root login für den Notfall
root login für den Notfall
Hallo,
ich möchte mir eine Plan B erstellen, wenn ich mal mit root nicht mehr auf das Blech komme, warum auch immer.
Dazu fällt mir SSH-Logins auf Public-/Private-Key Basis ein, oder gibt es eine bessere Lösung?
Ich habe das mal gestest und ein Schlüsselpaar erstellt, mit eine Passphrase, was auch klappt.
Aktiviere ich jedoch PasswordAuthentication no komme ich mit dem dem User xyz@xx.xx.xx.xx nicht mehr per ssh aufs Blech.
Deaktiviere ich PasswordAuthentication komme ich zwar wieder mit dem User drauf, jedoch klappt dann nicht mehr Das Public-/Private-Key verfahren, dann kommt eine Passworteingabe die aber nicht funktioniert für root.
Gruß
41049
ich möchte mir eine Plan B erstellen, wenn ich mal mit root nicht mehr auf das Blech komme, warum auch immer.
Dazu fällt mir SSH-Logins auf Public-/Private-Key Basis ein, oder gibt es eine bessere Lösung?
Ich habe das mal gestest und ein Schlüsselpaar erstellt, mit eine Passphrase, was auch klappt.
Aktiviere ich jedoch PasswordAuthentication no komme ich mit dem dem User xyz@xx.xx.xx.xx nicht mehr per ssh aufs Blech.
Deaktiviere ich PasswordAuthentication komme ich zwar wieder mit dem User drauf, jedoch klappt dann nicht mehr Das Public-/Private-Key verfahren, dann kommt eine Passworteingabe die aber nicht funktioniert für root.
Gruß
41049
Re: root login für den Notfall
Konfiguriere es mal so, dass sich normale Benutzer anmelden können.
Suche dann "PermitRootLogin" und ändere es wie folgt:
Ich sehe im Zugriff über SSH-Keys für root keine Probleme.
Hat auch viele Vorteile, wenn du z. B. ein Backup ziehen willst.
Suche dann "PermitRootLogin" und ändere es wie folgt:
Code: Alles auswählen
PermitRootLogin without-password
Hat auch viele Vorteile, wenn du z. B. ein Backup ziehen willst.
Re: root login für den Notfall
Wenn man als normaler Benutzer auf die Kiste kommt, reicht doch
oder
oder
aus, um root zu sein. Wozu soll ein eigenes root-Login nötig sein?
In der Default /etc/sshd_config ist auch die Anmeldung mit Schlüsseldatei möglich, was einem einen direkten root-Zugang ermöglicht. Eigentlich muß man an dieser Datei rein gar nichts ändern.
Code: Alles auswählen
su
Code: Alles auswählen
su -
Code: Alles auswählen
sudo bash
In der Default /etc/sshd_config ist auch die Anmeldung mit Schlüsseldatei möglich, was einem einen direkten root-Zugang ermöglicht. Eigentlich muß man an dieser Datei rein gar nichts ändern.
Re: root login für den Notfall
Ich mache das ja über einen User und gehe dann mit cu - weiter.
Meine Bedenken sind was mache ich wenn der Userzugang platt ist? Dann war es das mit root!
Deswegen Plan b
Meine Bedenken sind was mache ich wenn der Userzugang platt ist? Dann war es das mit root!
Deswegen Plan b
Re: root login für den Notfall
Unter welchen Umständen sollte ein User Account zerstört werden ?achim55 hat geschrieben:03.06.2020 11:29:14Meine Bedenken sind was mache ich wenn der Userzugang platt ist? Dann war es das mit root!
Dann wird wohl nichts mehr gehen, und du musst dich physisch zu dem "Blech" (=Server ?) hinbewegen.
Re: root login für den Notfall
Wie gesagt, du kannst jederzeit einen Root-Zugang über Schlüsseldateien anlegen. Dazu brauchst du an der Default sshd_config gar nichtss zu ändern. Das klappt out of the box. Das Login geht dann mitachim55 hat geschrieben:03.06.2020 11:29:14Meine Bedenken sind was mache ich wenn der Userzugang platt ist? Dann war es das mit root!Deswegen Plan b
Code: Alles auswählen
ssh root@server.name -i clinetkeyfile.rsa
Re: root login für den Notfall
Wenn du zB die User über ldap hast und der ldap server eingeht und lokal kein cache konfiguriert ist.willy4711 hat geschrieben:03.06.2020 11:40:35Unter welchen Umständen sollte ein User Account zerstört werden ?
- ingo2
- Beiträge: 1124
- Registriert: 06.12.2007 18:25:36
- Lizenz eigener Beiträge: GNU Free Documentation License
- Wohnort: Wo der gute Riesling wächst
Re: root login für den Notfall
Du kannst das auch ganz einfach auf nur einen PC oder das lokale Netzwerk beschränken, von dem du dich dann als root (auf Wunsch auch mit Password) einloggen kannst. Beispiel
Häng' einfach am Ende deiner /etc/ssh/sshd_config die Konfiguration dafür an:
Das überstimmt dann die davorstehenden Limitierungen - hier fürs lokale Netz.
Häng' einfach am Ende deiner /etc/ssh/sshd_config die Konfiguration dafür an:
Code: Alles auswählen
Match Address 192.168.???.0/24
PasswordAuthentication yes
PermitRootLogin yes
Banner none
avatar: [http://mascot.crystalxp.net/en.id.2938- ... nther.html MF-License]
Re: root login für den Notfall
Lass den Zugang lieber auf Keys beschänkt. Wenn Du Sorgen hast, dass Du Dir den Useraccount zerbastelst, leg Dir doch einfach nen zweiten User an, den Du nur fürs "su -" benutzt.
- KBDCALLS
- Moderator
- Beiträge: 22360
- Registriert: 24.12.2003 21:26:55
- Lizenz eigener Beiträge: MIT Lizenz
- Wohnort: Dortmund
-
Kontaktdaten:
Re: root login für den Notfall
Auch wenns jetzt etwas älter ist . Hab auch daran geknobelt wie ich mich per Root mit dem Public Key einloggen kann.
Als erstes hatte ich in das Verzeichis /etc/ssh/ssh_config.d
folgenden zwei Dateien angelegt.
Mit dem Resultat als User konnte ich mich einloggen als Root aber nicht.
Der wurde dann so quittiert
Lösung war dann die authorized_keys in /root/.ssh angelegt anstatt in /etc/ssh/
Als erstes hatte ich in das Verzeichis /etc/ssh/ssh_config.d
folgenden zwei Dateien angelegt.
- PasswordAuthentication.conf
Code: Alles auswählen
PubkeyAuthentication yes PasswordAuthentication no
- PermitRootLogin.conf
Code: Alles auswählen
PermitRootLogin yes
Mit dem Resultat als User konnte ich mich einloggen als Root aber nicht.
Der wurde dann so quittiert
Code: Alles auswählen
root@localhost: Permission denied (publickey).
Lösung war dann die authorized_keys in /root/.ssh angelegt anstatt in /etc/ssh/
Was haben Windows und ein Uboot gemeinsam?
Kaum macht man ein Fenster auf, gehen die Probleme los.
EDV ist die Abkürzung für: Ende der Vernunft
Bevor du einen Beitrag postest:
Kaum macht man ein Fenster auf, gehen die Probleme los.
EDV ist die Abkürzung für: Ende der Vernunft
Bevor du einen Beitrag postest:
- Kennst du unsere Verhaltensregeln
- Lange Codezeilen/Logs gehören nach NoPaste, in Deinen Beitrag dann der passende Link dazu.
- Livingston
- Beiträge: 1520
- Registriert: 04.02.2007 22:52:25
- Lizenz eigener Beiträge: MIT Lizenz
- Wohnort: 127.0.0.1
Re: root login für den Notfall
Nach /etc/ssh hätte die authorized_keys eh nicht gehört, sondern ins jeweilige home-Verzeichnis unter ~/.ssh. Da /root das home-Verzeichnis von root ist, muss das Teilchen da hin.KBDCALLS hat geschrieben:20.10.2020 14:39:15Lösung war dann die authorized_keys in /root/.ssh angelegt anstatt in /etc/ssh/
Der Hauptunterschied zwischen etwas, was möglicherweise kaputtgehen könnte und etwas, was unmöglich kaputtgehen kann, besteht darin, dass sich bei allem, was unmöglich kaputtgehen kann, falls es doch kaputtgeht, normalerweise herausstellt, dass es unmöglich zerlegt oder repariert werden kann.
Douglas Adams
Douglas Adams
Re: root login für den Notfall
Nunja, Vorschriften macht einem unter Linux keiner, bestenfalls Vorschläge. Per Default gehen die halt nach ~/.ssh. Man kann aber in der /etc/ssh/sshd_config auch einen anderen Ort dafür festlegen, die Direktive dafür lautet:Livingston hat geschrieben:20.10.2020 19:30:00Nach /etc/ssh hätte die authorized_keys eh nicht gehört
Code: Alles auswählen
AuthorizedKeysFile
- ingo2
- Beiträge: 1124
- Registriert: 06.12.2007 18:25:36
- Lizenz eigener Beiträge: GNU Free Documentation License
- Wohnort: Wo der gute Riesling wächst
Re: root login für den Notfall
So, dazu habe ich auch noch eine Frage - bin gerade am aufräumen meiner gpg- und ssh-keys:
Gibt es eine Möglichkeit, aus den authorized_keys zu rekonstruieren, welcher secret-key auf einem Client dazu gehört (key-ID)?
Und - falls möglich - aus der known_hosts rückwärts aufzulösen, welcher Server sich hinter den Einträgen verbirgt?
Gruß, Ingo
Gibt es eine Möglichkeit, aus den authorized_keys zu rekonstruieren, welcher secret-key auf einem Client dazu gehört (key-ID)?
Und - falls möglich - aus der known_hosts rückwärts aufzulösen, welcher Server sich hinter den Einträgen verbirgt?
Gruß, Ingo
avatar: [http://mascot.crystalxp.net/en.id.2938- ... nther.html MF-License]