Ausgesperrt bei ssh?
Ausgesperrt bei ssh?
Hi,
ich hoffe, es ist nicht das, was ich befürchte...
Beim Härten vom Server habe ich bei der Firewall alles soweit bedacht.
Bei der sshd.conf habe ich vermutlich aber irgendwas verbockt.
Ich habe die Anmeldung via keys und sie ist gelaufen und hat funktioniert.
Zwei Sachen, die damit zu tun haben könnte sind:
- 600 Rechte auf den Ordner mit den Keys
- explizite Useranmedung mit dem entsprechenden Usernamen.
Kann es sein, dass durch die 600, der User nicht mehr auf die Keyverifikation zugreifen kann und deswegen "permission denied (public key)" erscheint?
Dann wäre die Sache völlig verbockt und ich muss den Server neu aufsetzen, richtig?
Grüße
deb
ich hoffe, es ist nicht das, was ich befürchte...
Beim Härten vom Server habe ich bei der Firewall alles soweit bedacht.
Bei der sshd.conf habe ich vermutlich aber irgendwas verbockt.
Ich habe die Anmeldung via keys und sie ist gelaufen und hat funktioniert.
Zwei Sachen, die damit zu tun haben könnte sind:
- 600 Rechte auf den Ordner mit den Keys
- explizite Useranmedung mit dem entsprechenden Usernamen.
Kann es sein, dass durch die 600, der User nicht mehr auf die Keyverifikation zugreifen kann und deswegen "permission denied (public key)" erscheint?
Dann wäre die Sache völlig verbockt und ich muss den Server neu aufsetzen, richtig?
Grüße
deb
Re: Ausgesperrt bei ssh?
Ja. Der Order solltedebiator hat geschrieben:18.10.2024 21:32:33Kann es sein, dass durch die 600, der User nicht mehr auf die Keyverifikation zugreifen kann und deswegen "permission denied (public key)" erscheint?
Code: Alles auswählen
ls -ld .ssh/
drwx------ 2 root root 4096 Oct 18 21:27 .ssh/
Der Ordner muß also neben den Lese- und Schreib-Bit auch das Executable-Bit gesetzt haben.
Nein, es sollte reichen, das Executable-Bit zu setzen.Dann wäre die Sache völlig verbockt und ich muss den Server neu aufsetzen, richtig?
Re: Ausgesperrt bei ssh?
danke schon mal!
ah, ich meine 0600 nicht 600
Folgendes habe ich vor Kurzem gesetzt:
chown root:root /etc/ssh/sshd_config
chmod og-rwx /etc/ssh/sshd_config
Das dürfte kein Problem geben, aber vermutlich Folgendes:
https://moisesmsf.github.io/hdcb/5-Acce ... onfigured/
Vielleicht ist das der Grund... war wohl zu schnell, ohne zu verstehen, inwiefern ich meinen user irgendwo raauswerfe.
Ich habe noch Zugang über die Konsole vom Provider, von daher, kanns noch richten... müsste nur wissen was
#Edit:
ssh für root ist gesperrt, ich verbinde mit einem user mit key.
Die Frage ist, wie der obige Skript das beeinflusst hat bzw. inwiefern.
Die Syntax und die Logik der Rechteverteilung verstehe ich noch recht wenig, muss ich zugeben.
ah, ich meine 0600 nicht 600
Folgendes habe ich vor Kurzem gesetzt:
chown root:root /etc/ssh/sshd_config
chmod og-rwx /etc/ssh/sshd_config
Das dürfte kein Problem geben, aber vermutlich Folgendes:
https://moisesmsf.github.io/hdcb/5-Acce ... onfigured/
Vielleicht ist das der Grund... war wohl zu schnell, ohne zu verstehen, inwiefern ich meinen user irgendwo raauswerfe.
Ich habe noch Zugang über die Konsole vom Provider, von daher, kanns noch richten... müsste nur wissen was
#Edit:
ssh für root ist gesperrt, ich verbinde mit einem user mit key.
Die Frage ist, wie der obige Skript das beeinflusst hat bzw. inwiefern.
Die Syntax und die Logik der Rechteverteilung verstehe ich noch recht wenig, muss ich zugeben.
Re: Ausgesperrt bei ssh?
Ich denke, MSfree hat die wesentlichen Voraussetzungen genannt.
Es macht übrigens viel wacher, den Kaffee über die Tastatur zu kippen, statt ihn zu trinken.
Re: Ausgesperrt bei ssh?
ok, ich habs!!
Es war der Eintrag
AllowUsers meinusername
in der sshd_conf
Stimmt die Syntax nicht?
Wie kann ich für einen user den Zugang restriktiv erlauben?
Es war der Eintrag
AllowUsers meinusername
in der sshd_conf
Stimmt die Syntax nicht?
Wie kann ich für einen user den Zugang restriktiv erlauben?
Zuletzt geändert von debiator am 18.10.2024 22:28:17, insgesamt 1-mal geändert.
Re: Ausgesperrt bei ssh?
Leserecht = 4
Schreibrecht = 2
Executable = 1
6 = 4 + 2, also Lesen und Schreiben. Wenn es zusätzlich ausführbar sein soll 4 + 2 + 1 = 7.
Die Dateien gehören ohnehin root, das war also wirkungslos, hat also nichts geändert.Folgendes habe ich vor Kurzem gesetzt:
chown root:root /etc/ssh/sshd_config
Die Datei ist bei mit "-rw-r--r--", was 4 + 2, 4, 4 entspricht, also 644. Solange die Datei nur für root beschreibbar ist, hast du kein Sicherheitsloch. In der Datei stehen auch keine Geheimnisse, die darf also ruhig von jederman lesbar sein. Der SSH-Dienst müßte aber (ohne Garantie) auch mit deinem chmod funktionieren.chmod og-rwx /etc/ssh/sshd_config
Du hast aber vermutlich, das schließe ich aus deinem ersten Post, dem .ssh-Verzeichnis deines Benutzers das Execute-Bit entzogen, und dann klappt die Anmeldung garantiert nicht mehr, weil auf die Schlüsseldatei deines Benutzers nicht mehr zugegriffen werden kann.
Du mußt eigentlich nur in deinem BenutzerverzeichnisIch habe noch Zugang über die Konsole vom Provider, von daher, kanns noch richten... müsste nur wissen was
Code: Alles auswählen
chmod 700 .ssh
Re: Ausgesperrt bei ssh?
siehe oben, habs editiert und dein Beitrag erst jetzt gelesen.
Mit den Rechten muss ich mich wirklich mal vertieft befassen, ich kapiere sie einfach nicht nach zick mal lesen über die Jahre.
Vor allem der Sinn dessen wer auf was wann zugreifen darf, muss, soll oder nicht.
Aber das ist ein extra Thema.
Auf jeden Fall war der AllowUsers meinusername der Ausschlussfaktor meines Users.
Mit den Rechten muss ich mich wirklich mal vertieft befassen, ich kapiere sie einfach nicht nach zick mal lesen über die Jahre.
Vor allem der Sinn dessen wer auf was wann zugreifen darf, muss, soll oder nicht.
Aber das ist ein extra Thema.
Auf jeden Fall war der AllowUsers meinusername der Ausschlussfaktor meines Users.
- cosinus
- Beiträge: 4202
- Registriert: 08.02.2016 13:44:11
- Lizenz eigener Beiträge: GNU General Public License
- Wohnort: Bremen
Re: Ausgesperrt bei ssh?
Wenn du grundsätzlich die Anmeldung nur via Key erlaubst, dann musst du dir klar sein, dass mit dem Verlust des Schlüssels, nichts mehr machen kannst. Ich finde es dann auch eher unsinnig noch die Anmeldung von User einzuschränken, wenn man per Passwort eh grundsätzlich nicht mehr reinkommt.
Um was für ein System geht es hier eigentlich? Testkiste daheim? Oder gemieteter Rootserver in irgendeinem RZ?
Um was für ein System geht es hier eigentlich? Testkiste daheim? Oder gemieteter Rootserver in irgendeinem RZ?
Re: Ausgesperrt bei ssh?
ist ein öffentlicher VPS, von daher macht es schon sinn den Passwortzugang zu cuten. Und wie es aussieht, komme ich eh über die Console vom Provider rein. Verstehe zwar nicht ganz warum, aber gut.
- cosinus
- Beiträge: 4202
- Registriert: 08.02.2016 13:44:11
- Lizenz eigener Beiträge: GNU General Public License
- Wohnort: Bremen
Re: Ausgesperrt bei ssh?
Dann wäre vllt fail2ban besser?debiator hat geschrieben:18.10.2024 23:21:55ist ein öffentlicher VPS, von daher macht es schon sinn den Passwortzugang zu cuten. Und wie es aussieht, komme ich eh über die Console vom Provider rein. Verstehe zwar nicht ganz warum, aber gut.
Ich würde es so machen: root login verbieten, man kann nur mit User rein. Der darf es auch gerne per Passwort. fail2ban checkt dann auf fehlgeschlagene Loginversuche und sperrt dann die IP-Adressen nach zB zwei fehlgeschlagenen Versuchen.
Variante B: Grundsätzlich kein Login per Passwort erlauben. Dann musst du aber höllisch auf deine Keys aufpassen und auch eine vernünftige Verwaltung einführen. Wie viele User werden denn da eingerichtet, die ssh machen sollen?
Re: Ausgesperrt bei ssh?
BTW: fail2ban bis auch in Linux der sshd z. B. diese Konfigurationsmöglichkeiten hat:cosinus hat geschrieben:18.10.2024 23:50:07... nur mit User rein. Der darf es auch gerne per Passwort. fail2ban checkt dann auf fehlgeschlagene Loginversuche und sperrt dann die IP-Adressen nach zB zwei fehlgeschlagenen Versuchen.
Code: Alles auswählen
PerSourceMaxStartups 2
PerSourcePenalties authfail:300s max-sources4:3 min:3s refuseconnection:120s
PerSourcePenaltyExemptList 192.168.178.41,192.168.178.55
# ...
Match Invalid-User User <normaler_user>
RefuseConnection yes
Code: Alles auswählen
:~$ sshd -V
OpenSSH_9.9, ...
Debian 12.8 mit LXDE, OpenBSD 7.6 mit i3wm, FreeBSD 14.1 mit Xfce
Re: Ausgesperrt bei ssh?
der läuft bereits.
Feineinstellung habe ich noch nicht gemacht.
Klar, wäre auch ne Möglichkeit, aber wie es aussieht, kann ich eh über die Konsole vom Provider rein (vermutlich kann man bei einem VPS VNC und X11 gar nicht sperren??)Ich würde es so machen: root login verbieten, man kann nur mit User rein. Der darf es auch gerne per Passwort. fail2ban checkt dann auf fehlgeschlagene Loginversuche und sperrt dann die IP-Adressen nach zB zwei fehlgeschlagenen Versuchen.
Dennoch muss ich natürlich auf die Keys aufpassen, klar.
nur ich, also nichts KomplexesWie viele User werden denn da eingerichtet, die ssh machen sollen?