sshd_config

Xelf · Beitrag von **Xelf** » 30.12.2007 17:35:23

Hallöle,

habe bei meienr sshd_config folgende Zeile hinzugefügt:

AllowUsers Benutzername

Danach:

Code: Alles auswählen

/etc/init.d/ssh reload
/etc/init.d/ssh restart

durchgeführt.

Nun kann ich keine ssh Verbindung mehr aufbauen.
Egal mit welchem Benutzername.

DenyUsers o.ä. sind in der Config nicht vorhanden.

An was liegts?

Grüße

Xelf · Beitrag von **Xelf** » 30.12.2007 17:39:59

Verwendet wird Debian Etch

Hier mal die sshd_config:

Code: Alles auswählen

# Package generated configuration file
# See the sshd(8) manpage for details

# What ports, IPs and protocols we listen for
Port MEINPORT
# Use these options to restrict which interfaces/protocols sshd will bind to
#ListenAddress ::
#ListenAddress 0.0.0.0
Protocol 2
# HostKeys for protocol version 2
HostKey /etc/ssh/ssh_host_rsa_key
HostKey /etc/ssh/ssh_host_dsa_key
#Privilege Separation is turned on for security
AllowUsers BENUTZERNAME
UsePrivilegeSeparation yes

# Lifetime and size of ephemeral version 1 server key
KeyRegenerationInterval 3600
ServerKeyBits 768

# Logging
SyslogFacility AUTH
LogLevel INFO

# Authentication:
LoginGraceTime 20
PermitRootLogin no
StrictModes yes

RSAAuthentication yes
PubkeyAuthentication yes
#AuthorizedKeysFile     %h/.ssh/authorized_keys

# Don't read the user's ~/.rhosts and ~/.shosts files
IgnoreRhosts yes
# For this to work you will also need host keys in /etc/ssh_known_hosts
RhostsRSAAuthentication no
# similar for protocol version 2
HostbasedAuthentication no
# Uncomment if you don't trust ~/.ssh/known_hosts for RhostsRSAAuthentication
#IgnoreUserKnownHosts yes

# To enable empty passwords, change to yes (NOT RECOMMENDED)
PermitEmptyPasswords no

# Change to yes to enable challenge-response passwords (beware issues with
# some PAM modules and threads)
ChallengeResponseAuthentication no

# Change to no to disable tunnelled clear text passwords
#PasswordAuthentication yes

# Kerberos options
#KerberosAuthentication no
#KerberosGetAFSToken no
#KerberosOrLocalPasswd yes
#KerberosTicketCleanup yes

# GSSAPI options
#GSSAPIAuthentication no
#GSSAPICleanupCredentials yes

X11Forwarding yes
X11DisplayOffset 10
PrintMotd no
PrintLastLog yes
TCPKeepAlive yes
#UseLogin no

#MaxStartups 10:30:60
#Banner /etc/issue.net

# Allow client to pass locale environment variables
AcceptEnv LANG LC_*

Subsystem sftp /usr/lib/openssh/sftp-server

UsePAM yes

EDIT: Auch Änderung im Port gehen nicht. Es werden dann gar keine Verbinungen zu gelassen.
Habe es mit der Pornummer so gemacht:
Bsp.

Code: Alles auswählen

netstat -an | grep 32569

Und dann unter Port eingetragen.

123456 · Beitrag von **123456** » 30.12.2007 18:07:15

Existiert der Benutzer denn und hat er eine Shell?
Bin mir nicht sicher, aber trage mal zusätzlich "root" bei den AllowedUsers ein...

Xelf · Beitrag von **Xelf** » 30.12.2007 18:33:12

Also es klappt nun.
Der Server war wohl einfach nur abgeschmiert.

Nun eine Frage hab ich noch, ich dachte wenn ich AllowUsers eintrage, dass er jegliche andere Verbindungen mit anderem Benutzernamen blockt. Dies tut er nicht, er lässt die Verbindung immer noch zu, es kann sich nur keiner aus der unter AllowUsers einloggen.

Ich wollte kleinere Logs haben, dachte AllowUsers hilft ...

Edit:

in meiner Log-Datei hab ich auch ab und zu sowas:

Code: Alles auswählen

Dec 30 18:32:01 **** CRON[22002]: (pam_unix) session opened for user root by (uid=0)
Dec 30 18:32:02 **** CRON[22002]: (pam_unix) session closed for user root

Woher kommt das?

Grüße

123456 · Beitrag von **123456** » 30.12.2007 18:50:50

Xelf hat geschrieben: ich dachte wenn ich AllowUsers eintrage, dass er jegliche andere Verbindungen mit anderem Benutzernamen blockt. Dies tut er nicht, er lässt die Verbindung immer noch zu, es kann sich nur keiner aus der unter AllowUsers einloggen.

So soll das auch sein.
Um die Einloggversuche zu minimieren kannst Du den Port 22 auf einen anderen Port verändern, keinen root Zugang zulassen und bsp. bei der Firewall Port 22 dann droppen. Das hält schon einiges und einige ab...Ansonsten gibts doch logrotate.

in meiner Log-Datei hab ich auch ab und zu sowas:
Code: Alles auswählen
Dec 30 18:32:01 **** CRON[22002]: (pam_unix) session opened for user root by (uid=0)
Dec 30 18:32:02 **** CRON[22002]: (pam_unix) session closed for user root
Woher kommt das?

Schau doch mal, was der cron Job da macht. Irgendwo in "/etc/cron.daily" sollte da was stehen.

Xelf · Beitrag von **Xelf** » 30.12.2007 18:58:10

Also den Port hab ich schon geändert.

Nur warum funktionier AllowUsers nicht?
Muss noch ein AllowGroups dazu?

Oder ein DenyUsers *

123456 · Beitrag von **123456** » 30.12.2007 19:12:12

Xelf hat geschrieben:Nur warum funktionier AllowUsers nicht?
Muss noch ein AllowGroups dazu?

Oder ein DenyUsers *

Da habe ich dich wohl falsch verstanden. ich dachte, das tut was es soll. AllowGroups, etc. brauchst du eigentlich nicht zusätzlich.

Xelf · Beitrag von **Xelf** » 30.12.2007 19:47:28

Na wenn AllowUsers Benutzername hinzufüge, dann fragt er trotzallem bei jedem Benutzernamen nach dem Passwort, lääst zwar keinen rein, aber nach dem Passwort fragt er trotzdem.
Dachte man könnte diese Verbindung schon unterbinden.

Grüße

roth · Beitrag von **roth** » 30.01.2008 19:29:10

Grüß Gott,

was wäre, wenn Du auf Paßwortauthentifizierung gänzlich verzichtest und nur mit Schlüsseln authentifizierst?

RSAAuthentication yes
PubkeyAuthentication yes
AuthorizedKeysFile %h/.ssh/authorized_keys
PasswordAuthentication no

Gruß
Sven