OpenSSH sftp und ssh login auf Server

Probleme mit Samba, NFS, FTP und Co.
mgolbs
Beiträge: 259
Registriert: 22.03.2009 18:08:17
Wohnort: Tirschenreuth - Löbau

OpenSSH sftp und ssh login auf Server

Beitrag von mgolbs » 14.03.2019 12:58:09

Hallo,

ich würde gern auf einem Debian9 den OpenSSH Server nutzen, aber weiterhin dort logins per ssh vornehmen. Ich sehe da vorab Probleme mit den Ports. 22 ist ja eigentlich für ssh, 21 für ftp. Wenn ich auf 22 den sftp laufen habe, gehen dann noch ssh logins?

Gruß und Dank Markus
Dem Überflüssigen nachlaufen, heißt das Wesentliche verpassen.
Jules Saliège

DeletedUserReAsG

Re: OpenSSH sftp und ssh login auf Server

Beitrag von DeletedUserReAsG » 14.03.2019 13:14:00

Machst du sftp über einen externen Daemon, etwa proftpd, der einen eigenen Port bräuchte? Ansonsten läuft das nämlich als normaler ssh-Traffic über 22. Aber abweichende Ports sind auch kein Problem – man muss es dem jeweiligen Client dann eben mitgeben.

Benutzeravatar
MSfree
Beiträge: 10686
Registriert: 25.09.2007 19:59:30

Re: OpenSSH sftp und ssh login auf Server

Beitrag von MSfree » 14.03.2019 13:20:33

mgolbs hat geschrieben: ↑ zum Beitrag ↑
14.03.2019 12:58:09
Wenn ich auf 22 den sftp laufen habe, gehen dann noch ssh logins?
Für sftp ist der sshd zuständig, also der selbe Dienst, der auch für ssh-Logins zuständig ist. Da beides über den selben Dienst und den selben Port läuft, gibt es keine Konflikte.

uname
Beiträge: 12046
Registriert: 03.06.2008 09:33:02

Re: OpenSSH sftp und ssh login auf Server

Beitrag von uname » 14.03.2019 15:00:33

Eingentlich musst du nur eine Zeile in /etc/ssh/sshd_config entkommentieren und die Konfiguration des SSH-Servers neu laden oder den SSH-Server durchstarten:

Code: Alles auswählen

Subsystem       sftp .....
(dort sollte ein # stehen, einfach entfernen)

Du kannst den Zugriff auch auf sftp einschränken siehe https://www.linode.com/docs/tools-refer ... nd-ubuntu/

Benutzeravatar
MSfree
Beiträge: 10686
Registriert: 25.09.2007 19:59:30

Re: OpenSSH sftp und ssh login auf Server

Beitrag von MSfree » 14.03.2019 15:20:45

uname hat geschrieben: ↑ zum Beitrag ↑
14.03.2019 15:00:33
...
(dort sollte ein # stehen, einfach entfernen)
Das ist bei Debian bisher ohne Kommentarzeichen, sftp sollte also ohne Eingriff in diese Datei funktionieren. Es schadet allerdings nicht, das nochmal zu kontrolieren.

uname
Beiträge: 12046
Registriert: 03.06.2008 09:33:02

Re: OpenSSH sftp und ssh login auf Server

Beitrag von uname » 14.03.2019 16:18:17

Ach klar. Normalerweise funktioniert ja ssh und sftp out-of-the-box. Ich habe wohl zu lange nicht mehr neu installiert ;-)

@mgolbs
Was sagt auf dem Debian-System:

Code: Alles auswählen

sftp user@localhost
Falls du grafisch zugreifen willst: Filezilla (Linux (Debianfilezilla) und Windows (Link)) kann sftp. Einfach auswählen und als Port 22 angeben falls nicht Default.

mgolbs
Beiträge: 259
Registriert: 22.03.2009 18:08:17
Wohnort: Tirschenreuth - Löbau

Re: OpenSSH sftp und ssh login auf Server

Beitrag von mgolbs » 14.03.2019 18:19:28

Hallo,

vielen Dank für die Info. Die Frage war etwas retorisch :D , da ich den beschriebene Vorgang so etwa eigentlich erwartet und probiert hatte, aber folgenden eigenartigen Effekt bekam:
- login per filezilla per Port 22 und sftp klappte als root, nun aber !!!! >>>>
- seit dem

Code: Alles auswählen

...Subsystem       sftp .....
funktionierte mein ssh login root@ ... nicht mehr 20 Versuche....
- auch der vorher sicherheitshalber angelegte Standarduser funktionierte per ssh userxyz@... nicht mehr, sftp per filezille für userxyz auch nicht (scheint wohl nicht konfiguriert worden zu sein...)
- habe das System neu aufsetzen müssen..

Was kann da schief gegangen sein?

Gruß und Dank Markus
Dem Überflüssigen nachlaufen, heißt das Wesentliche verpassen.
Jules Saliège

DeletedUserReAsG

Re: OpenSSH sftp und ssh login auf Server

Beitrag von DeletedUserReAsG » 14.03.2019 18:56:00

mgolbs hat geschrieben: ↑ zum Beitrag ↑
14.03.2019 18:19:28
Was kann da schief gegangen sein?
Find’s raus: sshd im Vordergrund mit Debug- und Verbose-Optionen starten, Client ebenfalls mit hohem Verboselevel benutzen und schauen, was für Fehler beim Login-Versuch auftreten.

mgolbs
Beiträge: 259
Registriert: 22.03.2009 18:08:17
Wohnort: Tirschenreuth - Löbau

Re: OpenSSH sftp und ssh login auf Server

Beitrag von mgolbs » 14.03.2019 22:24:49

Hallo,

danke für den Hinweis.
sshd im Vordergrund mit Debug- und Verbose-Optionen starten
Ist auf entferntem Server mit reinem ssh Zugang nicht so einfach..
Ich werde wohl den nächsten Versuch in Richtung
...etwa proftpd, der einen eigenen Port bräuchte..
unternehmen.

Gruß und Dank Markus
Dem Überflüssigen nachlaufen, heißt das Wesentliche verpassen.
Jules Saliège

DeletedUserReAsG

Re: OpenSSH sftp und ssh login auf Server

Beitrag von DeletedUserReAsG » 14.03.2019 22:55:43

Warum sollte das nicht so einfach sein? Ist allenfalls dann ein Problem, wenn du gar keinen Zugriff hast – davon schriebst du im Ausgangsbeitrag aber nix. Allerdings frage ich mich dann, was du mit dem proftpd unternehmen möchtest. Das ist, wie der Name schon leicht andeutet, eigentlich ein ftpd, für den’s aber auch ein Modul für sftp gibt (was mit FTP außer dem Namen eigentlich nicht mal viel gemeinsam hat). Man braucht es nur in sehr speziellen Fällen (Trennung der sftp-User von den Systemusern, z.B.), von denen ich hier keinen gegeben sehe. Wenn du deine sshd-Config zerschossen hast und dich deswegen nicht mehr einloggen kannst, wird proftpd das nicht auf magische Weise für dich fixen. Poste lieber die sshd.conf, mit der es nicht funktioniert.

dirk11
Beiträge: 2813
Registriert: 02.07.2013 11:47:01

Re: OpenSSH sftp und ssh login auf Server

Beitrag von dirk11 » 15.03.2019 08:28:53

mgolbs hat geschrieben: ↑ zum Beitrag ↑
14.03.2019 18:19:28
- seit dem

Code: Alles auswählen

...Subsystem       sftp .....
funktionierte mein ssh login root@ ... nicht mehr 20 Versuche....
- auch der vorher sicherheitshalber angelegte Standarduser funktionierte per ssh userxyz@... nicht mehr, sftp per filezille für userxyz auch nicht (scheint wohl nicht konfiguriert worden zu sein...)
- habe das System neu aufsetzen müssen..

Was kann da schief gegangen sein?
Ganz einfach: Du hast keine Ahnung gehabt, was Du da überhaupt machst. Da Du das System neu installiert hast, kann man den Fehler nur noch raten, und ich würde raten, dass Du einen fehlerhaften Eintrag in der sshd_config getätigt hast und der sshd sich deswegen geweigert hat zu starten.

Für andere, die sowas frickeln:
Ein sshd-Neustart beendet normalerweise keine bestehenden ssh-Verbindungen. Also vorher eine ssh-Verbindung herstellen, sshd neu starten, eine neue, zusätzliche Verbindung aufbauen, und erst wenn das klappt, darf man die alte ssh-Verbindung beenden!

Außerdem sollte man sich für solche Experimente sicherheitshalber eine Ersatz-Zugangsmöglichkeit schaffen, und sei es der temporäre Start von telnetd, wenn man nichts anderes hat. Immer noch besser, als einen Server zu verlieren...

Wie Du siehst, kann man Vorkehrungen treffen, um sich nicht selbst auszusperren. Ich habe eigentlich bisher nur eine Möglichkeit gefunden, sich sicher so auszusperren, dass man eine lokale Anmeldung benötigt: iptables falsch konfigurieren und diese Fehlkonfiguration wirksam machen. Z.B. die Ablehnung aller Pakete wirkt sich nämlich auch auf einen bestehenden ssh-Tunnel aus... 8)

DeletedUserReAsG

Re: OpenSSH sftp und ssh login auf Server

Beitrag von DeletedUserReAsG » 15.03.2019 09:21:15

dirk11 hat geschrieben: ↑ zum Beitrag ↑
15.03.2019 08:28:53
Außerdem sollte man sich für solche Experimente sicherheitshalber eine Ersatz-Zugangsmöglichkeit schaffen, und sei es der temporäre Start von telnetd, wenn man nichts anderes hat.
Man kann auch ganz prima eine zweite Instanz des sshd mit einer eigenen Config starten. So kann man einen stabilen Zugang vorhalten, während man an der Config des anderen sshd rumpfuscht und diesen mit Debug/Verbose im Vordergrund startet, um zu gucken, was man da schon wieder für Mist gebaut hat.

Sinnvoller wäre aus meiner Sicht zwar, sich die Anleitung durchzulesen, bis man sie verstanden hat, um die Wahrscheinlichkeit der Fehlkonfiguration gegen Null gehen zu lassen, aber was weiß ich schon … scheint halt heute nicht mehr modern zu sein.

uname
Beiträge: 12046
Registriert: 03.06.2008 09:33:02

Re: OpenSSH sftp und ssh login auf Server

Beitrag von uname » 15.03.2019 10:44:36

mgolbs hat geschrieben:- habe das System neu aufsetzen müssen..
Ah. Der Windwos-Weg. Nun werden wir den Grund wohl nie erfahren.

mgolbs
Beiträge: 259
Registriert: 22.03.2009 18:08:17
Wohnort: Tirschenreuth - Löbau

Re: OpenSSH sftp und ssh login auf Server

Beitrag von mgolbs » 21.03.2019 13:47:34

Hallo,

vielen Dank für die Hinweise.
..dass Du einen fehlerhaften Eintrag in der sshd_config getätigt hast und der sshd sich deswegen geweigert hat zu starten.
Das könnte durchaus sein. Nur warum lief dann auf Port 22 der sftp Zugang nach dem Start ganz normal? Hatte in der sshd_config nur Subsystem auskommentiert.

Zusätzlich hatte ich noch Ajaxterm zum Testen eingespielt, tippe darauf das dort der Fehler in der Konfiguration lag, die ssh Port 22 Probleme begründet waren. Webserver lief auf Port 443 nach Neustart ebenfalls normal. Wenn Ajaxterm per https gelaufen wäre, sshd nicht gestarte, würde dieser Weg auch nichts nützen?

Der Tipp mit dem zweiten Zugang z.B. Telnet ist wirklich gut. Werde das jetzt damit parallel testen.

Gruß und Dank Markus
Dem Überflüssigen nachlaufen, heißt das Wesentliche verpassen.
Jules Saliège

uname
Beiträge: 12046
Registriert: 03.06.2008 09:33:02

Re: OpenSSH sftp und ssh login auf Server

Beitrag von uname » 21.03.2019 14:21:50

Bei Interesse kannst du dir mal Debiansslh anschauen. Könnte dein Problem vielleicht lösen auch wenn ich es nicht wirklich verstanden habe.

Benutzeravatar
novalix
Beiträge: 1908
Registriert: 05.10.2005 12:32:57
Lizenz eigener Beiträge: MIT Lizenz
Wohnort: elberfeld

Re: OpenSSH sftp und ssh login auf Server

Beitrag von novalix » 21.03.2019 17:37:32

In der Standardkonfiguration auf einem aktuellen Debian-System kann man sich als user root nicht per Passwortauthentifizierung am sshd einloggen nur mit key.
Da Du weiter oben davon schrubst, dass eine Anmeldung als root nicht funktioniert hat, nachdem Du aus welchen Gründen auch immer das System neu aufgesetzt hast, könnte hier der Hase im Piment liegen.

Der Tipp sich mit hoher verbosity zu verbinden wurde ja schon gegeben. Also:

Code: Alles auswählen

ssh -vvv $user@$machine
Das Wem, Wieviel, Wann, Wozu und Wie zu bestimmen ist aber nicht jedermannns Sache und ist nicht leicht.
Darum ist das Richtige selten, lobenswert und schön.

mgolbs
Beiträge: 259
Registriert: 22.03.2009 18:08:17
Wohnort: Tirschenreuth - Löbau

Re: OpenSSH sftp und ssh login auf Server

Beitrag von mgolbs » 21.03.2019 20:50:05

Hallo,

vielen Dank!
Applicative protocol multiplexer
Das habe ich nun noch nicht verstanden.
sslh accepts connections in HTTP, HTTPS, SSH, OpenVPN, tinc, XMPP, or any other protocol that can be tested using a regular expression, on the same port. This makes it possible to connect to any of these servers on port 443 while still serving HTTPS on that port.
Eine Alternative zu Ajaxterm?

In der Standardkonfiguration auf einem aktuellen Debian-System kann man sich als user root nicht per Passwortauthentifizierung am sshd einloggen nur mit key.
Ist eine VM eines Serveranbieters. Nach deren Deb9 Installation ging root Anmeldung per ssh erst einmal problemlos, bis zum reboot. Bin da was entfernte VM Server angeht Neuling und habe diese zum Lernen, probieren gemietet.



Gruß und Dank Markus
Dem Überflüssigen nachlaufen, heißt das Wesentliche verpassen.
Jules Saliège

DeletedUserReAsG

Re: OpenSSH sftp und ssh login auf Server

Beitrag von DeletedUserReAsG » 21.03.2019 21:04:11

OT:
Bin da was entfernte VM Server angeht Neuling und habe diese zum Lernen, probieren gemietet.
Warum muss es ’ne entfernte Maschine sein? Lokal lernt man genausoviel, wenn nicht noch mehr. Und billiger ist’s auch noch.

mgolbs
Beiträge: 259
Registriert: 22.03.2009 18:08:17
Wohnort: Tirschenreuth - Löbau

Re: OpenSSH sftp und ssh login auf Server

Beitrag von mgolbs » 21.03.2019 21:31:58

Hallo lernen ist Stufe 1, Grund für Miete sind geplante Anwendungen. Habe zu Hause einige Debian Maschinen laufen. SSH Zugriff ist halt Kernkomponente und wenn Tests positiv dann ist man damit produktiv im Einsatz ohne alles noch mal konfigurieren zu müssen :D
Gruß Markus
Dem Überflüssigen nachlaufen, heißt das Wesentliche verpassen.
Jules Saliège

DeletedUserReAsG

Re: OpenSSH sftp und ssh login auf Server

Beitrag von DeletedUserReAsG » 22.03.2019 06:49:26

Naja … (nicht nur) ich bin immer recht skeptisch, wenn Grundlagenwissen fehlt, aber Server gefahren werden. Man kann Glück haben, dann geht’s gut, man kann aber auch Pech haben, dann macht man sich und/oder andere ziemlich unglücklich.

Sorry für OT.

uname
Beiträge: 12046
Registriert: 03.06.2008 09:33:02

Re: OpenSSH sftp und ssh login auf Server

Beitrag von uname » 22.03.2019 08:06:52

mgolbs hat geschrieben:Hallo lernen ist Stufe 1, Grund für Miete sind geplante Anwendungen. Habe zu Hause einige Debian Maschinen laufen
Dann installiere auf einer deiner Maschinen zuhause einen SSL-Webserver, einen SSH-Server und versuche beides über Port 443 (Debiansslh) zu erreichen. Vor Jahren habe ich das mal ausprobiert. Musst mal nach Anleitungen suchen.

Unterwegs hast du damit jedoch das Problem, dass du einen echten SSH-Client (Windows z. B. putty.exe) benötigst und evtl. aus einen Firmennetzwerk der Zugriff über einen Webproxy umgeleitet wird und somit trotzdem nicht funktioniert.
Falls du webbasiert auf den SSH-Server zugreifen willst oder musst, bleibt wohl nur Ajaxterm oder Debianshellinabox. Ob man Shellinabox mit Debiansslh nutzen kann, weiß ich nicht.

dirk11
Beiträge: 2813
Registriert: 02.07.2013 11:47:01

Re: OpenSSH sftp und ssh login auf Server

Beitrag von dirk11 » 22.03.2019 09:02:46

mgolbs hat geschrieben: ↑ zum Beitrag ↑
21.03.2019 20:50:05
Applicative protocol multiplexer
Das habe ich nun noch nicht verstanden.
sslh accepts connections in HTTP, HTTPS, SSH, OpenVPN, tinc, XMPP, or any other protocol that can be tested using a regular expression, on the same port. This makes it possible to connect to any of these servers on port 443 while still serving HTTPS on that port.
Eine Alternative zu Ajaxterm?
Nein. SSLH hängt sich auf Port 443 und lauscht dort auf eingehende Pakete. Anhand von Klartextdaten im Paket-Header entscheidet sslh, ob es sich um ssh, https oder was entsprechend anderes handelt und leitet die Pakete an den entsprechenden Dienst weiter. Du musst dafür also einen https-Server auf einem anderen Port als 443 laufen lassen, weil auf 443 ja jetzt sslh läuft. Ein hilfreiches tool, welches bei mir seit Jahren seinen Dienst tut, es gibt z.B. immer noch Hotel-WLANse, die idiotischerweise Port 22 sperren. Da kann man sich mit ssh over 443 gut behelfen.
So wurde es mir jedenfalls mal erklärt, falls jemand eine bessere Erklärung hat, immer her damit!
mgolbs hat geschrieben: ↑ zum Beitrag ↑
21.03.2019 21:31:58
SSH Zugriff ist halt Kernkomponente und wenn Tests positiv dann ist man damit produktiv im Einsatz ohne alles noch mal konfigurieren zu müssen
Ja, und wenn man keine Ahnung hat, dann legt man sich auf die Fresse und weiss noch nichtmal, warum! Sorry, aber Deine Überlegung funktioniert nicht. Hättest Du das lokal ausprobiert, hätteste Dich an die Kiste, welche Du per ssh erreichen willst, aber nicht kannst, herangesetzt und hättest z.B. im Log sofort erkennen können, warum es hakt. So hast Du den Windoof-Weg gewählt und weißt nicht, was wirklich passiert ist. Was willst Du daraus lernen? Wie man neu installiert?
uname hat geschrieben: ↑ zum Beitrag ↑
22.03.2019 08:06:52
und evtl. aus einen Firmennetzwerk der Zugriff über einen Webproxy umgeleitet wird und somit trotzdem nicht funktioniert.
Ein Zwangsproxy für Port 443/https? Also quasi Firmen-Man-in-the-middle? Wer macht denn sowas? Das wäre dann mal eine Aufgabe für den Firmen-Datenschutzbeauftragten, denn wenn privates Surfen überhaupt in so einer Firma erlaubt ist, könnten auf die Weise z.B. Bankdaten ausgespäht werden. Geht mal gar nicht.
Ich habe sowas (Zwangsproxy auf 443 und somit MIM) noch nicht erlebt, aber das wäre dann ja der perfekte Indikator dafür, ob ein Netz vertrauenswürdig ist oder nicht.

mgolbs
Beiträge: 259
Registriert: 22.03.2009 18:08:17
Wohnort: Tirschenreuth - Löbau

Re: OpenSSH sftp und ssh login auf Server

Beitrag von mgolbs » 22.03.2019 20:50:29

Hallo,

vielen Dank für die Infos. Das mit dem Neuaufsetzen stört mich nicht, jedenfalls zum jetzigen Zeitpunkt auf dem reinen Testsystem. Erfahrung ist halt die Summe der Misserfolge. Werde beim nächsten Versuch nun einige anders machen können. Wenn es sofort geklappt hätte, wären mir Eure wichtigen Informationen und Hinweise alle entgangen. Das wäre sehr schade.

Vielen Dank und Gruß Markus
Dem Überflüssigen nachlaufen, heißt das Wesentliche verpassen.
Jules Saliège

dirk11
Beiträge: 2813
Registriert: 02.07.2013 11:47:01

Re: OpenSSH sftp und ssh login auf Server

Beitrag von dirk11 » 23.03.2019 09:37:16

mgolbs hat geschrieben: ↑ zum Beitrag ↑
22.03.2019 20:50:29
Erfahrung ist halt die Summe der Misserfolge.
Nur dass Du hieraus nichts gelernt hast, weil Du nicht weißt, ob es wirklich so ist, wie hier vermutet wird.

uname
Beiträge: 12046
Registriert: 03.06.2008 09:33:02

Re: OpenSSH sftp und ssh login auf Server

Beitrag von uname » 25.03.2019 08:32:01

dirk11 hat geschrieben:Ein Zwangsproxy für Port 443/https? Also quasi Firmen-Man-in-the-middle? Wer macht denn sowas?
Nennt sich z. B. Debiansquid. Und selbst wenn er nicht cacht oder die Daten analysiert kann er dafür nützlich sein die Benutzer zu verwalten und HTTP(S) über Port 80/443 einzufordern. Aber natürlich kann man z. B. mit Debianconnect-proxy darüber auch SSH tunneln.

Antworten