Hallo,
wenn ein User in der passwd den Eintrag /bin/false am Ende der Zeile stehen hat, können dann, obwohl beim erfolgreichen SSH-Login die Verbindung wieder sofort getrennt wird, trotzdem noch Befehle ausgeführt werden? Oder muss dafür dann zur Vermeidung /usr/sbin/nologin angegeben werden?
passwd /bin/false und ssh
Re: passwd /bin/false und ssh
ssh führt immer die eingetragene Loginshell aus, egal, ob man sich einloggen will, oder ob man Befehle ausführen will.
Sowohl false als auch nologin führen zu einem sofortigen Exit. Auf der Kommandozeile angegebene Befehle werden nicht ausgeführt. nologin liefert im Gegensatz zu false noch eine "freundlichere" Meldung.
Sowohl false als auch nologin führen zu einem sofortigen Exit. Auf der Kommandozeile angegebene Befehle werden nicht ausgeführt. nologin liefert im Gegensatz zu false noch eine "freundlichere" Meldung.
Re: passwd /bin/false und ssh
Mindestens bei /bin/false kann man aber - falls entsprechend konfiguriert - Local- oder Remote-Port-Forwarding nutzen. Wichtig ist dabei jedoch, dass man für SSH die Option -N (nologin) wählt. Beispiel für Remote-Port-Forwarding siehe hier.
Re: passwd /bin/false und ssh
Ich muss leider einen Angriff nachvollziehen und habe keine Erklärung, wie das dann passieren konnte. Ich habe auch noch einmal ausprobiert, einen remote-Befehl auszuführen, aber dann kommt sofort die entsprechende Meldung:
Aber ich musste in der Nacht zu Sonntag feststellen, dass smtp connects unter dem User nagios hergestellt wurden.
lsof -i:25 zeigte mir dann z.B. an
Im Journal traten zu dem Zeitpunkt viele Fehlermeldungen auf:
Ich hatte dann schnellstmöglich das PW von nagios geändert und ssh auf wenige IP-Adressen beschränkt. Seitdem keine dieser Verbindungen mehr. Es wurde auch kein Command auf dem betroffenen Server für nagios eingerichtet.
Code: Alles auswählen
ssh nagios@mx.example.com -t "ls -al"
nagios@mx.example.com's password:
Could not chdir to home directory /home/nagios: No such file or directory
Connection to mx.example.com closed.
lsof -i:25 zeigte mir dann z.B. an
Code: Alles auswählen
sshd 235628 nagios 45u IPv4 2280316 0t0 TCP mx.example.com:60420->ngcobalt121.manitu.net:smtp (ESTABLISHED)
Code: Alles auswählen
Jun 09 00:00:21 mx sshd[233241]: error: connect_to 172.67.216.210 port 465: failed.
Jun 09 00:00:22 mx sshd[233241]: error: connect_to 167.43.9.31 port 25: failed.
Re: passwd /bin/false und ssh
Mittlerweile habe ich diesen Server stillgelegt und bei einem anderen Hoster neu eingerichtet.
-
cosinus
- Beiträge: 4186
- Registriert: 08.02.2016 13:44:11
- Lizenz eigener Beiträge: GNU General Public License
- Wohnort: Bremen
Re: passwd /bin/false und ssh
Was war denn das für ein Angriff? Konnte der Angreifer sich einloggen? Auch als root? 
Re: passwd /bin/false und ssh
Ich hoffe du hast den Server nicht wegen den Logdaten stillgelegt. Bei einem anderen Hoster ändert sich gar nichts.petrolman hat geschrieben:Mittlerweile habe ich diesen Server stillgelegt und bei einem anderen Hoster neu eingerichtet.
Re: passwd /bin/false und ssh
Die Service-Qualität hat bei dem einen Hoster sehr nachgelassen.uname hat geschrieben:20.06.2024 07:08:21Ich hoffe du hast den Server nicht wegen den Logdaten stillgelegt. Bei einem anderen Hoster ändert sich gar nichts.petrolman hat geschrieben:Mittlerweile habe ich diesen Server stillgelegt und bei einem anderen Hoster neu eingerichtet.
