Root Login deaktiviert - Trotzdem Zugriff möglich ?

  • Hallo,

    in der "auth.log" habe ich folgende Einträge:

    Zitat

    Feb 1 07:30:49 raspberrypi sshd[6343]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=xxx.xxx.xxx.xxx user=root
    Feb 1 07:30:51 raspberrypi sshd[6343]: Failed password for root from xxx.xxx.xxx.xxx port 42365 ssh2
    Feb 1 07:30:54 raspberrypi sshd[6343]: Failed password for root from xxx.xxx.xxx.xxx port 42365 ssh2
    Feb 1 07:30:58 raspberrypi sshd[6343]: Failed password for root from xxx.xxx.xxx.xxx port 42365 ssh2

    obwohl ich in der "sshd_config" den Parameter "PermitRootLogin no" eingestellt habe.

    Habe ich was vergessen einzustellen ?

    Einmal editiert, zuletzt von Frank86 (1. Februar 2015 um 10:22)

  • Root Login deaktiviert - Trotzdem Zugriff möglich ?? Schau mal ob du hier fündig wirst!


  • ... obwohl ich in der "sshd_config" den Parameter "PermitRootLogin no" eingestellt habe.

    Schau mal ob (fehlerhafte) Anmeldungen (auth) für root auch dann geloggt werden, wenn Du in der sshd_config:

    Code
    DenyUsers root


    (zusätzlich) einstellst.

    The most popular websites without IPv6 in Germany.  IPv6-Ausreden

    Meine PIs

    PI4B/8GB (border device) OpenBSD 7.4 (64bit): SSH-Server, WireGuard-Server, ircd-hybrid-Server, stunnel-Proxy, Mumble-Server

    PI3B+ FreeBSD 14.0-R-p6 (arm64): SSH-Serv., WireGuard-Serv., ircd-hybrid-Serv., stunnel-Proxy, Mumble-Serv., ddclient

    PI4B/4GB Bullseye-lite (64bit; modifiziert): SSH-Server, WireGuard-Server, ircd-hybrid-Server, stunnel-Proxy, Mumble-Server, botamusique, ample

  • Das einzige was du gemacht hast ist, einen direkten Login des root Benutzers über SSH zu untersagen. Der root Account ist aber weiterhin aktiv und kann weiterhin genutzt werden (und das ist auch gut so!)

    Nach Änderungen der Konfiguration eines Dienstes (egal ob ssh oder apache2 usw) muss man dem Dienst sagen das er die Konfiguration neu laden soll - oder sogar den Dienst neu starten... Hast du das gemacht?

  • Zitat

    Failed password for root from xxx.xxx.xxx.xxx port 39562 ssh2

    d.h. jemand versucht sich als "root" einzuloggen und kommt sogar bis zur Passwortabfrage ?
    Und das, obwohl der direkte root-Zugriff in sshd_config "no" eingestellt ist ?
    Aus dem Benutzer-Konto kann ich mich mit "su" weiterhin als "root" einloggen, das soll ja so bleiben.

    Wenn ich direkt als "root" eine Anmeldung versuche, komme ICH nicht bis zur Passwortabfrage, ein externer Benutzer schon ???:

    Zitat

    Feb 1 13:19:53 raspberrypi login[8068]: pam_securetty(login:auth): access denied: tty '/dev/pts/0' is not secure !
    Feb 1 13:19:56 raspberrypi login[8068]: FAILED LOGIN (1) on '/dev/pts/0' FOR 'root', Authentication failure



    Hi,

    ich versteh jetzt Dein Problem nicht. Offensichtlich bekommt 'root' ja keinen Zugriff.

    cu,
    -ds-


    Offensichtlich aber nur deshalb, weil das eingegebene Passwort falsch war ...

    Einmal editiert, zuletzt von Frank86 (1. Februar 2015 um 13:29)


  • Offensichtlich aber nur deshalb, weil das eingegebene Passwort falsch war ...

    Hast Du es selber schon mal von extern, mit dem richtigen root-Passwort versucht?

    The most popular websites without IPv6 in Germany.  IPv6-Ausreden

    Meine PIs

    PI4B/8GB (border device) OpenBSD 7.4 (64bit): SSH-Server, WireGuard-Server, ircd-hybrid-Server, stunnel-Proxy, Mumble-Server

    PI3B+ FreeBSD 14.0-R-p6 (arm64): SSH-Serv., WireGuard-Serv., ircd-hybrid-Serv., stunnel-Proxy, Mumble-Serv., ddclient

    PI4B/4GB Bullseye-lite (64bit; modifiziert): SSH-Server, WireGuard-Server, ircd-hybrid-Server, stunnel-Proxy, Mumble-Server, botamusique, ample


  • Hast Du es selber schon mal von extern, mit dem richtigen root-Passwort versucht?

    Habe es jetzt versucht ... tatsächlich wird trotz der Einstellung "PermitRootLogin no" das Passwort abgefragt, aber der Login ist mit dem korrekten Passwort nicht möglich.

    Das soll mal einer verstehen ... :s

    Somit erledigt, :thumbs1:


    Edit:

    Zitat

    Schau mal ob (fehlerhafte) Anmeldungen (auth) für root auch dann geloggt werden, wenn Du in der sshd_config:
    DenyUsers root
    (zusätzlich) einstellst.

    Das lasse ich dann lieber, da ich immer noch mit "su" wechseln möchte ...

    Einmal editiert, zuletzt von Frank86 (1. Februar 2015 um 13:40)


  • ... tatsächlich wird trotz der Einstellung "PermitRootLogin no" das Passwort abgefragt, ...

    OK, versuch mal, ob mit:

    Code
    DenyUsers root


    in der sshd_config und nach einem restart des sshd, das Passwort für root auch abgefragt wird.


    Das lasse ich dann lieber, da ich immer noch mit "su" wechseln möchte ...

    Nur als Test, dass muss ja nicht deine permanente Konfiguration für die sshd_config sein.

    The most popular websites without IPv6 in Germany.  IPv6-Ausreden

    Meine PIs

    PI4B/8GB (border device) OpenBSD 7.4 (64bit): SSH-Server, WireGuard-Server, ircd-hybrid-Server, stunnel-Proxy, Mumble-Server

    PI3B+ FreeBSD 14.0-R-p6 (arm64): SSH-Serv., WireGuard-Serv., ircd-hybrid-Serv., stunnel-Proxy, Mumble-Serv., ddclient

    PI4B/4GB Bullseye-lite (64bit; modifiziert): SSH-Server, WireGuard-Server, ircd-hybrid-Server, stunnel-Proxy, Mumble-Server, botamusique, ample

    Einmal editiert, zuletzt von rpi444 (1. Februar 2015 um 13:42)

  • Wenn nicht nach dem Passwort gefragt werden würde bei UIDs die nicht erlaubt sind oder nicht existieren wird einem Angreifer damit schon sehr viel Information geliefert um seinen Angriff zu optimieren - nämlich weiss er dann dass die UID nicht genutzt werden kann und er sich den zeitraubenden PWD Bruteforce sparen kann. Wenn aber trotzdem nach dem PWD gefragt wird und kein Logon möglich ist weiss der Angreifer nicht ob es am PWD oder der UID liegt.

Jetzt mitmachen!

Du hast noch kein Benutzerkonto auf unserer Seite? Registriere dich kostenlos und nimm an unserer Community teil!