passwd /bin/false und ssh

Alles rund um sicherheitsrelevante Fragen und Probleme.
Antworten
Benutzeravatar
petrolman
Beiträge: 65
Registriert: 20.05.2010 14:54:22

passwd /bin/false und ssh

Beitrag von petrolman » 10.06.2024 15:41:22

Hallo,

wenn ein User in der passwd den Eintrag /bin/false am Ende der Zeile stehen hat, können dann, obwohl beim erfolgreichen SSH-Login die Verbindung wieder sofort getrennt wird, trotzdem noch Befehle ausgeführt werden? Oder muss dafür dann zur Vermeidung /usr/sbin/nologin angegeben werden?

Benutzeravatar
MSfree
Beiträge: 11605
Registriert: 25.09.2007 19:59:30

Re: passwd /bin/false und ssh

Beitrag von MSfree » 10.06.2024 16:09:41

ssh führt immer die eingetragene Loginshell aus, egal, ob man sich einloggen will, oder ob man Befehle ausführen will.

Sowohl false als auch nologin führen zu einem sofortigen Exit. Auf der Kommandozeile angegebene Befehle werden nicht ausgeführt. nologin liefert im Gegensatz zu false noch eine "freundlichere" Meldung.

uname
Beiträge: 12406
Registriert: 03.06.2008 09:33:02

Re: passwd /bin/false und ssh

Beitrag von uname » 10.06.2024 16:44:38

Mindestens bei /bin/false kann man aber - falls entsprechend konfiguriert - Local- oder Remote-Port-Forwarding nutzen. Wichtig ist dabei jedoch, dass man für SSH die Option -N (nologin) wählt. Beispiel für Remote-Port-Forwarding siehe hier.

Benutzeravatar
petrolman
Beiträge: 65
Registriert: 20.05.2010 14:54:22

Re: passwd /bin/false und ssh

Beitrag von petrolman » 10.06.2024 16:57:16

Ich muss leider einen Angriff nachvollziehen und habe keine Erklärung, wie das dann passieren konnte. Ich habe auch noch einmal ausprobiert, einen remote-Befehl auszuführen, aber dann kommt sofort die entsprechende Meldung:

Code: Alles auswählen

ssh nagios@mx.example.com -t "ls -al"
nagios@mx.example.com's password: 
Could not chdir to home directory /home/nagios: No such file or directory
Connection to mx.example.com closed.
Aber ich musste in der Nacht zu Sonntag feststellen, dass smtp connects unter dem User nagios hergestellt wurden.

lsof -i:25 zeigte mir dann z.B. an

Code: Alles auswählen

sshd    235628  nagios   45u  IPv4 2280316      0t0  TCP mx.example.com:60420->ngcobalt121.manitu.net:smtp (ESTABLISHED)
Im Journal traten zu dem Zeitpunkt viele Fehlermeldungen auf:

Code: Alles auswählen

Jun 09 00:00:21 mx sshd[233241]: error: connect_to 172.67.216.210 port 465: failed.
Jun 09 00:00:22 mx sshd[233241]: error: connect_to 167.43.9.31 port 25: failed.
Ich hatte dann schnellstmöglich das PW von nagios geändert und ssh auf wenige IP-Adressen beschränkt. Seitdem keine dieser Verbindungen mehr. Es wurde auch kein Command auf dem betroffenen Server für nagios eingerichtet.

Benutzeravatar
petrolman
Beiträge: 65
Registriert: 20.05.2010 14:54:22

Re: passwd /bin/false und ssh

Beitrag von petrolman » 19.06.2024 09:30:18

Mittlerweile habe ich diesen Server stillgelegt und bei einem anderen Hoster neu eingerichtet.

Benutzeravatar
cosinus
Beiträge: 4202
Registriert: 08.02.2016 13:44:11
Lizenz eigener Beiträge: GNU General Public License
Wohnort: Bremen

Re: passwd /bin/false und ssh

Beitrag von cosinus » 19.06.2024 09:59:50

Was war denn das für ein Angriff? Konnte der Angreifer sich einloggen? Auch als root? 8O

uname
Beiträge: 12406
Registriert: 03.06.2008 09:33:02

Re: passwd /bin/false und ssh

Beitrag von uname » 20.06.2024 07:08:21

petrolman hat geschrieben:Mittlerweile habe ich diesen Server stillgelegt und bei einem anderen Hoster neu eingerichtet.
Ich hoffe du hast den Server nicht wegen den Logdaten stillgelegt. Bei einem anderen Hoster ändert sich gar nichts.

Benutzeravatar
petrolman
Beiträge: 65
Registriert: 20.05.2010 14:54:22

Re: passwd /bin/false und ssh

Beitrag von petrolman » 21.06.2024 21:58:06

uname hat geschrieben: ↑ zum Beitrag ↑
20.06.2024 07:08:21
petrolman hat geschrieben:Mittlerweile habe ich diesen Server stillgelegt und bei einem anderen Hoster neu eingerichtet.
Ich hoffe du hast den Server nicht wegen den Logdaten stillgelegt. Bei einem anderen Hoster ändert sich gar nichts.
Die Service-Qualität hat bei dem einen Hoster sehr nachgelassen.

Antworten