|
| Opgradering af ssh Fra : Svend Bjerrum Jensen |
Dato : 09-11-02 00:41 |
|
Hej
Jeg har forsøgt at opgraderemin OpenSSH.
Dvs. jeg har afinstalleret den OpenSSH, som fulgte med min Slackware
8.0, og hentet kildekoden til nyeste OpenSSH, og installeret den.
Udmiddelbar inden dette opgradrede jeg openssl.
For at installere OpenSSH kørte jeg:
./configure
make
make install
make host-key
Herefter starter jeg sshd med:
sshd
Så langt ser det ud til at virke, men når jeg bagefter vil tjekke om jeg
kan logge ind med ssh går det galt.
bash-2.05$ rm -r ~/.ssh/
bash-2.05$ ssh localhost
The authenticity of host 'localhost (127.0.0.1)' can't be established.
RSA key fingerprint is b7:e5:1d:59:b5:5e:5e:ca:12:17:88:d3:d8:be:13:de.
Are you sure you want to continue connecting (yes/no)? yes
Warning: Permanently added 'localhost' (RSA) to the list of known hosts.
zb@localhost's password:
Permission denied, please try again.
zb@localhost's password:
Permission denied, please try again.
zb@localhost's password:
Permission denied (publickey,password,keyboard-interactive).
Jeg har ikke ændret noget i sshd_config, da default opsætningen for mig
at se skulle virke efter hensigten. Er der nogen, der har et bud på,
hvad jeg kan have overset?
--
Med venlig Hilsen
Svend Bjerrum Jensen
http://www.sbj.esenet.dk
| |
Alex Holst (09-11-2002)
| Kommentar Fra : Alex Holst |
Dato : 09-11-02 01:41 |
|
Svend Bjerrum Jensen <zb@nospam.dk> wrote:
> Jeg har forsøgt at opgraderemin OpenSSH.
> Dvs. jeg har afinstalleret den OpenSSH, som fulgte med min Slackware
> 8.0, og hentet kildekoden til nyeste OpenSSH, og installeret den.
Jeg gaetter paa at du har begaaet Klassisk Fejl Nummer 1: Dit system
bruger PAM men du har ikke compiled OpenSSH til at bruge PAM. (Eller
omvendt: dit system bruger ikke PAM men du har compiled OpenSSH til at
bruge PAM.)
--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.mongers.org
| |
Svend Bjerrum Jensen (09-11-2002)
| Kommentar Fra : Svend Bjerrum Jensen |
Dato : 09-11-02 12:44 |
|
Alex Holst skrev:
> Svend Bjerrum Jensen <zb@nospam.dk> wrote:
>
>>Jeg har forsøgt at opgraderemin OpenSSH.
>>Dvs. jeg har afinstalleret den OpenSSH, som fulgte med min Slackware
>>8.0, og hentet kildekoden til nyeste OpenSSH, og installeret den.
>
>
> Jeg gaetter paa at du har begaaet Klassisk Fejl Nummer 1: Dit system
> bruger PAM men du har ikke compiled OpenSSH til at bruge PAM. (Eller
> omvendt: dit system bruger ikke PAM men du har compiled OpenSSH til at
> bruge PAM.)
Nu har jeg genoversat OpenSSH, hvor jeg brugte:
../configure --without-pam
Det ændrede ikke noget. Hvis jeg kører ./configure uden parametre, så
får jeg også:
PAM support: no
--
Med venlig Hilsen
Svend Bjerrum Jensen
http://www.sbj.esenet.dk
| |
Alex Holst (09-11-2002)
| Kommentar Fra : Alex Holst |
Dato : 09-11-02 19:17 |
|
Svend Bjerrum Jensen <zb@nospam.dk> wrote:
> Nu har jeg genoversat OpenSSH, hvor jeg brugte:
> ./configure --without-pam
Jeg kender ikke Slackware. Jeg gaetter dog paa at ./configure --with-pam
vil virke. Ellers kan du altid betragte disse problemer som motivation
for at bruge key authentication i stedet for statiske passwords.
--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.mongers.org
| |
Svend Bjerrum Jensen (10-11-2002)
| Kommentar Fra : Svend Bjerrum Jensen |
Dato : 10-11-02 01:11 |
|
Alex Holst skrev:
> Svend Bjerrum Jensen <zb@nospam.dk> wrote:
>
>>Nu har jeg genoversat OpenSSH, hvor jeg brugte:
>>./configure --without-pam
>
>
> Jeg kender ikke Slackware. Jeg gaetter dog paa at ./configure --with-pam
> vil virke.
Nej, det vil ikke virke, eftersom jeg ikke har/bruger pam.
> Ellers kan du altid betragte disse problemer som motivation
> for at bruge key authentication i stedet for statiske passwords.
På hvilken måde kan det afhjæpe problemet?
--
Med venlig Hilsen
Svend Bjerrum Jensen
http://www.sbj.esenet.dk
| |
Alex Holst (10-11-2002)
| Kommentar Fra : Alex Holst |
Dato : 10-11-02 13:30 |
|
Svend Bjerrum Jensen <zb@nospam.dk> wrote:
>> Ellers kan du altid betragte disse problemer som motivation
>> for at bruge key authentication i stedet for statiske passwords.
>
> På hvilken måde kan det afhjæpe problemet?
OpenSSH's key handling er ikke afhaenging af det underliggende
authentication system (som lader til at give problemer).
--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.mongers.org
| |
Svend Bjerrum Jensen (10-11-2002)
| Kommentar Fra : Svend Bjerrum Jensen |
Dato : 10-11-02 14:33 |
|
Alex Holst skrev:
> OpenSSH's key handling er ikke afhaenging af det underliggende
> authentication system (som lader til at give problemer).
Det underliggende authentication system virker tilsyneladende
uprobematisk for andre programmer. For mig at se er problemet, at
OpenSSH med standard opsætning ikke bruger det underliggende system
(rigtigt).
Derfor spørger jeg om der skal ændres i OpenSSH's standard opsætning for
at den kan bruge det underliggende system? Under opgraderingen er der
også blevet oprettet en bruger ved navn sshd. Hvilken ændring giver det
i hvordan programmet skal sættet op?
I loggen får jeg følgende:
sshd[8946]: Failed password for zb from 127.0.0.1 port 35628 ssh2
--
Med venlig Hilsen
Svend Bjerrum Jensen
http://www.sbj.esenet.dk
| |
Alex Holst (11-11-2002)
| Kommentar Fra : Alex Holst |
Dato : 11-11-02 12:49 |
|
Svend Bjerrum Jensen <zb@nospam.dk> wrote:
> Alex Holst skrev:
>> OpenSSH's key handling er ikke afhaenging af det underliggende
>> authentication system (som lader til at give problemer).
>
> Det underliggende authentication system virker tilsyneladende
> uprobematisk for andre programmer. For mig at se er problemet, at
> OpenSSH med standard opsætning ikke bruger det underliggende system
> (rigtigt).
Jep, men jeg ved ikke hvad "det underliggende system" daekker over paa
din maskine, saa lige der kan jeg ikke hjaelpe dig. Jeg har dog en anden
ide: Hvilken version af OpenSSH koerer du med? (Vis os outputtet fra
ssh -V paa den maskine du koerer sshd paa.)
> Derfor spørger jeg om der skal ændres i OpenSSH's standard opsætning for
> at den kan bruge det underliggende system? Under opgraderingen er der
> også blevet oprettet en bruger ved navn sshd. Hvilken ændring giver det
> i hvordan programmet skal sættet op?
Det staar i manualen. Brugeren benyttes hvis OpenSSH's privsep er slaaet
til. Denne feature bringer drastisk antallet af kodelinier med root
privs ned.
--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.mongers.org
| |
Svend Bjerrum Jensen (11-11-2002)
| Kommentar Fra : Svend Bjerrum Jensen |
Dato : 11-11-02 23:36 |
|
Alex Holst skrev:
>
> Jep, men jeg ved ikke hvad "det underliggende system" daekker over paa
> din maskine, saa lige der kan jeg ikke hjaelpe dig.
Det er Slackware-8 standard opsætning, hviket vil sige et traditionelt
system med shadow password.
> Jeg har dog en anden
> ide: Hvilken version af OpenSSH koerer du med? (Vis os outputtet fra
> ssh -V paa den maskine du koerer sshd paa.)
OpenSSH_3.5p1, SSH protocols 1.5/2.0, OpenSSL 0x0090607f
--
Med venlig Hilsen
Svend Bjerrum Jensen
http://www.sbj.esenet.dk
| |
Alex Holst (11-11-2002)
| Kommentar Fra : Alex Holst |
Dato : 11-11-02 23:59 |
|
Svend Bjerrum Jensen <zb@nospam.dk> wrote:
> Det er Slackware-8 standard opsætning, hviket vil sige et traditionelt
> system med shadow password.
Hvis du saetter UsePrivilegeSeparation til 'no' og genstarter sshd,
virker det saa? Hvis ikke, maa jeg nok melde pas.
--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.mongers.org
| |
Svend Bjerrum Jensen (12-11-2002)
| Kommentar Fra : Svend Bjerrum Jensen |
Dato : 12-11-02 00:43 |
|
Alex Holst skrev:
> Hvis du saetter UsePrivilegeSeparation til 'no' og genstarter sshd,
> virker det saa? Hvis ikke, maa jeg nok melde pas.
Ændrer intet.
--
Med venlig Hilsen
Svend Bjerrum Jensen
http://www.sbj.esenet.dk
| |
Peter Makholm (09-11-2002)
| Kommentar Fra : Peter Makholm |
Dato : 09-11-02 12:53 |
|
Svend Bjerrum Jensen <zb@nospam.dk> writes:
> Det ændrede ikke noget. Hvis jeg kører ./configure uden parametre, så
> får jeg også:
> PAM support: no
Du mangler måske nogle libpam-dev pakker?
--
Peter Makholm | I congratulate you. Happy goldfish bowl to you, to
peter@makholm.net | me, to everyone, and may each of you fry in hell
http://hacking.dk | forever
| -- The Dead Past
| |
|
|