hell.yeah

SSH Login nur möglich bei eingelogtem USER

habe einen Server (Debian) mit SSH (nur mit Public Key und auf einem Custom Port) und ufw aktiv.

Ich kann mich nicht einlogen. Wenn ich aber den USER am Desktop anmelde funktioniert die SSH Verbindung? Was habe ich vergessen?

Key habe ich mit: scp $env:USERPROFILE/.ssh/id_rsa.pub maxmustermann@192.168.4.4:~/.ssh /authorized_keys hochgeladen.
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilen

Content-ID: 1112737721

Url: https://administrator.de/forum/ssh-login-nur-moeglich-bei-eingelogtem-user-1112737721.html

Ausgedruckt am: 13.07.2025 um 04:07 Uhr

LordGurke
LordGurke 02.08.2021 um 02:20:16 Uhr
Wir sind alle gespannt auf die Fehlermeldungen, die du bekommst face-wink
hell.yeah
hell.yeah 02.08.2021 um 09:45:52 Uhr
😅 Connection Timeout
148656
148656 02.08.2021 um 09:47:43 Uhr
Zitat von @hell.wien:

😅 Connection Timeout

Und was steht im Log vom Target?
hell.yeah
hell.yeah 02.08.2021 um 09:51:01 Uhr
Zitat von @148656:

Zitat von @hell.wien:

😅 Connection Timeout

Und was steht im Log vom Target?

Welche genau?
HanTrio
HanTrio 02.08.2021 um 09:52:28 Uhr
Ist ssh auf dem Zielserver aktiviert? -> systemctl status
Ist der key denn wirklich auf dem Zielserver vorhanden? (scp funktioniert via ssh.. ;) )
Logs raussuchen, wie schon gesagt.

Sonst: Versuch vielleicht nochmal
ssh -v
-> verbose, also mehr Details, damit ggf ersichtlich wird, an welcher Stelle es hakt
148656
148656 02.08.2021 um 09:54:30 Uhr
Danke @HanTrio 😉
lcer00
lcer00 02.08.2021 um 09:55:59 Uhr
Zitat von @hell.wien:

Ich kann mich nicht einlogen. Wenn ich aber den USER am Desktop anmelde funktioniert die SSH Verbindung?
Wer meldet sich wo an, wenn es geht? Ist der "Desktop" dein Server? Wann genau funktioniert die SSH-Vernindung?

Grüße

lcer
hell.yeah
hell.yeah 02.08.2021 um 10:01:30 Uhr
Gerade mit Powershell verbunden, zack geht.
lcer00
lcer00 02.08.2021 um 10:17:59 Uhr
Zitat von @hell.wien:

Gerade mit Powershell verbunden, zack geht.
Aha.

Wie wäre es mit der Formulierung von verständlichen Aussagen und Fragen. Vom Satzbau so mit Subjekt, Prädikat und Objekten. In dem Fall:

Ich habe mich von Rechner A mittels Powershell Enter-PSSession auf Rechner B verbunden.

Wie Du das mit Debian als Zielsystem hinbekommen hast, verstehe ich leider nicht.

Grüße

lcer
LordGurke
LordGurke 02.08.2021 um 10:43:37 Uhr
Mein Tipp nach der Meldung ist ja, weil meine Glaskugel frisch aus der Spülmaschine gekommen ist:
Die Netzwerkverbindung wird durch Network Manager erst aufgebaut, wenn ein User angemeldet ist und natürlich erst dann hat das Zielsystem auch eine IP-Adresse.
148656
148656 02.08.2021 um 10:56:35 Uhr
Moin LordGurke

Mein Tipp nach der Meldung ist ja, weil meine Glaskugel frisch aus der Spülmaschine gekommen ist:
Eine Glaskugel immer von Hand waschen (lassen) face-wink

Gruß
C.C.
EliteHacker
EliteHacker 02.08.2021 um 13:08:05 Uhr
Mit deaktivierter Firewall geht's?
Wenn du den Port verschoben hast, dann muss der SSH-Client auch wissen, wo der sich befindet. SSH-Port angeben mit -p.
Lochkartenstanzer
Lochkartenstanzer 02.08.2021 um 13:43:50 Uhr
Zitat von @148656:

Mein Tipp nach der Meldung ist ja, weil meine Glaskugel frisch aus der Spülmaschine gekommen ist:
Eine Glaskugel immer von Hand waschen (lassen) face-wink


Nein, Glaskugel darf man nicht reinigen. Da muß man sorgsam darauf achten, daß sie nicht verschmutzen doer Staub ansetzen. Sobald die sich trüben, muß man die bei der Altglassammllung abgeben und sich eine Neue besorgen.

lks

PS: @hell.wien wenn Du geholfen bekommen willst, mußt Du bessere Informationen liefern. An welchen System mußt Du Dich anmelden um von wo nach wo Dich per ssh zu verbinden. Und welche Rolle spielt der Windows-Rechner in diesem Szenario?
erikro
erikro 02.08.2021 um 14:50:17 Uhr
Moin,

Zitat von @LordGurke:
Mein Tipp nach der Meldung ist ja, weil meine Glaskugel frisch aus der Spülmaschine gekommen ist:

Spülmaschine? Tststststs! Das gibt Eintrübungen und Kalkflecken. face-wink

Die Netzwerkverbindung wird durch Network Manager erst aufgebaut, wenn ein User angemeldet ist und natürlich erst dann hat das Zielsystem auch eine IP-Adresse.

Meine mit einem Seidentuch polierte Glaskugel, deren Seide bei Vollmond von einer Jungfrau geerntet wurde, sagt mir: Der Rechner geht in einen Stromsparmodus und wacht nicht oder nicht schnell genug auf, wenn die Anfrage per ssh von außen kommt.

Liebe Grüße

Erik
NordicMike
NordicMike 02.08.2021 um 16:07:00 Uhr
Meine Glaskugel ist noch sauber, mal sehen ob sie auch funktioniert:

Vermutlich wird der ssh Dienst erst gestartet, nachdem sich der Benutzer angemeldet hat. Deswegen auch ein Timeout. Der Dienst läuft einfach nicht.
Lochkartenstanzer
Lochkartenstanzer 02.08.2021 um 16:08:13 Uhr
Zitat von @NordicMike:

Meine Glaskugel ist noch sauber, mal sehen ob sie auch funktioniert:

Vermutlich wird der ssh Dienst erst gestartet, nachdem sich der Benutzer angemeldet hat. Deswegen auch ein Timeout. Der Dienst läuft einfach nicht.

Meine Glaskugel sagt, der TO hat eine Tippfehler. face-smile

lks
148656
148656 02.08.2021 um 16:15:31 Uhr
So, und meine Cat9 sagt klipp und klar.
Ein Blick in das Logfile vom Servers gibt Klarheit 😉

Die Glaskugel braucht man nur bei Notfällen. Zum Beispiel bei dem Thema, was "meint" Frau wirklich.
hell.yeah
hell.yeah 02.08.2021 um 23:14:13 Uhr
Zitat von @Lochkartenstanzer:

Zitat von @148656:

Mein Tipp nach der Meldung ist ja, weil meine Glaskugel frisch aus der Spülmaschine gekommen ist:
Eine Glaskugel immer von Hand waschen (lassen) face-wink


Nein, Glaskugel darf man nicht reinigen. Da muß man sorgsam darauf achten, daß sie nicht verschmutzen doer Staub ansetzen. Sobald die sich trüben, muß man die bei der Altglassammllung abgeben und sich eine Neue besorgen.

lks

PS: @hell.wien wenn Du geholfen bekommen willst, mußt Du bessere Informationen liefern. An welchen System mußt Du Dich anmelden um von wo nach wo Dich per ssh zu verbinden. Und welche Rolle spielt der Windows-Rechner in diesem Szenario?

Also es handelt sich um eine Debian VM welche auf Proxmox läuft....
Auf der ich einen User angelegt habe.

Habe dann auf meinen Desktop (Win10) mit PowerShell einen ssh key erstellt. Und mit scp hochgeladen...
Die sshd_config habe ich angepasst mit
custom port
address_family inet
permi root login no
password authentication no

systemctl restart sshd

Danach habe ich noch in ufw den custom Port allowed und enabled

Dann die folgende Zeile in /etc/ufw/before.rules eingefügt:
-A ufw-before-input -p icmp --icmp-type echo-request -j DROP

Versuche ich mit jetzt aber mit Powershell zu verbinden gelingt es NUR wenn ich mich an der VM Lokal anmelde.
Ich bekomme folgende Meldung:

ssh: connect to host 192.168.4.4 port 658: Connection timed out

Ich kann in Powershell die Verbindung aufbauen. Sobald ich mich Zeitnah Lokal an der VM mit dem User anmelde funktioniert es sofort.
HanTrio
HanTrio 03.08.2021 um 08:03:07 Uhr
Shot in the dark:
siehe unix.stackexchange.com/questions/480658/ssh-only-after-login

- verschlüsseltes /home directory? (wird erst nach lokalem login entschlüsselt)
- nicht genügend entropy? -> "haveged" könnte helfen
LordGurke
LordGurke 03.08.2021 um 11:38:14 Uhr
Connection timed out — geht denn ein Ping auf die IP, bevor du dich lokal einloggst?
Wenn nicht, hatte meine Glaskugel vermutlich Recht und das Netzwerk wird erst gestartet, wenn sich lokal ein Nutzer anmeldet.
Lochkartenstanzer
Lochkartenstanzer 03.08.2021 um 11:53:40 Uhr
Zitat von @hell.wien:

Zitat von @Lochkartenstanzer:

PS: @hell.wien wenn Du geholfen bekommen willst, mußt Du bessere Informationen liefern. An welchen System mußt Du Dich anmelden um von wo nach wo Dich per ssh zu verbinden. Und welche Rolle spielt der Windows-Rechner in diesem Szenario?

Also es handelt sich um eine Debian VM welche auf Proxmox läuft....
...

Das ist mal eine Problembeschreibung, die hilft, gezielt anzusetzen.


Versuche ich mit jetzt aber mit Powershell zu verbinden gelingt es NUR wenn ich mich an der VM Lokal anmelde.

Wie die Kollegen schon sagten:

  • Ist $home verschlüsselt?
  • Ist wie ist das netzwerk konfiguriert? Benutzerspezifisch über den Netzwerkmanager oder benutzerunabhängig über die config-Dateien?

Ich bekomme folgende Meldung:

ssh: connect to host 192.168.4.4 port 658: Connection timed out

Stimmt der Port? 658 ist etwas unüblich für ssh


Ich kann in Powershell die Verbindung aufbauen. Sobald ich mich Zeitnah Lokal an der VM mit dem User anmelde funktioniert es sofort.

Funktioniert es imemr noch, nachdem Du Dich wieder abmeldest?

Welche Ports legt ein nmap/netzwerkscan (z.B. mit Angry oder Advanced IP Scanner) auf die debian-VM offen?

lks