| View previous topic :: View next topic |
| Author |
Message |
schmidicom
Veteran
Joined: 09 Mar 2006
Posts: 1970
Location: Schweiz
|
 Posted: Wed Nov 18, 2015 8:51 am Post subject: OpenSSH 7.x und root login |
 |
|
Mal ganz ehrlich, was soll das?
Es wird einfach ein Update von openssh raus gehauen das einem den rootzugriff aus der Ferne kaputt macht und nirgends eine brauchbare Anleitung wie dieser wiederhergestellt werden kann. Wie wäre es das nächste mal mit einer Warnung BEVOR man sich so einen Müll installiert?
_________________
Lenovo - ThinkPad P16s Gen 2 - 21K9CTO1WW |
|
| Back to top |
|
 |
py-ro
Veteran
Joined: 24 Sep 2002
Posts: 1734
Location: Velbert
|
| Posted: Wed Nov 18, 2015 10:43 am Post subject: |
|
|
So wie die Warnung die seit 2 Monaten in den News aufploppt?
| Code: | [49] 2015-08-13 OpenSSH 7.0 disables ssh-dss keys by default
|
Oder hast du ein echtes Problem? |
|
| Back to top |
|
|
schmidicom
Veteran
Joined: 09 Mar 2006
Posts: 1970
Location: Schweiz
|
| Posted: Wed Nov 18, 2015 10:58 am Post subject: |
|
|
In der Meldung habe nichts davon gelesen das root login mit password nicht mehr geht obwohl man es in der Konfiguration erlaubt hat.
_________________
Lenovo - ThinkPad P16s Gen 2 - 21K9CTO1WW |
|
| Back to top |
|
|
py-ro
Veteran
Joined: 24 Sep 2002
Posts: 1734
Location: Velbert
|
| Posted: Wed Nov 18, 2015 11:04 am Post subject: |
|
|
| Das ist ja auch nicht der Fall, zumindest nicht mit der Default Konfiguration. Dann hätte ich mich auf diversen Systemen, die alle ~amd64 haben, schon vor Wochen ausgesperrt. |
|
| Back to top |
|
|
bbgermany
Veteran
Joined: 21 Feb 2005
Posts: 1844
Location: Oranienburg/Germany
|
| Posted: Wed Nov 18, 2015 11:16 am Post subject: |
|
|
| py-ro wrote: | | Das ist ja auch nicht der Fall, zumindest nicht mit der Default Konfiguration. Dann hätte ich mich auf diversen Systemen, die alle ~amd64 haben, schon vor Wochen ausgesperrt. |
Doch leider ist das der Fall. Ich weiß nicht warum aber auf 2 von 3 Systemen bei mir hat das Update Root-Login via SSH auch deaktiviert (Ohne dispatch-conf bzw. etc-update!!!). Die Option "PermitRootlogin" war einfach abgeschaltet danach. Macht sich sehr gut auf Systemen, wo keine weiteren User eingerichtet sind, bzw diese nicht über sudo-Rechte oder su-Rechte verfügen...
Und nein, ich verwende keine DSA Keys. Glücklicherweise war auf zumindest einem System ein Login via PubKey funktionsfähig.
MfG. Stefan
_________________
Desktop: Ryzen 5 5600G, 32GB, 2TB, RX7600
Notebook: Dell XPS 13 9370, 16GB, 1TB
Server #1: Ryzen 5 Pro 4650G, 64GB, 16.5TB
Server #2: Ryzen 4800H, 32GB, 22TB |
|
| Back to top |
|
|
schmidicom
Veteran
Joined: 09 Mar 2006
Posts: 1970
Location: Schweiz
|
| Posted: Wed Nov 18, 2015 11:18 am Post subject: |
|
|
Bei diesem Server ging es jedenfalls erst wieder nach einem downgrade von OpenSSH und fürs erste bleibt dort Version 7 maskiert.
PS: Meine Reaktion am Anfang mag im nachhinein betrachtet etwas übertrieben gewesen sein aber es war ausgerechnet bei diesem einen Server nicht gerade einfach das wieder hinzubiegen und dazu auch noch der völlig falsche Moment für so etwas.
EDIT:
Vermutlich stört sich OpenSSH 7 an der etwas spezielleren PAM-Konfiguration welche ich auf diesem Server wegen Samba fahren muss aber genau weiß ich es nicht.
_________________
Lenovo - ThinkPad P16s Gen 2 - 21K9CTO1WW
Last edited by schmidicom on Thu Nov 19, 2015 1:05 pm; edited 1 time in total |
|
| Back to top |
|
|
py-ro
Veteran
Joined: 24 Sep 2002
Posts: 1734
Location: Velbert
|
| Posted: Wed Nov 18, 2015 11:31 am Post subject: |
|
|
Hat jemand einen Bug Report dazu gemacht?
Oder schlicht "Opfer" von
| Code: | | [1] 2012-05-21 Portage config-protect-if-modified default |
Ich muss gestehen ich hab mir das aktuelle Default File noch nicht wieder angesehen. |
|
| Back to top |
|
|
firefly
Watchman
Joined: 31 Oct 2002
Posts: 5315
|
| Posted: Wed Nov 18, 2015 12:15 pm Post subject: |
|
|
AFAIK wurde UPSTREAM nur der default wert von PermitRootlogin geändert von "passwort erlaubt" auf "passwort nicht erlaubt".
Wenn sich jemand auf den default verlassen hat, ist durch so eine Änderung natürlich erstmal "gearscht".
_________________
Ein Ring, sie zu knechten, sie alle zu finden,
Ins Dunkel zu treiben und ewig zu binden
Im Lande Mordor, wo die Schatten drohn. |
|
| Back to top |
|
|
misterjack
Veteran
Joined: 03 Oct 2004
Posts: 1657
|
| Posted: Sat Nov 21, 2015 12:18 pm Post subject: |
|
|
| firefly wrote: | | Wenn sich jemand auf den default verlassen hat, ist durch so eine Änderung natürlich erstmal "gearscht". |
Irgendwie muss ich über den Thread schmunzeln: Mit ein bisschen Sicherheitsbewusstsein beißt sich Rootlogin, Passwort und Server so dermaßen, dass ihr zurecht angearscht seit  *scnr*
_________________
„Meine Meinung steht fest! Bitte verwirren Sie mich nicht mit Tatsachen.“ |
|
| Back to top |
|
|
|
Deutsches Forum (German)
