View previous topic :: View next topic |
Author |
Message |
schmidicom Veteran
Joined: 09 Mar 2006 Posts: 1970 Location: Schweiz
|
Posted: Wed Nov 18, 2015 8:51 am Post subject: OpenSSH 7.x und root login |
|
|
Mal ganz ehrlich, was soll das?
Es wird einfach ein Update von openssh raus gehauen das einem den rootzugriff aus der Ferne kaputt macht und nirgends eine brauchbare Anleitung wie dieser wiederhergestellt werden kann. Wie wäre es das nächste mal mit einer Warnung BEVOR man sich so einen Müll installiert? _________________ Lenovo - ThinkPad P16s Gen 2 - 21K9CTO1WW |
|
Back to top |
|
|
py-ro Veteran
Joined: 24 Sep 2002 Posts: 1734 Location: Velbert
|
Posted: Wed Nov 18, 2015 10:43 am Post subject: |
|
|
So wie die Warnung die seit 2 Monaten in den News aufploppt?
Code: | [49] 2015-08-13 OpenSSH 7.0 disables ssh-dss keys by default
|
Oder hast du ein echtes Problem? |
|
Back to top |
|
|
schmidicom Veteran
Joined: 09 Mar 2006 Posts: 1970 Location: Schweiz
|
Posted: Wed Nov 18, 2015 10:58 am Post subject: |
|
|
In der Meldung habe nichts davon gelesen das root login mit password nicht mehr geht obwohl man es in der Konfiguration erlaubt hat. _________________ Lenovo - ThinkPad P16s Gen 2 - 21K9CTO1WW |
|
Back to top |
|
|
py-ro Veteran
Joined: 24 Sep 2002 Posts: 1734 Location: Velbert
|
Posted: Wed Nov 18, 2015 11:04 am Post subject: |
|
|
Das ist ja auch nicht der Fall, zumindest nicht mit der Default Konfiguration. Dann hätte ich mich auf diversen Systemen, die alle ~amd64 haben, schon vor Wochen ausgesperrt. |
|
Back to top |
|
|
bbgermany Veteran
Joined: 21 Feb 2005 Posts: 1844 Location: Oranienburg/Germany
|
Posted: Wed Nov 18, 2015 11:16 am Post subject: |
|
|
py-ro wrote: | Das ist ja auch nicht der Fall, zumindest nicht mit der Default Konfiguration. Dann hätte ich mich auf diversen Systemen, die alle ~amd64 haben, schon vor Wochen ausgesperrt. |
Doch leider ist das der Fall. Ich weiß nicht warum aber auf 2 von 3 Systemen bei mir hat das Update Root-Login via SSH auch deaktiviert (Ohne dispatch-conf bzw. etc-update!!!). Die Option "PermitRootlogin" war einfach abgeschaltet danach. Macht sich sehr gut auf Systemen, wo keine weiteren User eingerichtet sind, bzw diese nicht über sudo-Rechte oder su-Rechte verfügen...
Und nein, ich verwende keine DSA Keys. Glücklicherweise war auf zumindest einem System ein Login via PubKey funktionsfähig.
MfG. Stefan _________________ Desktop: Ryzen 5 5600G, 32GB, 2TB, RX7600
Notebook: Dell XPS 13 9370, 16GB, 1TB
Server #1: Ryzen 5 Pro 4650G, 64GB, 16.5TB
Server #2: Ryzen 4800H, 32GB, 22TB |
|
Back to top |
|
|
schmidicom Veteran
Joined: 09 Mar 2006 Posts: 1970 Location: Schweiz
|
Posted: Wed Nov 18, 2015 11:18 am Post subject: |
|
|
Bei diesem Server ging es jedenfalls erst wieder nach einem downgrade von OpenSSH und fürs erste bleibt dort Version 7 maskiert.
PS: Meine Reaktion am Anfang mag im nachhinein betrachtet etwas übertrieben gewesen sein aber es war ausgerechnet bei diesem einen Server nicht gerade einfach das wieder hinzubiegen und dazu auch noch der völlig falsche Moment für so etwas.
EDIT:
Vermutlich stört sich OpenSSH 7 an der etwas spezielleren PAM-Konfiguration welche ich auf diesem Server wegen Samba fahren muss aber genau weiß ich es nicht. _________________ Lenovo - ThinkPad P16s Gen 2 - 21K9CTO1WW
Last edited by schmidicom on Thu Nov 19, 2015 1:05 pm; edited 1 time in total |
|
Back to top |
|
|
py-ro Veteran
Joined: 24 Sep 2002 Posts: 1734 Location: Velbert
|
Posted: Wed Nov 18, 2015 11:31 am Post subject: |
|
|
Hat jemand einen Bug Report dazu gemacht?
Oder schlicht "Opfer" von
Code: | [1] 2012-05-21 Portage config-protect-if-modified default |
Ich muss gestehen ich hab mir das aktuelle Default File noch nicht wieder angesehen. |
|
Back to top |
|
|
firefly Watchman
Joined: 31 Oct 2002 Posts: 5318
|
Posted: Wed Nov 18, 2015 12:15 pm Post subject: |
|
|
AFAIK wurde UPSTREAM nur der default wert von PermitRootlogin geändert von "passwort erlaubt" auf "passwort nicht erlaubt".
Wenn sich jemand auf den default verlassen hat, ist durch so eine Änderung natürlich erstmal "gearscht". _________________ Ein Ring, sie zu knechten, sie alle zu finden,
Ins Dunkel zu treiben und ewig zu binden
Im Lande Mordor, wo die Schatten drohn. |
|
Back to top |
|
|
misterjack Veteran
Joined: 03 Oct 2004 Posts: 1657
|
Posted: Sat Nov 21, 2015 12:18 pm Post subject: |
|
|
firefly wrote: | Wenn sich jemand auf den default verlassen hat, ist durch so eine Änderung natürlich erstmal "gearscht". |
Irgendwie muss ich über den Thread schmunzeln: Mit ein bisschen Sicherheitsbewusstsein beißt sich Rootlogin, Passwort und Server so dermaßen, dass ihr zurecht angearscht seit *scnr* _________________ „Meine Meinung steht fest! Bitte verwirren Sie mich nicht mit Tatsachen.“ |
|
Back to top |
|
|
|