Re: sshd während der Installation

From: Oliver Fromme <olli(at)lurza.secnetix.de>
Date: Tue, 19 Feb 2013 15:34:45 +0100 (CET)



Peter Ross wrote:


 > ich hatte vor, während einer Installation neuer Rechner von 


 > anderswo mittels "zfs send | ssh zfs receive" Verzeichnisbäume zu 


 > übertragen.


 > 


 > Netzwerk konfigurieren, sshd starten, dachte ich mir.



Am einfachsten wäre natürlich:


# fsck -p /


# mount -u -w /


Jetzt ggf. /etc/ssh/sshd_config editieren, dann:


# /etc/rc.d/sshd start



 > PermitRootLogin without-password # Kein password, da /etc/master.passwd


 >                                   # nicht schreibbar ist



Da liegt vermutlich der Denkfehler:  "without-password"


bedeutet, dass Logins mit Passwort nicht zugelassen sind,


d.h. nur per Public-Key, Challenge-Response u.ä.



Wenn Du Dich mit einem _leeren_ Passwort einloggen können


willst, muss da einfach nur "yes" stehen.



 > PermitEmptyPasswords yes         # Doppelt?



Nein, nicht doppelt ...  Damit erlaubst Du das Einloggen


mit einem leeren Password.  Ich weiß aber nicht, ob das


auch für root gilt ...



Generell ist es natürlich eine ganz schlechte Idee, Logins


mit leerem Passwort zu erlauben, und für root ganz besonders.


Man sollte dann zumindest dafür sorgen, das man nur von


einem bestimmten Host aus auf den Rechner kommt, z.B. per


tcp-wrapper, "Match" in sshd_config und/oder per IPFW (oder


einem anderen Paketfilter).



 > $ ssh root(at)192.168.50.219


 > Permission denied (publickey,keyboard-interactive).



Ist klar.  Ein Passwort akzeptiert er nicht (wegen "without-


passwort"), Dein Client bietet ihm keinen gültigen Public-


Key, und davon abgesehen hat root vermutlich auch keine


authorized_keys-Datei.



Gruß


   Olli



-- 
Oliver Fromme,  secnetix GmbH & Co. KG,  Marktplatz 29, 85567 Grafing
Handelsregister:  Amtsgericht Muenchen, HRA 74606, Geschäftsfuehrung:
secnetix Verwaltungsgesellsch. mbH, Handelsreg.: Amtsgericht München,
HRB 125758, Geschäftsführer:  Maik Bachmann,  Olaf Erb,  Ralf Gebhart
FreeBSD-Dienstleistungen/-Produkte + mehr: http://www.secnetix.de/bsd
"And believe me, as a C++ programmer, I don't hesitate to question
the decisions of language designers.  After a decent amount of C++
exposure, Python's flaws seem ridiculously small." -- Ville Vainio
To Unsubscribe: send mail to majordomo(at)de.FreeBSD.org
with "unsubscribe de-bsd-questions" in the body of the message


Received on Tue 19 Feb 2013 - 15:34:56 CET













search this site