Hi Leute,
ich habe mal etwas mit dem sshd im Routerimage von HappyDude rumgespielt und stoße dabei auf folgendes Problem:
Zuerst habe ich ein Keypaar für den User "root" erzeugt und dieses dann unter /home/root/.ssh/authorized_keys2 bzw. bei meinem SSH Client auf dem PC hinzugefügt. Damit kann ich dann vom PC ( zum Test nur aus dem eigenen Lan heraus ) per SSH Client einloggen, soweit also erstmal alles ok.
Nun habe ich auf der Box einen zweiten Benutzer namens "gast" angelegt und möchte für diesen auch einen Zugang per SSH realisieren. Ich habe also ein zweites Keypaar erzeugt, den Pubkey unter /home/gast/.ssh/authorized_keys2 und beide Keys in meinen SSH Client eingetragen. Danach habe ich natürlich noch nen killall -HUP sshd gemacht. Versuche ich nun als User "gast" per SSH einzuloggen, bekomme ich die Mitteilung, daß keine weitere Authentizierungsmethode zur Verfügung stünde. Der sshd kann also offenbar den Pubkey für den User gast nicht finden. Trage ich den Pub-Key für gast zum Test stattdessen unter /home/root/.ssh/authorized_keys2 mit ein, dann kann ich mit dem Key für gast, als auch mit dem Key für root als User "root" per SSH einloggen, was aber ja nicht Sinn der Sache ist. Ein Login als User "gast" ist auch mit dieser Konfiguration nicht möglich, hier kommt nach wie vor die Meldung, das keine Authentizierungsmethode zur Vefügng stünde.
Daher die Frage: Woher weiß denn der sshd in der Box, welchen Pubkey bzw. welches Keyfile er für welchen Benutzer nehmen soll ? Im root-dir der Box gibt es einem Symlink namens ".ssh" welcher auf /home/root/.ssh zeigt, ist der dafür zuständig ?
Wenn ja, stellt sich die Frage, ob es überhaupt möglich ist, einen Zugriff per ssh für mehrere User zu realisieren, denn der Symlink ".ssh" liegt im cramfs, so das ich ihn ( als Windoofler ) nicht selber ändern kann.
C.U. NanoBot
sshd auf Routerimage, mehr als ein User möglich ?
-
NanoBot
- Interessierter
- Beiträge: 59
- Registriert: Samstag 9. März 2002, 20:58
-
happydude
- Einsteiger
- Beiträge: 262
- Registriert: Samstag 1. Dezember 2001, 00:00
Re: sshd auf Routerimage, mehr als ein User möglich ?
Der sshd sucht sein keyfile im home-Verzeichnis des Benutzers als der Du Dich einloggen willst unter .ssh/authorized_keys2. Das home-Verzeichnis eines Users findest Du in /etc/passwd:NanoBot hat geschrieben:Hi Leute,
Ein Login als User "gast" ist auch mit dieser Konfiguration nicht möglich, hier kommt nach wie vor die Meldung, das keine Authentizierungsmethode zur Vefügng stünde.
Daher die Frage: Woher weiß denn der sshd in der Box, welchen Pubkey bzw. welches Keyfile er für welchen Benutzer nehmen soll ? Im root-dir der Box gibt es einem Symlink namens ".ssh" welcher auf /home/root/.ssh zeigt, ist der dafür zuständig ?
Wenn ja, stellt sich die Frage, ob es überhaupt möglich ist, einen Zugriff per ssh für mehrere User zu realisieren, denn der Symlink ".ssh" liegt im cramfs, so das ich ihn ( als Windoofler ) nicht selber ändern kann.
vpn
600:251:VPN User:/home/vpn:/bin/shin diesem Fall /home/vpn, bei Dir sollte das dann /home/gast sein. Wenn da also /home/gast in /etc/passwd steht, muß das Keyfile nach /home/gast/.ssh/authorized_keys2.
Der Link für das .ssh für root existiert nur darum im /, weil ich für root nicht /home/root als home-Verzeichnis haben wollte (sonst landet er beim Login immer automatisch dort), andererseits konnte das .ssh Verzeichnis nicht direkt unter /.ssh liegen, weil es dann im cramfs wäre und sich der Key dann nicht ändern läßt.
Ansonsten mal syslogd und klogd an der Kommandozeile starten, in /etc/ssh/sshd_config statt "LogLevel QUIET" "LogLevel VERBOSE" eintragen und sshd restarten, Login-Versuch und dann in /var/log/messages angucken, was der sshd so von sich gegeben hat. Anschließend LogLevel zurücksetzen.
-
NanoBot
- Interessierter
- Beiträge: 59
- Registriert: Samstag 9. März 2002, 20:58
Re: sshd auf Routerimage, mehr als ein User möglich ?
Hi HappyDude, hi Leute,
Die Position des Keyfiles an sich war, wie das Log zeigt, nicht das Problem gewesen, sondern der sshd ist der Meinung, daß der User gast nicht berechtigt sei, sich per ssh einzuloggen:
Feb 26 20:14:02 DBOX2 auth.info sshd[476]: Server listening on 0.0.0.0 port 22.
Feb 26 20:14:07 DBOX2 auth.info sshd[478]: Connection from 192.168.1.1 port 1324
Feb 26 20:14:07 DBOX2 auth.info sshd[478]: Enabling compatibility mode for protocol 2.0
Feb 26 20:14:07 DBOX2 auth.info sshd[478]: input_userauth_request: illegal user gast
Feb 26 20:14:07 DBOX2 auth.info sshd[478]: Failed none for illegal user gast from 192.168.1.1 port 1324 ssh2
Feb 26 20:14:07 DBOX2 auth.info sshd[478]: Failed publickey for illegal user gast from 192.168.1.1 port 1324 ssh2
Feb 26 20:14:07 DBOX2 auth.info sshd[478]: Failed publickey for illegal user gast from 192.168.1.1 port 1324 ssh2
Feb 26 20:14:07 DBOX2 auth.info sshd[478]: Failed none for illegal user gast from 192.168.1.1 port 1324 ssh2
Feb 26 20:14:07 DBOX2 auth.info sshd[478]: Received disconnect from 192.168.1.1: 14: No further authentication methods available.
Ich habe dann in der sshd_config den Punkt AllowGroups auskommentiert und stattdessen die zugriffberechtigten User unter AllowUsers eingetragen, und sie da, es geht
Zu dem Thema hätte ich noch eine andere Frage: Soweit ich im Netz lesen konnte, lässt sich eine SSH wohl nur chrooten, wenn der SSHd irgendwie gepatcht wurde ? Sofern das so zutrifft stellt sich dann die Frage, ob die von dir ins Image eingebaute Version gepatcht ist. Ich hätte natürlich den gast Zugang gerne so komfiguriert, daß der per SFTP nur auf sein Home-Dir und auf die dort gemounteten Windows-Ressourcen zugreifen kann und sonst nix von der Box sieht.
C.U. NanoBot
erstmal thx für die schnelle Antwort.happydude hat geschrieben:]
Der sshd sucht sein keyfile im home-Verzeichnis des Benutzers als der Du Dich einloggen willst unter .ssh/authorized_keys2. Das home-Verzeichnis eines Users findest Du in /etc/passwd:
vpn
in diesem Fall /home/vpn, bei Dir sollte das dann /home/gast sein. Wenn da also /home/gast in /etc/passwd steht, muß das Keyfile nach /home/gast/.ssh/authorized_keys2.
...
Ansonsten mal syslogd und klogd an der Kommandozeile starten, in /etc/ssh/sshd_config statt "LogLevel QUIET" "LogLevel VERBOSE" eintragen und sshd restarten, Login-Versuch und dann in /var/log/messages angucken, was der sshd so von sich gegeben hat. Anschließend LogLevel zurücksetzen.
Die Position des Keyfiles an sich war, wie das Log zeigt, nicht das Problem gewesen, sondern der sshd ist der Meinung, daß der User gast nicht berechtigt sei, sich per ssh einzuloggen:
Feb 26 20:14:02 DBOX2 auth.info sshd[476]: Server listening on 0.0.0.0 port 22.
Feb 26 20:14:07 DBOX2 auth.info sshd[478]: Connection from 192.168.1.1 port 1324
Feb 26 20:14:07 DBOX2 auth.info sshd[478]: Enabling compatibility mode for protocol 2.0
Feb 26 20:14:07 DBOX2 auth.info sshd[478]: input_userauth_request: illegal user gast
Feb 26 20:14:07 DBOX2 auth.info sshd[478]: Failed none for illegal user gast from 192.168.1.1 port 1324 ssh2
Feb 26 20:14:07 DBOX2 auth.info sshd[478]: Failed publickey for illegal user gast from 192.168.1.1 port 1324 ssh2
Feb 26 20:14:07 DBOX2 auth.info sshd[478]: Failed publickey for illegal user gast from 192.168.1.1 port 1324 ssh2
Feb 26 20:14:07 DBOX2 auth.info sshd[478]: Failed none for illegal user gast from 192.168.1.1 port 1324 ssh2
Feb 26 20:14:07 DBOX2 auth.info sshd[478]: Received disconnect from 192.168.1.1: 14: No further authentication methods available.
Ich habe dann in der sshd_config den Punkt AllowGroups auskommentiert und stattdessen die zugriffberechtigten User unter AllowUsers eingetragen, und sie da, es geht
Zu dem Thema hätte ich noch eine andere Frage: Soweit ich im Netz lesen konnte, lässt sich eine SSH wohl nur chrooten, wenn der SSHd irgendwie gepatcht wurde ? Sofern das so zutrifft stellt sich dann die Frage, ob die von dir ins Image eingebaute Version gepatcht ist. Ich hätte natürlich den gast Zugang gerne so komfiguriert, daß der per SFTP nur auf sein Home-Dir und auf die dort gemounteten Windows-Ressourcen zugreifen kann und sonst nix von der Box sieht.
C.U. NanoBot
-
happydude
- Einsteiger
- Beiträge: 262
- Registriert: Samstag 1. Dezember 2001, 00:00
Der sshd ist auch aus dem cvs, also höchstwahrscheinlich ungepatcht. Ich habe jedenfalls nichts dran verändert.
Ohne es probiert zu haben, sehe ich mit dem chroot jail da aber noch ein ganz anderes Problem: Der User braucht in seinem Jail ja auch noch ein paar funktionierende Kommandos, und da mangelt es an Flash-Platz.
Ohne es probiert zu haben, sehe ich mit dem chroot jail da aber noch ein ganz anderes Problem: Der User braucht in seinem Jail ja auch noch ein paar funktionierende Kommandos, und da mangelt es an Flash-Platz.
-
NanoBot
- Interessierter
- Beiträge: 59
- Registriert: Samstag 9. März 2002, 20:58
Hi Leute,
Zu diesem Thema habe ich allerings noch gelesen, daß man die im chroot-jail nötigen Dateien zwecks Platzersparnis wohl hardlinken könne, oder habe ich das falsch verstanden ?
C.U. NanoBot
Ja, soweit habe ich das auch gelesen. In dem chroot jail müßte in diesem Falle ja mindestens der sftp-server stehen und falls der nicht statisch gelinkt ist die dazu erforderlichen libs, was zu Platzproblemen führen würde. Mehr wäre IMHO nicht erforderlich, da ein Shellzugriff in meinem Falle ja gar nicht erwünscht ist, es soll ja nur sftp gemacht werden.happydude hat geschrieben:Der sshd ist auch aus dem cvs, also höchstwahrscheinlich ungepatcht. Ich habe jedenfalls nichts dran verändert.
Ohne es probiert zu haben, sehe ich mit dem chroot jail da aber noch ein ganz anderes Problem: Der User braucht in seinem Jail ja auch noch ein paar funktionierende Kommandos, und da mangelt es an Flash-Platz.
Zu diesem Thema habe ich allerings noch gelesen, daß man die im chroot-jail nötigen Dateien zwecks Platzersparnis wohl hardlinken könne, oder habe ich das falsch verstanden ?
C.U. NanoBot