An Konsole geht der Root Account über SSH Permission denied

Hallo,

wenn ich bei Ubuntu 16.04 über SSH einlogge, kommt Permission denied. Bin ich aber direct an der Konsole im VMWARE geht der Root User.
Weiss wer was zu tun ist ?


Gruss
Jonas

Content-Key: 1262908705

Url: https://administrator.de/contentid/1262908705

Ausgedruckt am: 23.09.2021 um 11:09 Uhr

Mitglied: PeterPanter
PeterPanter 15.09.2021 um 15:47:27 Uhr
Goto Top
Mitglied: Lochkartenstanzer
Lochkartenstanzer 15.09.2021 aktualisiert um 16:38:22 Uhr
Goto Top
Moin,

Du willst Dich nicht per Password authentication über SSH einloggen. Eigentlich gar nicht als root per SSH, sondern als User und dann mit su oder sudo root werden. Deswegen ist das per Default deaktiviert in der sshd.conf

Wenn, dann solltest Du zumindest über Zertifikat als root draufgehen.

lks
Mitglied: Lochkartenstanzer
Lochkartenstanzer 15.09.2021 um 16:19:42 Uhr
Goto Top

Solche Anleitungen nicht leichtfertig posten. Es gibt schon genug Bots im Internet.

lks
Mitglied: commodity
commodity 15.09.2021 aktualisiert um 17:09:27 Uhr
Goto Top
root über ssh ist schon ok, nur nicht im Internet eben.
Zu dem Link gehört also der klare Hinweis, die Firewall zu zu lassen.

+1 für lks i.S. Zertifikat

@itnirvana, bitte nächstes mal erst selbst googlen, sollte man als (angehender) Admin ja schaffen ;-) face-wink
Wenn's dann noch klemmt, immer gerne.

Viele Grüße, commodity
Mitglied: Windows10Gegner
Windows10Gegner 15.09.2021 um 18:06:10 Uhr
Goto Top
Ist dir eigentlich klar, dass dein System aus dem Support ist?
Ist so wie bei Windows XP.

Die SSH-Konfig verbietet meines Wissens standardmäßig den root-Login, dort ggf. mal nachsehen, wenn du dann deinen Server mit 20.04 neu aufgesetzt hast.
Mitglied: Lochkartenstanzer
Lochkartenstanzer 15.09.2021 um 19:49:31 Uhr
Goto Top
Zitat von @Windows10Gegner:

Ist dir eigentlich klar, dass dein System aus dem Support ist?


Hallo Marco.

Es nervt, bei jeder Erwähnung von Ubuntu 16.x oder früher oder Win7 oder früher gleich drauf rumzureiten, daß es aus dem Support wäre.

Zum einen gibt es manchmal gute Gründe die alten Systeme weiterzuverwenden udn zum anderen weiß ein guter Admin, auch "veraltete" Systeme zu schützen. Und bei Testsystemen ist es eh wurst.

Also. bevor Du losdonnerst, vielleich vorher nachfragen, ob es eine Grund gibt, das veraltete System weiterzunutzen.

lks
Mitglied: erikro
erikro 15.09.2021 um 21:18:38 Uhr
Goto Top
Moin,

Zitat von @itnirvana:
wenn ich bei Ubuntu 16.04 über SSH einlogge, kommt Permission denied. Bin ich aber direct an der Konsole im VMWARE geht der Root User.
Weiss wer was zu tun ist ?

1. neuen User einrichten.
2. den neuen User zum sudoer machen.
3. root /dev/null als Standardkonsole zuweisen (ist das bei Ubuntu nicht Standard)
4. root abmelden. (vielleicht besser im letzten Schritt ;-) face-wink )
5. den neuen sudoer anmelden.
6. ssh so einrichten, dass es nur mit key geht.
7. key pair für den neuen User erzeugen und den public key beim Server hinterlegen.
8. ssh client so einrichten, dass er den key kennt.
9. ssh mit dem neuen sudoer betreiben.

So kurz hingerotzt. Genauere Anleitungen, wie man das macht, gibt es im Internet gefühlt Millionen.

Liebe Grüße

Erik
Mitglied: erikro
erikro 15.09.2021 um 21:20:56 Uhr
Goto Top
Moin,

Zitat von @commodity:
root über ssh ist schon ok, nur nicht im Internet eben.

Dem würde ich vehement widersprechen, sofern es sich nicht um einen Singel-Haushalt handelt. Ca. 70 - 80% aller Angriffe kommen aus dem Firmennetz selbst und nicht von außen.

Liebe Grüße

Erik
Mitglied: commodity
commodity 15.09.2021 um 22:36:27 Uhr
Goto Top
Zitat von @erikro:
... Ca. 70 - 80% aller Angriffe kommen aus dem Firmennetz selbst und nicht von außen.

Da stimme ich Dir zu. Was bedeutet das Deiner Meinung nach für einen public key based root-Zugang über netzinternes ssh?

Viele Grüße, commodity
Mitglied: erikro
erikro 16.09.2021 um 08:02:25 Uhr
Goto Top
Moin,

Zitat von @commodity:

Zitat von @erikro:
... Ca. 70 - 80% aller Angriffe kommen aus dem Firmennetz selbst und nicht von außen.

Da stimme ich Dir zu. Was bedeutet das Deiner Meinung nach für einen public key based root-Zugang über netzinternes ssh?

Dass der direkte Zugang per ssh als root ein NoGo ist. Und nicht nur deshalb. Dass man sich erst mit seinem key und seinem User anmelden muss, hat auch den Zweck, dass man hinterher weiß, wer den Unsinn gemacht hat. Loggen sich alle als root ein, kann man das nicht mehr nachvollziehen.
Mitglied: commodity
commodity 16.09.2021 um 11:44:15 Uhr
Goto Top
Zitat von @erikro:
Dass der direkte Zugang per ssh als root ein NoGo ist.
Das ist keine Begründung. Warum ist das Deiner Meinung nach so?
Dass man sich erst mit seinem key und seinem User anmelden muss, hat auch den Zweck, dass man hinterher weiß, wer den Unsinn gemacht hat. Loggen sich alle als root ein, kann man das nicht mehr nachvollziehen.
Das wäre eine gute Begründung, wenn sie richtig wäre. Tatsächlich wird auch beim root-login protokolliert, mit welchem Key das erfolgt ist.
Ergo kann man das problemlos nachvollziehen.

Viele Grüße, commodity
Mitglied: KowaKowalski
KowaKowalski 16.09.2021 um 14:48:31 Uhr
Goto Top
Zitat von @Lochkartenstanzer:
Es nervt, bei jeder Erwähnung von Ubuntu 16.x oder früher oder Win7 oder früher gleich drauf rumzureiten, daß es aus dem Support wäre.


Hi lks,

wenn Fragen zu veralteten System gestellt werden wundert es Dich das Hinweise dazu kommen?
Aus meiner Sicht sollte ein verantwortungsvoller Helfer natürlich zwingend darauf hinweisen.

Vielleicht sollte doch in so einem Fall der Fragesteller gleich mal darauf verweisen das der alte Versionsstand bekannt ist.


Macht, denke ich, viel mehr Sinn als anders herum.


mfg
kowa
Mitglied: Lochkartenstanzer
Lochkartenstanzer 16.09.2021 um 14:55:17 Uhr
Goto Top
Zitat von @KowaKowalski:

Zitat von @Lochkartenstanzer:
Es nervt, bei jeder Erwähnung von Ubuntu 16.x oder früher oder Win7 oder früher gleich drauf rumzureiten, daß es aus dem Support wäre.


Hi lks,

wenn Fragen zu veralteten System gestellt werden wundert es Dich das Hinweise dazu kommen?

Es ist ja nicht sdagegen zu sagen, daß man auch darauf hinweist, aber wenn das der Hauptzweck der Antwort ist, nervt es. Abgesehen davon, daß 16.04 gerade frisch aus dem Support herausgefallen ist un von daher das gleiche Recht hat, noch weiterzulaufen, wie Windows 7. :-) face-smile (Ich rede natürlich von Serversystemen, was der Betrieb als VM und ssh-zugriff impilziert.)


Aus meiner Sicht sollte ein verantwortungsvoller Helfer natürlich zwingend darauf hinweisen.

Aber wie gesagt, nicht als Hauptzweck der Antwort.

Vielleicht sollte doch in so einem Fall der Fragesteller gleich mal darauf verweisen das der alte Versionsstand bekannt ist.

Das wäre natürlich sinnvoll, statt sich dutzendmal anhören zu müssen, da sein System veraltet ist. :-) face-smile

Macht, denke ich, viel mehr Sinn als anders herum.

Bei Marco ist mir halt in seinen letzten Posts aufgefallen, daß außer dem Hinweis auf eine veraltete Linux-version kaum Info udn Hilfe kam.

lks
Mitglied: itnirvana
itnirvana 16.09.2021 um 16:26:00 Uhr
Goto Top
vielen Dank. Das mit SSH Root ging nun. Bin eben nun am viel testen und lernen.

Gruss
Jonas
Mitglied: itnirvana
itnirvana 16.09.2021 um 16:29:09 Uhr
Goto Top
wahrscheinlich hätte der SCP Befehl gereicht. Muss eben paar Dateien da runterkopieren.

Gruss
jonas
Mitglied: Lochkartenstanzer
Lochkartenstanzer 16.09.2021 aktualisiert um 16:43:38 Uhr
Goto Top
Zitat von @itnirvana:

vielen Dank. Das mit SSH Root ging nun. Bin eben nun am viel testen und lernen.


mit welcher Lösung hast Du es denn gemacht?

  • Root mit Paßwort zugelassen?
  • root mit zertifikat zugelassen?
  • User mit Paßwort zugelassen und sudo verwendet?
  • User mit Zertifikat zugelassen und sudo verwendet?

Wie schon weiter oben gesagt, soltest Du die erste variant emöglichst gar nicht einsetzen, die zweite nur eingeschränkt, von der dritten würde ich auch abraten und die 4. empfehlen.

lks

PS: Du sollest noch einen Backupmachen und dann anschließend mit "sudo updatemanager -d" Dein System upgraden.
Mitglied: erikro
erikro 16.09.2021 um 17:33:20 Uhr
Goto Top
Moin,

Zitat von @commodity:

Zitat von @erikro:
Dass der direkte Zugang per ssh als root ein NoGo ist.
Das ist keine Begründung. Warum ist das Deiner Meinung nach so?

Weil es sicherer ist, wenn sich root überhaupt nicht einloggen kann. Oder schärfer formuliert: Im Firmenumfeld ist es ein NoGo, dass root sich auf einer Konsole, sei es per ssh, sei es direkt am Server, einloggt. Das sollte immer so laufen, dass sich erst ein eingeschränkter User anmeldet, der sich dann die Rechte bei Bedarf mit sudo holt.

Um gleich Dein nächstes "Warum" zu beantworten: Admin hat Sprühdurchfall und muss ganz schnell auf's Klo. Deshalb versäumt er es, den Rechner zu sperren und sein Büro abzuschließen. Das kriegt der gerade gekündigte Kollege mit. Ist er nun als eingeschränkter User eingeloggt, dann ist das zwar auch nicht schön. Aber der pöse Pursche kann nicht viel machen. Ist er als root eingeloggt, dann reicht ein kurzes rm -r /* und aus die Maus. Ein Beispielszenario. Derer gibt es noch einige.

Dass man sich erst mit seinem key und seinem User anmelden muss, hat auch den Zweck, dass man hinterher weiß, wer den Unsinn gemacht hat. Loggen sich alle als root ein, kann man das nicht mehr nachvollziehen.
Das wäre eine gute Begründung, wenn sie richtig wäre. Tatsächlich wird auch beim root-login protokolliert, mit welchem Key das erfolgt ist.
> Ergo kann man das problemlos nachvollziehen.

Da hast Du allerdings auch wieder recht. Das war einer der Gründe, warum das geteilte PW ein NoGo ist.

Liebe Grüße

Erik
Mitglied: commodity
commodity 17.09.2021 um 07:47:54 Uhr
Goto Top
Zitat von @erikro:
Admin hat Sprühdurchfall und muss ganz schnell auf's Klo.
Ist das das Argument? Wenn der Admin Sprühdurchfall hat, oder sonst wie schusselig, dann ist der Rechner auch unter sudo frei. Hand aufs Herz, welcher Kollege gibt vor jedem Befehl sudo ein? Der geht, wie Du ja auch schreibst, vom user in den root und arbeitet dann da. Wenn administriert wird, ist er root und als was anderes ist der admin nicht auf dem Rechner.

Ich respektiere natürlich total Deinen Weg, wollte nur mal wissen, welche technischen Gründe Dein
Dem würde ich vehement widersprechen
tragen. Wenn Du noch ein paar hast, sehr gerne.

Schönes Wochenende und viele Grüße, commodity
Mitglied: erikro
erikro 17.09.2021 um 12:51:00 Uhr
Goto Top
Moin,

Zitat von @commodity:
Ich respektiere natürlich total Deinen Weg, wollte nur mal wissen, welche technischen Gründe Dein
Dem würde ich vehement widersprechen
tragen. Wenn Du noch ein paar hast, sehr gerne.

Das technische Argument ist, dass root /dev/null als Standardshell zugewiesen bekommt und sich deshalb überhaupt nicht direkt einloggen kann. Das ist afaik bei Ubuntu die Voreinstellung.

Liebe Grüße

Erik
Mitglied: Windows10Gegner
Windows10Gegner 17.09.2021 um 12:57:56 Uhr
Goto Top
Zitat von @erikro:

Das technische Argument ist, dass root /dev/null als Standardshell zugewiesen bekommt und sich deshalb überhaupt nicht direkt einloggen kann. Das ist afaik bei Ubuntu die Voreinstellung.

Nein.
root ist aber unter Ubuntu deaktiviert (passwd -u hebt das auf) und dann muss auch noch ein PW gesetzt werden.
In der /etc/shadow ist vor dem PW ein Ausrufezeichen, das verhindert, dass sich jemand einloggen kann, weil es niemals einen passenden Hash geben wird.
Mitglied: erikro
erikro 17.09.2021 um 13:29:52 Uhr
Goto Top
Zitat von @Windows10Gegner:

Zitat von @erikro:

Das technische Argument ist, dass root /dev/null als Standardshell zugewiesen bekommt und sich deshalb überhaupt nicht direkt einloggen kann. Das ist afaik bei Ubuntu die Voreinstellung.

Nein.
> root ist aber unter Ubuntu deaktiviert (passwd -u hebt das auf) und dann muss auch noch ein PW gesetzt werden.
In der /etc/shadow ist vor dem PW ein Ausrufezeichen, das verhindert, dass sich jemand einloggen kann, weil es niemals einen passenden Hash geben wird.

Wieder was gelernt. Danke
Mitglied: Lochkartenstanzer
Lochkartenstanzer 17.09.2021 aktualisiert um 15:24:53 Uhr
Goto Top
Zitat von @erikro:

Moin,

Zitat von @commodity:
Ich respektiere natürlich total Deinen Weg, wollte nur mal wissen, welche technischen Gründe Dein
Dem würde ich vehement widersprechen
tragen. Wenn Du noch ein paar hast, sehr gerne.

Das technische Argument ist, dass root /dev/null als Standardshell zugewiesen bekommt ...

Nein, default ist /bin/bash.

Üblich ist /bin/false oder /bin/true, wenn man das Login deaktivieren will.

Ich nehme meistens /bin/false (selten /bin/true)

lks
Mitglied: erikro
erikro 17.09.2021 um 16:05:03 Uhr
Goto Top
Zitat von @Lochkartenstanzer:

Zitat von @erikro:
Das technische Argument ist, dass root /dev/null als Standardshell zugewiesen bekommt ...

Nein, default ist /bin/bash.

Üblich ist /bin/false oder /bin/true, wenn man das Login deaktivieren will.

Ich nehme meistens /bin/false (selten /bin/true)

So war das auch gemeint, dass das so konfiguriert wird, dass root sich nicht mehr einloggen kann. Ich dachte halt, dass Ubuntu diesen "Trick" nutzt. Aber damit kenne ich mich nicht wirklich aus. Ich nehme lieber das original Debian. ;-) face-wink
Mitglied: commodity
commodity 22.09.2021 um 00:29:14 Uhr
Goto Top
Zitat von @erikro:
Das technische Argument ist, dass root /dev/null als Standardshell zugewiesen bekommt und sich deshalb überhaupt nicht direkt einloggen kann. Das ist afaik bei Ubuntu die Voreinstellung.
Davon abgesehen, dass die Aussage (wie schon festgestellt) nicht zutrifft, wäre das Argument also: "es ist so, weil es so ist"?
Halten wir fest: Es ist nicht so und das von Dir bevorzugte (von mir auch)
Ich nehme lieber das original Debian.
hat überhaupt nichts dagegen. Wie wir ja schon rausgearbeitet haben, ist sudo bei Sprühdurchfall ebensowenig besser, wie bei der Protokollierung des Zugriffs.
Korrekt ist:
Voreinstellung in der sshd_config ist
und das ist auch gut so, denn root sollte natürlich nicht per se offen sein. Ist der Zugang aber vernünftig abgesichert, gibt es - zumindest bislang - kein technisches Argument mehr dagegen, dass der Admin, mit Public-Key ausgestattet, direkt als root zugreift. Denn vor was und wem muss der Admin denn noch geschützt werden? Vor sich selbst?
Für den ambitionierten User, der auf seinem System zu Hause ab und zu als root agieren möchte, sieht das natürlich anders aus. Da finde ich den Ubuntu-Ansatz auch angemessen.

Viele Grüße, commodity
Heiß diskutierte Beiträge
question
Unternehmensnetzwerk aufbauenbluelightVor 1 TagFrageNetzwerke12 Kommentare

Moin zusammen, erstmal vielen Dank an der Stelle, dass mir beim letzten mal so super geholfen wurde! Aktuelle Situation: -> 5 VMs bei Netcup -> ...

question
Netzwerkdosen verbindenR3nN1979Vor 1 TagFrageInternet7 Kommentare

Hallo, Ich ziehe bald um, und benötige dabei Hilfe, wie ich Netzwerkdosen miteinander verbinden kann. Habe überhaupt keine Ahnung davon, aber mir kann jemand von ...

general
Endpoint AV für FirmenumgebungKauzigVor 1 TagAllgemeinErkennung und -Abwehr18 Kommentare

Hallo, aktuell bin ich am Suchen einer Endpoint AV für meine Firmenumgebung wichtig wäre mir ein zentrales Management sowie ggf. sogar ein Patch System. Aktuell ...

question
Ein Domänenbenutzer für alle MitarbeiterMarabuntaVor 1 TagFrageWindows Userverwaltung6 Kommentare

Hi, ist es möglich/sinnvoll bzw. wie ist es lizenztechnisch, wenn es einen Domänen-Benutzer für alle Mitarbeiter(10) gibt, diese Benutzen eine Branchensoftware in der jeder eigene ...

question
Powershell Logon Script Problematikjoe2017Vor 1 TagFrageBatch & Shell19 Kommentare

Schönen guten Morgen, ich habe eine Frage an die Spezialisten hier. Denn ich bin gerade ratlos und am verzweifeln. Ich habe in meinem Domain Controler ...

question
Hardware Empfehlung für Selbstbau Firewall mit pfSense bzw. OPNsensePete55Vor 17 StundenFrageFirewall12 Kommentare

Hallo Zusammen, an meinem Anschluss von Vodafone (Red Business Internet & Phone 500 Cable) habe ich als Firewall immer noch ein APU1D4 auf dem IPfire ...

question
Was ist die beste Lösung für servergespeicherte Profile für 10 Rechner?Yan2021Vor 18 StundenFrageNetzwerke9 Kommentare

Hallo liebe Admin-User, in einem anderen Thread ging es um die Sicherung von Dienst-PCs per Image. Daraus entstand dann eine Diskussion über servergespeicherte Profile. Da ...

question
Bewertung von Rechnern (Gewichtung von CPU, RAM und Festspeicher)SarekHLVor 1 TagFrageBenchmarks11 Kommentare

Hallo zusammen, ich habe hier eine Aufstellung verschiedener Rechner mit - Leistungsbewertung der CPU mit CPUMark (Quelle: - Größe Arbeitsspeicher - SSD oder HDD Wie ...