SSH und die Gruppe wheel Grundsatzfrage

gordon... · Beitrag von **gordon...** » 31.01.2008 14:36:43

Hallo zusammen,
ich bin in Sachen Debian neu und habe ein paar Fragen zum SSHD.
Ein Auszug meiner sshd_config sieht so aus:

Code: Alles auswählen

# Authentication:
LoginGraceTime 600
PermitRootLogin yes
AllowUsers x1 x2
StrictModes yes

Auf meinen alten Nicht-Debian Systemen konnten alle User, die in der /etc/passwd ein /bin/bash hatten sich über ssh anmelden...
User, die Mitglied der Gruppe wheel waren, konnten ein su machen und ich hatte "permit root login no" gesetzt.

Auf meinem jetzigen Server gibt es keine Gruppe wheel mehr und permit root login steht auf yes...
Ich kann mich aber trotzdem nicht als root direkt am System anmelden...

Übersehe ich hier vielleicht eine Wichtigkeit?

Danke und Grüsse Gordon

toberkel · Beitrag von **toberkel** » 31.01.2008 14:41:57

Hi.

Das dürfte daran liegen:

Code: Alles auswählen

AllowUsers x1 x2

Das erlaubt nur das einloggen der User x1 und x2

mfg,

toberkel

gordon... · Beitrag von **gordon...** » 31.01.2008 16:08:54

Hi toberkel,
könnte ich denn nicht auch einfach eine Gruppe wheel erzeugen und die User x1 und x2 dieser Gruppe zuteilen?

Danke und Grüße Gordon

Beitrag von **feltel** » 31.01.2008 16:16:31

Das mit der wheel-Gruppe kannst Du aber ganz einfach nachbauen; mach ich auch immer auf Systemen, die ich neu einrichte. Einfach eine wheel-Gruppe anlegen, die zulässigen User hinzufügen und dann in der /etc/pam.d/su die Zeile

Code: Alles auswählen

auth       required   pam_wheel.so

um

Code: Alles auswählen

group=wheel

erweitern, so das sie dann so aussieht:

Code: Alles auswählen

auth       required   pam_wheel.so group=wheel

ZOiD · Beitrag von **ZOiD** » 22.02.2008 14:58:26

Hi,
hätte dazu nochmal ne Frage, habe ne wheel Gruppe angelegt, mit root und einem user.
Dazu habe ich "chgrp wheel" und "chmod o-rwx" auf "/bin/su" gemacht, damit nur die su'en können.
Deine Änderung hab ich auch übernommen, aber ich kann mit dem User kein su machen, bekomme immer Authentication failure, was könnte denn das noch sein?

Gruß & Dank
zoid

Beitrag von **feltel** » 22.02.2008 15:06:07

Die Rechteänderungen an /bin/su waren nicht notwendig. Mein Vorschlag oben setzt lediglich eine entsprechende Mitgliedschaft in der Gruppe wheel vorraus, um su machen zu können. Ein "adduser username wheel" reicht also, um das gewünschte Ergebnis zu erreichen.

ZOiD · Beitrag von **ZOiD** » 22.02.2008 15:10:21

... bei mir funktioniert's gerade werde auf die eine, noch auf die andere.

**EDIT**
... glaub das chgrp hat die Dateirechte falsch gesetzt.
Habs rückgängig gemacht und benutze Deine Methode, halte ich für besser.

Danke
Zoid