ubuntuusers.de

Hallo liebes Forum,

ich habe folgendes Problem. Hier Local habe ich u.a. seit gestern ein Ubuntu-System (Desktop 6.x) und möchte auf einen Remoterechner (steht in nem Rechenzentrum, OS ist OpenBSD) per SSH als Root connecten um hier Local mittels Rsync Backups zu ziehen.

Was ich also gemach habe:
- per SSH-Keygen ein Schlüsselpaar generiert
- den Public-Key in das .ssh-Verzeichnis von /root ins Remotesystem übertragen (auch in das .ssh des "normalen" Users, damit geht das Login auch ohne PW!)
- Anschliessend hab ich in der /etc/ssh/sshd_conf die Zeilen wie folgt editiert

#LoginGraceTime 2m
#PermitRootLogin yes
PermitRootLogin without-password
PermitRootLogin no
#StrictModes yes
#MaxAuthTries 6

#RSAAuthentication yes
PubkeyAuthentication yes
AuthorizedKeysFile .ssh/authorized_key

Und anschliessend den ssh-daemon neu gestartet.

Sou.

Wenn ich jetzt von Local mit

# ssh user@rechner.com

connecte klappt alles prima. Möchte ich aber mit

# ssh root@rechner.com

connecten kommt sofort das Passwort-Prompt für Root.
Bei allen anderen Rechnern und Servern funktioniert es übrigens (sind Fedora-Systeme)

Weiss da jemand was drüber?

Gruss
Zippy

Hmmm, Bei Ubuntu besitzt ja root gar kein Passwort. Liegt das eventuel da dran?

Hallo Chrisss,

danke für die Antwort zunächst. Ich habs vielleicht undeutlich formuliert. Der Rechner, der Remote ist, und auf den ich von Ubuntu (Also Local) connecten will ist ein OpenBSD-Rechner. Und der hat ja ein Root-Login.

Das Problem ist also kein Spezielles Ubuntu, sondern irgendwas in der SSH-Config auf dem Remote-Rechner ist schief. ☹

Gruss
Zippy

Ah, ich hatte es genau andersrum verstanden. Also OpenBSD → Ubuntu.

Dann musst du doch an der Ubuntu "/etc/ssh/sshd_conf" gar nichts drehen, denn du nutzt ja den SSH Client und nicht den SSH Server. Oder verstehe ich dich immer noch falsch?

zippy hat geschrieben:

#PermitRootLogin yes
PermitRootLogin without-password
PermitRootLogin no

Erstmal ist diese Option doppelt. Es kann nur eine Möglichkeit geben.

AuthorizedKeysFile .ssh/authorized_key

Stimmt dieser Pfad? Normalerweise lautet die Datei authorized_keys. Außerdem bin ich mir gar nicht sicher, ob das Homeverzeichnis von Root auf OpenBSD auch /root heißt. /root ist, glaube ich, eine Linuxerfindung. Solaris hat z.B. / als Homeverzeichnis.

otzenpunk hat geschrieben:

zippy hat geschrieben:

#PermitRootLogin yes
PermitRootLogin without-password
PermitRootLogin no

Erstmal ist diese Option doppelt. Es kann nur eine Möglichkeit geben.

AuthorizedKeysFile .ssh/authorized_key

Stimmt dieser Pfad? Normalerweise lautet die Datei authorized_keys. Außerdem bin ich mir gar nicht sicher, ob das Homeverzeichnis von Root auf OpenBSD auch /root heißt. /root ist, glaube ich, eine Linuxerfindung. Solaris hat z.B. / als Homeverzeichnis.

Also mir wurde erzählt, das RootLogin No sich auf das einloggen mit BN/PW bezieht, während RootLogin without-password auf das einloggen mittels Key bezieht, beides also zusammengehört. Meinste eines davon könnte weg?
Und für das Keyfile, da hatte ich das s irgendwie nicht mitkopiert, du hast natürlich recht .. steht auch authorized_keys in der config.

Und ja, es ist definitiv OpenBSD 3.7 auf der Kiste, und es gibt ein /root/.ssh - verzeichnis, habe extra noch mal nachgeschaut jetzt ..

Statt Dir was erzählen zu lassen könntest Du doch auch mal einen Blick in die man sshd_config werfen 😉

PermitRootLogin
             Specifies whether root can log in using ssh(1).  The argument must be ``yes'', ``without-password'', ``forced-commands-only'' or ``no''. The default is ``yes''.

             If this option is set to ``without-password'' password authentication is disabled for root.

             If this option is set to ``forced-commands-only'' root login with public key authentication will be allowed, but only if the command option has been specified (which may be useful for taking remote backups even if root login is normally not allowed).  All other authentication methods are disabled for root.

             If this option is set to ``no'' root is not allowed to log in.

Und zum Transfer von ssh-keys kann ich Dir das Programm ssh-copy-id empfehlen.

@ Commander

Hm, in meiner SSHd-Config standen diese Zeilen nicht, aber ich danke dir für den Tipp. Klingt irgendwie plausibel, das sich das eine mit dem anderen ausschliesst.
Allerdings wirkts denn noch nicht.

Habe jetzt das PermitRootLogin without-password aktiviert, den Rest auskommentiert und den SSH neu gestartet .. aber leider will der immer noch das Passwort haben. So ein Ärger.

Ich weiss einfach nicht wodran das liegen kann.

Ich werde jetzt gleich einfach nochmal nen komplettes Keypaar generieren, vielleicht ist mir dabei und dem übertragen ins /root/.ssh nen Fehler unterlaufen.

zippy hat geschrieben:

Hm, in meiner SSHd-Config standen diese Zeilen nicht

Aber bestimmt in der zugehörigen Manpage?

comm@nder hat geschrieben:

zippy hat geschrieben:

Hm, in meiner SSHd-Config standen diese Zeilen nicht

Aber bestimmt in der zugehörigen Manpage?

Ich hab ja schon verstanden 😉 Versuche das nächste mal gründicher zu suchen, bevor ich frage. ☺
Nur gelöst isses immer noch nicht das Problem. Ich suche mal weiter.
Vielen Dank einstweilen. *ThumbsUp*

Gruss
Zippy

Der nächster Schritt, den Du machen könntest wäre, sich per ssh -v zu verbinden, daß bringt eventuell eine weiterhelfende Fehlermeldung.

Ich hab jetzt mal mit -v connected, und der schlägt an einer Stelle ja dann die Auth-Methoden vor, btw. führt sie an. Und bei Key überspringt er einfach zur nächsten.

Jetzt habe ich einfach mal eine SSH-Config von einem Server kopiert wo das Root-Login mittels Key ohne Passwort funktioniert, nud selbst mit dieser Config funktioniert es nicht.

Das Problem muss also echt irgendwo im OpenBSD-System an sichg liegen (Es soll das sicherste Betriebssystem ever sein, hab ich gestern gelesen 🤣 )

Naja, ich schau mal weiter.

Gruss,
Zippy

Glaub' ich erstmal nicht, dass das an OpenBSD liegt - zumal das OpenBSD-Projekt die Maintainer der OpenSSH-Suite sind, die auch unter Linux verwendet wird. 😉

Man kann die Option -v auch zweimal hintereinander angeben, dann gibt's noch mehr Debug-Infos. Stell' die Ausgabe mal in NoPaste und poste den Link, bitte.

Hallo & Thx. Otzenpunk,

ja mach ich, ich machs morgen früh .. muss dringend pennen.

Gruss
Zippy.