hi.

ich hab ein riesen problem - ich komm auf meinen server nicht mehr per ssh rauf. der anmeldeprozess schlägt fehl.

Syslog für sshd:

May 3 01:28:41 v31325 sshd[13691]: fatal: PAM: pam_setcred(): Permission denied

sshd_config file:

# $OpenBSD: sshd_config,v 1.70 2004/12/23 23:11:00 djm Exp $

# This is the sshd server system-wide configuration file. See
# sshd_config(5) for more information.

# This sshd was compiled with PATH=/usr/bin:/bin:/usr/sbin:/sbin

# The strategy used for options in the default sshd_config shipped with
# OpenSSH is to specify options with their default value where
# possible, but leave them commented. Uncommented options change a
# default value.

#Port 22
#Protocol 2,1
#AddressFamily any
#ListenAddress 0.0.0.0
#ListenAddress ::

# HostKey for protocol version 1
#HostKey /etc/ssh/ssh_host_key
# HostKeys for protocol version 2
#HostKey /etc/ssh/ssh_host_rsa_key
#HostKey /etc/ssh/ssh_host_dsa_key

# Lifetime and size of ephemeral version 1 server key
#KeyRegenerationInterval 1h
#ServerKeyBits 768

# Logging
#obsoletes QuietMode and FascistLogging
#SyslogFacility AUTH
#LogLevel INFO

# Authentication:

#LoginGraceTime 2m
#PermitRootLogin yes
#StrictModes yes
#MaxAuthTries 6

#RSAAuthentication yes
#PubkeyAuthentication yes
#AuthorizedKeysFile .ssh/authorized_keys

# For this to work you will also need host keys in /etc/ssh/ssh_known_hosts
#RhostsRSAAuthentication no
# similar for protocol version 2
#HostbasedAuthentication no
# Change to yes if you don't trust ~/.ssh/known_hosts for
# RhostsRSAAuthentication and HostbasedAuthentication
#IgnoreUserKnownHosts no
# Don't read the user's ~/.rhosts and ~/.shosts files
#IgnoreRhosts yes

# To disable tunneled clear text passwords, change to no here!
PasswordAuthentication yes
#PermitEmptyPasswords no

# Change to no to disable s/key passwords
#ChallengeResponseAuthentication yes

# Kerberos options
#KerberosAuthentication no
#KerberosOrLocalPasswd yes
#KerberosTicketCleanup yes
#KerberosGetAFSToken no

# GSSAPI options
#GSSAPIAuthentication no
#GSSAPICleanupCredentials yes

# Set this to 'yes' to enable support for the deprecated 'gssapi' authentication
# mechanism to OpenSSH 3.8p1. The newer 'gssapi-with-mic' mechanism is included
# in this release. The use of 'gssapi' is deprecated due to the presence of
# potential man-in-the-middle attacks, which 'gssapi-with-mic' is not susceptible to.
#GSSAPIEnableMITMAttack no


# Set this to 'yes' to enable PAM authentication, account processing,
# and session processing. If this is enabled, PAM authentication will
# be allowed through the ChallengeResponseAuthentication mechanism.
# Depending on your PAM configuration, this may bypass the setting of
# PasswordAuthentication, PermitEmptyPasswords, and
# "PermitRootLogin without-password". If you just want the PAM account and
# session checks to run without PAM authentication, then enable this but set
# ChallengeResponseAuthentication=no
UsePAM yes

#AllowTcpForwarding yes
#GatewayPorts no
X11Forwarding no
#X11DisplayOffset 10
#X11UseLocalhost yes
#PrintMotd yes
#PrintLastLog yes
#TCPKeepAlive yes
#UseLogin no
#UsePrivilegeSeparation yes
#PermitUserEnvironment no
#Compression yes
#ClientAliveInterval 0
#ClientAliveCountMax 3
#UseDNS yes
#PidFile /var/run/sshd.pid
#MaxStartups 10

# no default banner path
#Banner /some/path

# override default of no subsystems
Subsystem sftp /usr/lib64/ssh/sftp-server

# This enables accepting locale enviroment variables LC_* LANG, see sshd_config(5).
AcceptEnv LANG LC_CTYPE LC_NUMERIC LC_TIME LC_COLLATE LC_MONETARY LC_MESSAGES
AcceptEnv LC_PAPER LC_NAME LC_ADDRESS LC_TELEPHONE LC_MEASUREMENT
AcceptEnv LC_IDENTIFICATION LC_ALL
GatewayPorts no
AllowTcpForwarding yes
KeepAlive yes
Protocol 2
IgnoreRhosts yes
IgnoreUserKnownHosts no
PrintMotd yes
StrictModes yes
RSAAuthentication yes
PermitRootLogin yes
PermitEmptyPasswords yes


WinSCP3 gibt folgendes als Log aus (gekürzt):

. Initialised AES-256 client->server encryption
. Initialised AES-256 server->client encryption
. Initialised HMAC-SHA1 client->server MAC algorithm
. Initialised HMAC-SHA1 server->client MAC algorithm
! Using username "root".
. Password prompt from server (Password: )
. Responding with stored password.
. Access granted
. Opened channel for session
* (ESshFatal) Authentication failed.
* Authentication log (see session log for details):
* Using username "root".
*
* Connection has been unexpectedly closed. Server sent command exit status 0.

Ich muss dazu sagen, dass System war vorkonfiguriert und lief tadellos. Ich habe direkt am sshd lediglich Einstellungen gemacht, dass nur SSHv2 verwendet wird...

Es wird PAM-authentication verwendet.
Die Zeile "Access granted" zeigt, ja dass das Eigentliche Login funktioniert und erst beim erstellen der session etwas schief läuft.
Wegen dem "pam_setcred(): Permission denied" vermute ich mal, dass irgendwas mit den Rechten für den sshd was nicht klappt und er deshalb keinen normgerechten Zugriff auf PAM hat?

Über mein Plesk-bzw. Virtuozzo-Zugang konnte ich herausfinden, dass der sshd so gestartet wurde: "/usr/sbin/sshd -o PidFile=/var/run/sshd.init.pid" und als user 0 läuft - also als root

Das System ist übrigens suse-10.0-x86_64. Shhd version: OpenSSH_4.1

Weiß da jemand Rat?

Grüße,
Martin.

uaarrgh suse,,wenn ich das schon höre,,das kann man vielleicht als noob zum einstieg benutzen aber nicht für ein produktives umfeld..wie dem auch sei.
wenn ich mir deine sshd.conf so ansehe wird mir fast schlecht. wieso ist die so unübersichtlich? wieso hast du nicht vorhandere parameter einfach auskommentiert?

nehm einfach mal diese hier
imho ist es ne ******* idee per root auf ssh zu gehen,,nehm lieber nen normalen user und arbeite mit su oder sudo
---------------------------------------------------------------------------------snip

Port 22
Protocol 2

HostKey /etc/ssh/ssh_host_rsa_key
HostKey /etc/ssh/ssh_host_dsa_key
UsePrivilegeSeparation yes

KeyRegenerationInterval 1h
ServerKeyBits 1024
SyslogFacility AUTH
LogLevel INFO
LoginGraceTime 300
PermitRootLogin yes
StrictModes yes
Compression yes

RSAAuthentication yes
PubkeyAuthentication yes
AuthorizedKeysFile %h/.ssh/authorized_keys

IgnoreRhosts yes
RhostsRSAAuthentication no
HostbasedAuthentication no

PermitEmptyPasswords no
PasswordAuthentication yes

X11Forwarding no
X11DisplayOffset 10
PrintMotd no
PrintLastLog yes
KeepAlive yes
UseLogin no

#MaxStartups 10:30:60
Banner /etc/issue.net

#Subsystem sftp /usr/lib/sftp-server
UsePAM yes
IgnoreUserKnownHosts no
GatewayPorts no
AllowTcpForwarding yes
AllowUsers root

---------------------------------------------------------------------------------snip

Hallo Martin

Also wenn du an der sshd.conf rumgebastelt hast, hast du dir zuvor sicher noch schnell ein Backup davon gemacht

cp /etc/ssh/sshd_conf /root/sshd_conf.backup

wenn nicht, dann such irgend wo auf dem netz die Standart config und beginn von neuem, weil die die du hast ist "etwas" unübersichtlich und hat meiner Meinung nach auch zuviel drin.

ssh Konfiguration guck hier http://wiki.latzernet.ch/index.php/Debian-Webserver#Konfiguration_3
Meiner Meinung nach die sicherste möglichkeit sich mit dem Rechner zu verbinden ist über die Key-files mit etwas googlen findest du schnell heraus wie die Schlüssel generiert werden.

Nachtrag:
Hab erst jetzt gesehen dass instinctless auch einen Beitrag geschrieben hat, ja nimm die config und als root einloggen ist eh nicht das Beste darum per sudo oder su

Hi,

ich denke es liegt daran:


#PermitRootLogin yes

Das einkommentieren, dann sollte es funktionieren. Backup deiner sshd_config ist sicher nie verkehrt, genausowenig der Hinweis von latzer bezüglich des Root-Logins.

Der Tipp von instinctless, eine komplett andere sshd_Config zu nehmen, wenn man nicht versteht, was da drinsteht, ist fahrlässig. Ich würde das nicht machen.

uaarrgh suse,,wenn ich das schon höre,,das kann man vielleicht als noob zum einstieg benutzen aber nicht für ein produktives umfeld..wie dem auch sei.
Aha. Und wieso? Klär uns mal auf...

okay ich werd die mal versuchen...
übrigens, die ist so unübersichtlich weil ich mit webmin verwalte... der bearbeitet die halt so.

Hi,

Der Tipp von instinctless, eine komplett andere sshd_Config zu nehmen, wenn man nicht versteht, was da drinsteht, ist fahrlässig. ...

... fahrlässig ist da schon mehr PermitEmptyPasswords yes vielleicht noch für den Root-Account (macht man ja in Windows auch so ;) )

Manx

na also soviel verstand hab ich ja wohl... ich weiß wohl was die Einstellungen bedeuten.

Warum SuSE immer dermaßen schlecht wegkommt versteh ich übrigens auch nicht... zumal es ja auf dem vServer eh ohne KDE läuft

Achso... es geht wieder. Ich weiß zwar nicht genau, was jetzt anders ist als vorher an der conf datei - aber hauptsache es klappt.

Zum Thema root - login. Mir ist schon klar, dass das gefährlich ist. Ich brauch das aber um per FileZille, bzw. WinSCP volle schreibrechte zu haben... kann man das dann auch irgendwie anders machen?

Zum Thema root - login. Mir ist schon klar, dass das gefährlich ist. Ich brauch das aber um per FileZille, bzw. WinSCP volle schreibrechte zu haben... kann man das dann auch irgendwie anders machen?



man su

man sudoSollte man aber als Serveradmin wissen.

Greetz,

RM

Zum Thema root - login. Mir ist schon klar, dass das gefährlich ist. Ich brauch das aber um per FileZille, bzw. WinSCP volle schreibrechte zu haben... kann man das dann auch irgendwie anders machen?
WinSCP und Public Key Authentication z.B

Grüße

Manx

Hi,

Manx;1530871']... fahrlässig ist da schon mehr PermitEmptyPasswords yes vielleicht noch für den Root-Account (macht man ja in Windows auch so ;) )

Manx
Jau. Hab gar nicht gesehen, dass ganz unten alle Optionen aktiviert waren. Ein Hoch auf die "grafischen" Konfigurationswerkzeuge....:rolleyes:

uaarrgh suse,,wenn ich das schon höre,,das kann man vielleicht als noob zum einstieg benutzen aber nicht für ein produktives umfeld..wie dem auch sei.

Ahhh, da spricht der Profi.... :rolleyes:



wenn ich mir deine sshd.conf so ansehe wird mir fast schlecht. wieso ist die so unübersichtlich? wieso hast du nicht vorhandere parameter einfach auskommentiert?


Weil sie nun mal so von Haus aus aussieht?!

Statt hier große Sprüche zu klopfen, lieber mal effektiv helfen.

Warum SuSE immer dermaßen schlecht wegkommt versteh ich übrigens auch nicht...

imho SuSE mutiert immer mehr zu einer klicki bunti umgebung wo alles automatisch läuft und jeder alles kann.
Was sicher auch noch ein punkt ist, SuSE verwendet meistens eigene config files die unterumständen an anderen orten liegen und anderst heissen, das erschwert die hilfe und auch das selber lernen bei problemen weil doch viele anleitungen für Debian, Kubuntu usw. sind....


meine Meinung, mein Grund wieso ich von SuSE weg gehe

jetzt könnte man die FHS in die Runde werfen...

Ahhh, da spricht der Profi.... :rolleyes:



Weil sie nun mal so von Haus aus aussieht?!

Statt hier große Sprüche zu klopfen, lieber mal effektiv helfen.

danke für den beistand... ich wollt nichts sagen ;)

okay. ich werde mich für die publickey methode entscheiden ist wohl am sichersten und da weiß ich wenigstens wie das geht ;)

vielen dank.

imho SuSE mutiert immer mehr zu einer klicki bunti umgebung wo alles automatisch läuft und jeder alles kann.
Was sicher auch noch ein punkt ist, SuSE verwendet meistens eigene config files die unterumständen an anderen orten liegen und anderst heissen, das erschwert die hilfe und auch das selber lernen bei problemen weil doch viele anleitungen für Debian, Kubuntu usw. sind....

Das ist ja mal totaler Müll. Im Gegensatz zu Debian oder ubuntu hält sich SUSE mehr als alle anderen Distributionen an die FHS oder LSB. Es sind Debian und Ubuntu die an vielen Ecken Sonderlocken haben.

Das ist ja mal totaler Müll. Im Gegensatz zu Debian oder ubuntu hält sich SUSE mehr als alle anderen Distributionen an die FHS oder LSB. Es sind Debian und Ubuntu die an vielen Ecken Sonderlocken haben.

Dann nehm ich halt alles zurück und behaupte das gegenteil...


es kommt immer darauf an aus welcher sicht man die welt betrachtet ob sie kopf steht oder nicht

STOP: Ich habe persönlich nichts gegen SuSE aber ich muss sagen das man damit nur probleme hat, wenn wirklich fehler auftauchen dann lassen sie sich nur schwer wieder beseitigen, ist ist schon wahr das SuSE zu einer "bunti" linux version geworden ist.

Jedoch hat sie einen entscheidenten vorteil gegenüber den anderen linux versionen -"Sie ist für anfänger geeignet"-


MFG

STOP: Ich habe persönlich nichts gegen SuSE aber ich muss sagen das man damit nur probleme hat, wenn wirklich fehler auftauchen dann lassen sie sich nur schwer wieder beseitigen

Kannst du das begründen? Ich habe damit überhaupt keine Probleme....

Jedoch hat sie einen entscheidenten vorteil gegenüber den anderen linux versionen -"Sie ist für anfänger geeignet"-


Da kann ich dir nur zustimmen. Gäb es SuSE nicht hätte ich warscheindlich nie mit Linux begonnen und ich denke das geht noch manchem so. Ich hab auch gar nichts gegen SuSE nur hat sich mein geschmack verändert und Debian gefällt mir besser und bla!zilla hat mich auch gelehrt dass sich suse im gegensatz zu anderen an die standarts hält (wusst ich nicht, aber jetzt weiss ichs)

Hallo Martin

wenn nicht, dann such irgend wo auf dem netz die Standart config und beginn von neuem, weil die die du hast ist "etwas" unübersichtlich und hat meiner Meinung nach auch zuviel drin.

die original configs findet man in der regel im doc verzeichnis ;-)

Hi,

ich denke es liegt daran:


#PermitRootLogin yes

Das einkommentieren, dann sollte es funktionieren. Backup deiner sshd_config ist sicher nie verkehrt, genausowenig der Hinweis von latzer bezüglich des Root-Logins.

Der Tipp von instinctless, eine komplett andere sshd_Config zu nehmen, wenn man nicht versteht, was da drinsteht, ist fahrlässig. Ich würde das nicht machen.

Aha. Und wieso? Klär uns mal auf...

Zum Thema RootLogin,,in diesem Fall müsste man es auskommentieren und nicht einkommentieren,,falls es sowas gibt.
Desweiteren hättest du mal die config besser genau angesehen, weiter unten ist genau dieser parameter auskommentiert.
und zum dritten ist es sicher nicht fahrlässig meine config zu verwenden denn sie macht genau das was unser problemkind möchte im endeffekt ist es nichts anderes als sein originalconfig,,nur aufgeräumt, und wenn man davon keine ahnung hat sollte man das eh lieber lassen aber aus fehlern lernt man ja auch.

und wenn man davon keine ahnung hat sollte man das eh lieber lassen aber aus fehlern lernt man ja auch.

jetzt aber mal halblang hier, ja... ich verbitte es mir, dass du über leute die du nicht kennst sagst sie hätten keine ahnung.

erstens habe ich nicht per hand die config geändert, sondern mit webmin. ich hab also keinen direkten einfluss darauf gehabt, was verändert wurde...
kommentare aus einer config datei entfernen hätte ich auch selbst gekonnt.
nur machte das eigentlich keinen sinn, deswegen habe ich es gelassen und das problem wo anders vermutet


... im endeffekt ist es nichts anderes als sein originalconfig,,nur aufgeräumt...

genau, ich habe die von dir genommen und alles was noch in meiner drin war wieder dazu getan.

Der unterschied zu vorher besteht jetzt nur darin, dass ich "AllowUsers" eingestellt habe (was vorher auf All stand). Das wird aber wohl eher nicht der Grund gewesen sein, weil ja "Alle" mehr sind als nur eine bestimmte Anzahl ;)

Letztendlich waren es wohl wirklich die Kommentare, die eventuell einige Einstellungen vermurkst haben... aber ich bitte dich - wer soll denn das vermuten.

nun ja... ich sage mal: nomen est omen -> instinctless

Hi,


Zum Thema RootLogin,,in diesem Fall müsste man es auskommentieren und nicht einkommentieren,,falls es sowas gibt.
wenn ich die Zeile auskommentieren würde, sähe die so aus:


##PermitRootLogin yes

Verstehste? "Einkommentieren" mag es zwar nicht wirklich geben, aber mit ein bisschen Transferleistung hätte man verstehen können, was gemeint war.

weiter unten ist genau dieser parameter auskommentiert.
Und wenn du besser gelesen hättest, hättest du bemerkt, dass ich schon erwähnt habe, dass ich das nicht bis zum Ende durchgeguckt habe.

und zum dritten ist es sicher nicht fahrlässig meine config zu verwenden
Es ist fahrlässig, irgendwas zu übernehmen, ohne genau zu wissen, was es tut.