set to forced-commands-only, root login with public key authentication will be allowed, but only if the command option has been specified (which may be useful for taking remote backups even if root login is normally not allowed). All other authentication methods are disabled for root.

If this option is set to no, root is not allowed to log in.

Übringens ist auch der Punkt nen schönes Satzzeichen, man muss nicht jeden Satz mit nem Ausrufezeichen beenden.

Also nochmal von vorne, verantwortungsbewusster Umgang mit SSH:
Einloggen für egal wen mit Password: verbieten
Einloggen für (bestimmte) User mit Keys: erlauben
Einloggen für Root mit Key? Kommt drauf an
Ich halte es für sinnvoller Root das Einloggen (egal wie) komplett zu verbieten und falls man dann doch mal Rootrechte braucht: als User mit nem Key reingehen und anschliessend per "su -" zu Root werden.

[Peter18]

Hallo Thomas, hallo eggy,

Dank Euch für die Antwort.

Noch mal worum es mir geht:
Ich möchte eine Datensicherung von einem Server zu einem Backup-Server automatisch durchführen. Als User werden aber die Eigentümer geändert (soweit ich es bisher herausgefunden habe). Daher die Idee, den Backup-Job als "root" zu starten (Crontab) und auf dem Backupserver als "root" zu sichern. Dann, so die Beschreibung, bleibt der Eigentümer erhalten. Der Parameter "--super" hat es jedenfalls nicht gebracht (oder habe ich da was falsch verstanden?).

Ich habe auf dem Server als "root" einen Schlüssel erzeugt. Dann habe ich die Datei "/root/.ssh/id_ed25519.pub" geöffnet und den Inhalt in eine Datei gleichen Namens bei "root" des Backup-Servers kopiert. Ich kann aber keine Verbindung ohne Passwortabfrage aufbauen.

Vielleicht habe ich auch etwas falsch verstanden, oder Parameter bei "rsync" widersprechen sich, oder bei dem Backupserver fehlt noch etwas. Wenn ich die Sache mit den Schlüsseln richtig verstanden habe, können sich mit den Schlüsseln genau 2 Rechner ohne Passwort als "root" verbinden, wenn nur diese über die Schlüssel verfügen.

Falls jemand eine bessere Idee hat: Her damit, sie wird dankbar aufgenommen. Wie schon erwähnt ich fange erst mit Linux an!

Grüße von der Nordsee

Peter

[TomL]

Ich möchte eine Datensicherung von einem Server zu einem Backup-Server automatisch durchführen. Als User werden aber die Eigentümer geändert (soweit ich es bisher herausgefunden habe). Daher die Idee, den Backup-Job als "root" zu starten (Crontab) und auf dem Backupserver als "root" zu sichern. Dann, so die Beschreibung, bleibt der Eigentümer erhalten. Der Parameter "--super" hat es jedenfalls nicht gebracht (oder habe ich da was falsch verstanden?).

Bezogen auf die letzte Frage... ich vermute mal ja.... ich versuche deshalb mal etwas Licht ins Dunkel zu bringen.... unter dem Blickwinkel, dass es einen datenvorhaltenden Rechner gibt, und einen Rechner für die die Übernahme eines Backups.

In einem einfach gehaltenen Backupprozess sichert der datenvorhaltende Rechner die Daten selber, das heisst die Intention zum Sicheren der Daten auf ein anderes Speichermedium geht von diesem Rechner aus. Der das Backup aufnehmende Rechner fungiert aus dieser Perspektive quasi als Server... ein Server, der Speicherplatz für das Backup zur Verfügung stellt. Auf dem Rechner, der Herr dieser Daten ist, sollte der Backup-Job mit root-Rechten laufen, damit nicht aufgrund einer Rechte-Beschränkung (mangelnde Leserechte) bestimmte Daten nicht gesichert werden. Der Rechner ermittelt die zu sichernden Daten und überträgt sie einfach übers Netz. Das kann als Tar-Archiv passieren oder auch Dateiweise. Im Tar-Archiv bleiben die Dateirechte enthalten, Dateiweise eben nicht, weil meistens die UID auf beiden Systemen nicht synchron sind. Ich persönlich mache das auf diese Weise und habe zur Unterstützung dieser Vorgehensweise vorher die Daten organisatorisch und disziplinarisch getrennt. Muss ich die Daten zurücksichern, reicht ein einfacher chown tom:tom aus, um unselektiert meine Daten wieder mir zuzuschreiben.... das gleiche bei allen anderen Usern.... das ist also in ein paar Sekunden erledigt. Abweichende UIDs auf den rsync-File-Backups sind deshalb vor dem Hintergrund für mich irrelevant.

BTW, warum muss das überhaupt ein eigener Backup-Server sein, wenn sich der doch sowieso im gleichen Haus/Wohnung befindet? Es würde auch gehen, einfach eine externe Platte an den Datenserver anzuschließen und diese nicht für die Anwender zugänglich zu mounten, sondern nur nachts, um eben das Backup auf diese Platte durchzuführen.... damit wäre sofort auch das Problem mit den UIDs/GIDs gelöst. Bei mir werden auf eine solche Zweit-Platte jede Nacht via rsync alle Datenbereiche gespiegelt. Anwender oder andere Client-PCs sehen diese Zweitplatte nicht oder können diese öffnen.

Eine andere Vorgehensweise wäre, wenn der Backup-Rechner die Daten abholt. Ich halte das jedoch für keine gute Idee, aber man kann das wohl auch machen. Insbesondere soll rsync das auch unterstützen, dass die Initiative vom Backup-Rechner ausgeht... weiss es aber nicht genau. Ich sehe da jedoch genau das Problem, was Du jetzt hast, der Backup-Rechner muss sich mit root-Rechten aus gleichem Grund wie oben auf dem datenvorhaltenden anderen Rechner authenfizieren, damit er beim Abholen auch wirklich alle Rechte für alle Dateien hat. Das wird gehen, ich kann aber da nix zu einer Lösung beitragen.

Ich würde also eher versuchen, dass der Quell-Rechner für den Prozess verantwortlich ist, der Backup-Rechner erlaubt nur das Speichern von Daten über das Netz.... dazu sind dann dort aber keine root-Rechte notwendig.

[Peter18]

Hallo Thomas,

Dank Dir für die sehr ausführliche Antwort. Bei mir sieht das Datensicherungskonzept etwas anders aus. Früher hatte ich noch eine Bandsicherung (Novell), aber Heute in Anbetracht der Preise für einen Raspberry und preiswerten Terabyte-Platten habe ich einen Server mit 2 Platten, die allerdings über einen aktiven Hub angeschlossen sind, weil der kleine den Strom nicht schafft. Geht die Datenplatte kaputt, so ändere ich den Mountpoint in Samba und kann wie gehabt weiterarbeiten. Aber auch Rechner oder SD-Karten können den Geist aufgeben. Dafür ist dann der Backup-Server. Samba starten und es kann weitergehen. Da ist es natürlich unschön, wenn sich die Besitzer geändert haben. Das läßt sich zwar mit Gruppenrechten ausgleichen, aber eine differenzierte Rechtevergabe ist dann nicht mehr möglich, vielleicht mit ACL.

Inzwischen ist es mir gelungen die Schlüssel korrekt einzurichten. Ein Schlüsselpaar für einen anderen User hat mir den Weg gezeigt. Beim Backup-Server mußte der Schlüssel nur in die Datei "authorized_keys" eingetragen werden.

Bei meinen Experimenten ist nun aber wieder die Meldung aufgetaucht: "cannot delete non-empty directory:". Und das trotz "--force" und Rootrechten. Vielleicht hat jemand einen Tipp?

Grüße von der Nordsee

Peter

[uname]

Ich habe nicht alles gelesen. Aber der Fehler fing mal wieder mit "sudo" an. Versteht endlich "sudo" oder geht zu Ubuntu spielen.

[Peter18]

Hallo uname,

Ich habe nicht alles gelesen.

Vielleicht solltest Du das mal tun!! Und nicht nur Sprüche machen!!