|
| ssh til root Fra : Ivar Madsen |
Dato : 24-04-04 17:16 |
|
Jeg har behov for at copiere nogle filer der kræver root acces, men kan ikke få
min SSHD til at acceptere ssh root@maskine
Jeg har rettet /etc/ssh/sshd_config til
| PermitRootLogin yes
hvad andet der skal gøres?
--
Med venlig hilsen Ivar Madsen
--------------------------------------------------------------------------------
http://milli.dk/webupdate/ nu i version 0.3.3 nogle sider meldtes konstant
opdateret, dette er fixet, båndbredebegrænsningen er desvære fjernet igen.
| |
Brian Christensen (24-04-2004)
| Kommentar Fra : Brian Christensen |
Dato : 24-04-04 17:36 |
|
On Sat, 24 Apr 2004 18:16:13 +0200, Ivar Madsen wrote:
> Jeg har behov for at copiere nogle filer der kræver root acces, men kan ikke få
> min SSHD til at acceptere ssh root@maskine
>
> Jeg har rettet /etc/ssh/sshd_config til
> | PermitRootLogin yes
> hvad andet der skal gøres?
Kan du ikke bare skifte til root med su ? Det er mere sikkert.
Ellser skal du rette det til som du har gjort og så huske at genstarte
sshd
mvh
Brian
| |
Ivar Madsen (24-04-2004)
| Kommentar Fra : Ivar Madsen |
Dato : 24-04-04 18:28 |
|
Brian Christensen skrev i -dk.edb.system.unix:
>> Jeg har behov for at copiere nogle filer der kræver root acces, men kan ikke
>> få min SSHD til at acceptere ssh root@maskine
>> Jeg har rettet /etc/ssh/sshd_config til
>> | PermitRootLogin yes
>> hvad andet der skal gøres?
> Kan du ikke bare skifte til root med su ? Det er mere sikkert.
Det kan jeg ikke få mc til at gøre. Min router er lukket på ssh porten, så det
skulle ikke være muligt at komme ind med ssh udefra. Har en hacker først
fundet vej ind, så tror jeg det er en smal sag at få root adgang også,,,
> Ellser skal du rette det til som du har gjort og så huske at genstarte
> sshd
|[root@dhcppc0 init.d]# sshd restart
|Extra argument restart.
|[root@dhcppc0 init.d]# ssh localhost
|root@localhost's password:
|Permission denied, please try again.
|root@localhost's password:
Jeg er 100% sikker på at det er rette pasword.
--
Med venlig hilsen Ivar Madsen
--------------------------------------------------------------------------------
http://milli.dk/webupdate/ nu i version 0.3.3 nogle sider meldtes konstant
opdateret, dette er fixet, båndbredebegrænsningen er desvære fjernet igen.
| |
Morten Bakkedal (24-04-2004)
| Kommentar Fra : Morten Bakkedal |
Dato : 24-04-04 18:42 |
|
On Sat, 24 Apr 2004 19:28:23 +0200, Ivar Madsen wrote:
> |[root@dhcppc0 init.d]# sshd restart
> |Extra argument restart.
Du mangler "./":
../sshd restart
--
Morten Bakkedal
http://www.bakkeland.dk/
| |
Nikolaj Hansen (25-04-2004)
| Kommentar Fra : Nikolaj Hansen |
Dato : 25-04-04 00:20 |
|
Det er rigtigt, at hvis de først har en alm. brugers password, så er det
sikkert bare et spg. om tid, før de har root password.
Men i den tidsperiode har du måske chance for at opdage, der foregår
noget mystisk.
Hvis du har brug for at gøre noget som root fra en alm. useraccount, så
brug foreslår jeg at bruge sudo.
Der kan du opsætte ikke bare at man kan køre noget som root (su -) ,men
også hvad man kan køre som root.
| |
Ivar Madsen (25-04-2004)
| Kommentar Fra : Ivar Madsen |
Dato : 25-04-04 01:37 |
|
Nikolaj Hansen skrev i -dk.edb.system.unix:
> Det er rigtigt, at hvis de først har en alm. brugers password, så er det
> sikkert bare et spg. om tid, før de har root password.
> Men i den tidsperiode har du måske chance for at opdage, der foregår
> noget mystisk.
Ja, men jeg føler mig rimelig sikker på at når routeren afviser trafik på ssh
porten, så kommer de ikke ind. Ligeledes så kan /etc/ssh/sshd_config sættes
til "ListenAddress 10.0.0.2" så den kun lytter på den ene maskine.
> Hvis du har brug for at gøre noget som root fra en alm. useraccount, så
> brug foreslår jeg at bruge sudo.
Gør jeg normalt også.
> Der kan du opsætte ikke bare at man kan køre noget som root (su -) ,men
> også hvad man kan køre som root.
OK.
Det jeg vil, det er have min normalt brugte maskine som server/disktop, og når
jeg så skal rode med den (f.eks. opgradere serverprogrammere, herunder
opgradere dist.version) så have en backup maskine til at køre mine server.
Dvs. jeg skal have copieret mine conf filer fra den ene maskine til den anden,
mange af disse filer er ejet af root, og derfor er det jo også kun root der
kan skrive dem på den anden maskine.
Til det formål bruger jeg mc, og der kan jeg ikke oprette en ssh forbindelse
til en alm. bruger, og så su til root. Men oprette en ssh til root og så
overføre virker,,,
Hvilken anden metode vil du forslå til overførsel af root's filer?
--
Med venlig hilsen Ivar Madsen
--------------------------------------------------------------------------------
http://milli.dk/webupdate/ nu i version 0.3.3 nogle sider meldtes konstant
opdateret, dette er fixet, båndbredebegrænsningen er desvære fjernet igen.
| |
Nikolaj Hansen (25-04-2004)
| Kommentar Fra : Nikolaj Hansen |
Dato : 25-04-04 03:24 |
|
> Til det formål bruger jeg mc, og der kan jeg ikke oprette en ssh forbindelse
> til en alm. bruger, og så su til root. Men oprette en ssh til root og så
> overføre virker,,,
>
> Hvilken anden metode vil du forslå til overførsel af root's filer?
Der plejer gerne at være en operator account, der næsten har samme
rettigheder som root. I hvert fald er brugeren i den samme gruppe som root.
På FreeBSD hedder den gruppe wheel. Så hvis filerne er ejet af root og
ligger i wheel gruppen, så burde en anden i wheel gruppen kunne læse
dem, hvis de har read på group access bit'en.
Alternativt kan du lave et script, der pakker filerne sammen og gør dem
klar i et arkiv, og så kan du hente den via eks. SCP/SSH.
| |
Ivar Madsen (25-04-2004)
| Kommentar Fra : Ivar Madsen |
Dato : 25-04-04 08:25 |
|
Nikolaj Hansen skrev i -dk.edb.system.unix:
>> Til det formål bruger jeg mc, og der kan jeg ikke oprette en ssh forbindelse
>> til en alm. bruger, og så su til root. Men oprette en ssh til root og så
>> overføre virker,,,
>> Hvilken anden metode vil du forslå til overførsel af root's filer?
> Der plejer gerne at være en operator account, der næsten har samme
> rettigheder som root. I hvert fald er brugeren i den samme gruppe som root.
> På FreeBSD hedder den gruppe wheel. Så hvis filerne er ejet af root og
> ligger i wheel gruppen, så burde en anden i wheel gruppen kunne læse
> dem, hvis de har read på group access bit'en.
Problemmet er ikke at læse filen, men at skrive den.
> Alternativt kan du lave et script, der pakker filerne sammen og gør dem
> klar i et arkiv, og så kan du hente den via eks. SCP/SSH.
|[ivar@dhcppc0 RealPlayer9]$ su
|Password:
|[root@dhcppc0 RealPlayer9]# su wheel
|su: bruger wheel eksisterer ikke
|[root@dhcppc0 RealPlayer9]#
Den bruger findes ikke på en Mandrake.
Jeg kunne ssh'e til backupmaskinen som alm. bruger, su'e til root, og så ssh'e
tilbage til primær maskinen, men så skulle jeg jo køre sshd på den maskine der
køre 24/7/52 og så er vi over i sikkerheden igen, det er sikkere ikke at køre
sshd end at køre den med adgang til alm. bruger accound,,,
Vil en hacker ind, så skal han først ind på LAN for at kunne ændre routeren så
den lader trafik slippe igennem, ind på min primære maskine, for at kunne
ssh'e til backupmaskinen, da primærmaskinens IP er den eneste backupmaskinens
sshd lytter til. Det må være sikkerhed nok til at tillade root login.
--
Med venlig hilsen Ivar Madsen
--------------------------------------------------------------------------------
http://milli.dk/webupdate/ nu i version 0.3.3 nogle sider meldtes konstant
opdateret, dette er fixet, båndbredebegrænsningen er desvære fjernet igen.
| |
Ole Hansen (26-04-2004)
| Kommentar Fra : Ole Hansen |
Dato : 26-04-04 11:39 |
|
Ivar Madsen <spam.usenet.im@milli.dk> writes:
> > Kan du ikke bare skifte til root med su ? Det er mere sikkert.
>
> Det kan jeg ikke få mc til at gøre. Min router er lukket på ssh porten, så det
> skulle ikke være muligt at komme ind med ssh udefra. Har en hacker først
> fundet vej ind, så tror jeg det er en smal sag at få root adgang også,,,
Hvorfor ikke bare installere sudo?
> Med venlig hilsen Ivar Madsen
--
Ole Hansen
| |
Ivar Madsen (26-04-2004)
| Kommentar Fra : Ivar Madsen |
Dato : 26-04-04 17:34 |
|
Ole Hansen skrev i -dk.edb.system.unix:
>> > Kan du ikke bare skifte til root med su ? Det er mere sikkert.
>> Det kan jeg ikke få mc til at gøre. Min router er lukket på ssh porten, så
>> det skulle ikke være muligt at komme ind med ssh udefra. Har en hacker først
>> fundet vej ind, så tror jeg det er en smal sag at få root adgang også,,,
> Hvorfor ikke bare installere sudo?
Fordi det ikke løser problemmet.
Næmlig af copiere nogle filer kun root kan *skrive på fjernmaskinen, og jeg vil
copiere dem med mc.
--
Med venlig hilsen Ivar Madsen
--------------------------------------------------------------------------------
http://milli.dk/webupdate/ nu i version 0.3.3 nogle sider meldtes konstant
opdateret, dette er fixet, båndbredebegrænsningen er desvære fjernet igen.
| |
Alex Holst (25-04-2004)
| Kommentar Fra : Alex Holst |
Dato : 25-04-04 02:00 |
|
Ivar Madsen wrote:
> Jeg har behov for at copiere nogle filer der kræver root acces, men kan ikke få
> min SSHD til at acceptere ssh root@maskine
>
> Jeg har rettet /etc/ssh/sshd_config til
> | PermitRootLogin yes
> hvad andet der skal gøres?
Du skal genstarte sshd, men det goeres -ikke- med kommandoen "sshd
restart". Send i stedet HUP til din primaere sshd:
miracle$ ps ax | grep /usr/sbin/sshd
5371 ?? Is 0:00.09 /usr/sbin/sshd
miracle$ sudo kill -HUP 5371
--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.mongers.org
| |
Ivar Madsen (25-04-2004)
| Kommentar Fra : Ivar Madsen |
Dato : 25-04-04 08:35 |
|
Alex Holst skrev i -dk.edb.system.unix:
> Du skal genstarte sshd, men det goeres -ikke- med kommandoen "sshd
> restart". Send i stedet HUP til din primaere sshd:
"sshd restart" virker, hvad er forskællen på de to metoder?
--
Med venlig hilsen Ivar Madsen
--------------------------------------------------------------------------------
http://milli.dk/webupdate/ nu i version 0.3.3 nogle sider meldtes konstant
opdateret, dette er fixet, båndbredebegrænsningen er desvære fjernet igen.
| |
Alex Holst (25-04-2004)
| Kommentar Fra : Alex Holst |
Dato : 25-04-04 19:40 |
|
Ivar Madsen wrote:
> Alex Holst skrev i -dk.edb.system.unix:
>
>
>>Du skal genstarte sshd, men det goeres -ikke- med kommandoen "sshd
>>restart". Send i stedet HUP til din primaere sshd:
>
>
> "sshd restart" virker, hvad er forskællen på de to metoder?
Jeg tror ikke paa, at "sshd restart" virker for dig.
Paa mit system, hvor "sshd restart" ikke virker, skriver den praecist
"Extra argument restart" ligesom det blev beskrevet et andet sted i
traaden. Det ses tydeligt i koden[1], at sshd hopper ud lige efter den
brokker sig over ukendte argumenter.
/* Check that there are no remaining arguments. */
if (optind < ac) {
fprintf(stderr, "Extra argument %s.\n", av[optind]);
exit(1);
}
Jeg antager at du koerer OpenSSH portable, og selvom jeg ikke har adgang
til deres kode lige nu, kan jeg ikke forstille mig, at de ville aendre
*den* funktionalitet.
[1] /usr/src/usr.bin/ssh/sshd.c; 902-906
--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.mongers.org
| |
Ivar Madsen (25-04-2004)
| Kommentar Fra : Ivar Madsen |
Dato : 25-04-04 20:47 |
|
Alex Holst skrev i -dk.edb.system.unix:
>>>Du skal genstarte sshd, men det goeres -ikke- med kommandoen "sshd
>>>restart". Send i stedet HUP til din primaere sshd:
>> "sshd restart" virker, hvad er forskællen på de to metoder?
> Jeg tror ikke paa, at "sshd restart" virker for dig.
> Paa mit system, hvor "sshd restart" ikke virker, skriver den praecist
> "Extra argument restart" ligesom det blev beskrevet et andet sted i
> traaden. Det ses tydeligt i koden[1], at sshd hopper ud lige efter den
> brokker sig over ukendte argumenter.
Det program jeg kørte var det der ligger i path'en /usr/sbin/sshd, mens det
program jeg skulle køre for at restarte sshd er /etc/rc.d/init.d/sshd og da
jeg fik specificeret at det er det program jeg ønsker at køre, så kom det til
at virke.
> Jeg antager at du koerer OpenSSH portable, og selvom jeg ikke har adgang
> til deres kode lige nu, kan jeg ikke forstille mig, at de ville aendre
> *den* funktionalitet.
Det regtige program brokker sig ikke over ukendte augumenter, det forstår
restart, og det er det samme som at køre det to gange, med stop og start.
--
Med venlig hilsen Ivar Madsen
--------------------------------------------------------------------------------
http://milli.dk/webupdate/ nu i version 0.3.3 nogle sider meldtes konstant
opdateret, dette er fixet, båndbredebegrænsningen er desvære fjernet igen.
| |
Niels Callesøe (25-04-2004)
| Kommentar Fra : Niels Callesøe |
Dato : 25-04-04 21:11 |
|
Ivar Madsen wrote in <news:2254243.3oPithp2tR@news.milli.dk>:
> /etc/rc.d/init.d/sshd
I virkeligheden er det nok et script der, når du siger "restart" til
det, gør det samme som Alex foreslår (altså, sender HUP til sshd). Og
som bliver kaldt med argumentet "start" når din maskine booter, hvis
det er ligesom rc scripts på FreeBSD.
Prøv evt. 'cat /etc/rc.d/init.d/sshd'
--
Niels Callesøe - dk pfy @work
pfy[at]nntp.dk - http://www.pcpower.dk/disclaimer.php
Learn Postfix; live Postfix; love Postfix.
| |
Ivar Madsen (25-04-2004)
| Kommentar Fra : Ivar Madsen |
Dato : 25-04-04 22:40 |
|
Niels Callesøe skrev i -dk.edb.system.unix:
>> /etc/rc.d/init.d/sshd
> I virkeligheden er det nok et script der, når du siger "restart" til
> det, gør det samme som Alex foreslår (altså, sender HUP til sshd). Og
> som bliver kaldt med argumentet "start" når din maskine booter, hvis
> det er ligesom rc scripts på FreeBSD.
> Prøv evt. 'cat /etc/rc.d/init.d/sshd'
Det gør den ikke helt sådan, der køre en case, hvor den ved "$1" = restart køre
stop og derefter start funktionerne, dvs hvis jeg forstår ret, så stopper den
servicen, og starter den igen.
start()
{
# Create keys if necessary
do_rsa1_keygen
do_rsa_keygen
do_dsa_keygen
gprintf "Starting %s:" "$prog"
initlog -c "$SSHD $OPTIONS" && success "startup" || failure "startup"
RETVAL=$?
[ "$RETVAL" = 0 ] && touch /var/lock/subsys/sshd
echo
}
stop()
{
gprintf "Stopping %s:" "$prog"
if [ -r /var/run/sshd.pid ]; then
kill -TERM `cat /var/run/sshd.pid`
RETVAL=$?
[ "$RETVAL" = 0 ] && success "stop" || failure "stop"
else
success "already stopped"
RETVAL=0
fi
[ "$RETVAL" = 0 ] && rm -f /var/lock/subsys/sshd
echo
}
--
Med venlig hilsen Ivar Madsen
--------------------------------------------------------------------------------
http://milli.dk/webupdate/ nu i version 0.3.3 nogle sider meldtes konstant
opdateret, dette er fixet, båndbredebegrænsningen er desvære fjernet igen.
| |
|
|