---

Har lige installeret den seneste release af freebsd på min gamle maskine
og vil bruge den som server. Vil dog helst administrereden den via SSH,
så jeg ikke behøver at have skærm, keyb. etc sluttet til. Jeg har
installeret openSSH og når jeg benytter 'Putty'
(http://www.chiark.greenend.org.uk/~sgtatham/putty/)ser den også ud til
at jeg kan logge på....den spørger i hvert fald om username/password,
men jeg for bare 'access denied'.

Jeg har prøvet både med root og en alm brugerkonto, hvilket giver samme
resultat.

Jeg forestiller mig det kunne have noget at gøre med at mine brugere
skal have ret til at køre SSH, men hvordan giver jeg dem ret til det,
eller er det et helt andet problem?

VH Joe

---

"Joe" <amplifymysoul@hotmail.com> skrev i en meddelelse
news:40296802$0$95010$edfadb0f@dread11.news.tele.dk...
> Har lige installeret den seneste release af freebsd på min gamle maskine
> og vil bruge den som server. Vil dog helst administrereden den via SSH,
> så jeg ikke behøver at have skærm, keyb. etc sluttet til. Jeg har
> installeret openSSH og når jeg benytter 'Putty'
> (http://www.chiark.greenend.org.uk/~sgtatham/putty/)ser den også ud til
> at jeg kan logge på....den spørger i hvert fald om username/password,
> men jeg for bare 'access denied'.
>
> Jeg har prøvet både med root og en alm brugerkonto, hvilket giver samme
> resultat.
>
> Jeg forestiller mig det kunne have noget at gøre med at mine brugere
> skal have ret til at køre SSH, men hvordan giver jeg dem ret til det,
> eller er det et helt andet problem?

Tjaeee, nu ved jeg ikke med FreeBSD, men på min Debian box har jeg i
/etc/ssh/sshd_config en linie der hedder:
PermitRootLogin yes

Så kan root i hvertfald logge ind..

Men jeg har ingen problemer med at alm. brugere ikke kan logge ind.

Hygge

Esben

---

In article <7VdWb.6025$Z11.5117@news.get2net.dk>, hyber@NOSPAM-
PLEASE.hyber.dk says...

> /etc/ssh/sshd_config en linie der hedder:
> PermitRootLogin yes

Jeg håber ikke at den maskine kan nås fra internettet.


--
Med venlig hilsen/best regards
Jesper G. Poulsen

http://www.netmeister.org/news/learn2quote2.html

---

Den Wed, 11 Feb 2004 19:25:33 +0100 skrev Jesper G. Poulsen:
>In article <7VdWb.6025$Z11.5117@news.get2net.dk>, hyber@NOSPAM-
>PLEASE.hyber.dk says...
>
>> /etc/ssh/sshd_config en linie der hedder:
>> PermitRootLogin yes
>
>Jeg håber ikke at den maskine kan nås fra internettet.

Mener du ikke SSH's authentication er stærk nok?

Mvh
Kent
--
Help test this great MMORPG game - http://www.eternal-lands.com/

---

In article <c0e0bf$svl$3@sunsite.dk>, leeloo@phreaker.net says...

> Mener du ikke SSH's authentication er stærk nok?

Jeg mener at root-login over det åbne internet er at spille gris med
sikkerheden på maskinen.


--
Med venlig hilsen/best regards
Jesper G. Poulsen

http://www.netmeister.org/news/learn2quote2.html

---

Den Thu, 12 Feb 2004 12:24:30 +0100 skrev Jesper G. Poulsen:
>In article <c0e0bf$svl$3@sunsite.dk>, leeloo@phreaker.net says...
>
>> Mener du ikke SSH's authentication er stærk nok?
>
>Jeg mener at root-login over det åbne internet er at spille gris med
>sikkerheden på maskinen.

Også når trafikken er krypteret? Hvorfor?

Mvh
Kent
--
Help test this great MMORPG game - http://www.eternal-lands.com/

---

leeloo@phreaker.net (Kent Friis) writes:

> Den Thu, 12 Feb 2004 12:24:30 +0100 skrev Jesper G. Poulsen:
>>In article <c0e0bf$svl$3@sunsite.dk>, leeloo@phreaker.net says...
>>
>>> Mener du ikke SSH's authentication er stærk nok?
>>
>>Jeg mener at root-login over det åbne internet er at spille gris med
>>sikkerheden på maskinen.
>
> Også når trafikken er krypteret? Hvorfor?

Krypteret eller ikke krypteret så gør det da i hvert fald at der også
skal gættes/opsnappes et login for at komme ind, og der kommer et
(sikkert lille) trin mere en angriber skal igennem for at kunne hærge
for alvor.

Man skal så selvfølgelig også sørge for at man ikke gør det alt for nemt
tilgængeligt hvilke loginkonti der findes (så der skal fx. ikke være
sammenhæng med mailadresser).


Mvh.

Dennis Jørgensen

---

Den Thu, 12 Feb 2004 20:19:59 +0100 skrev Dennis Jørgensen:
>leeloo@phreaker.net (Kent Friis) writes:
>
>> Den Thu, 12 Feb 2004 12:24:30 +0100 skrev Jesper G. Poulsen:
>>>In article <c0e0bf$svl$3@sunsite.dk>, leeloo@phreaker.net says...
>>>
>>>> Mener du ikke SSH's authentication er stærk nok?
>>>
>>>Jeg mener at root-login over det åbne internet er at spille gris med
>>>sikkerheden på maskinen.
>>
>> Også når trafikken er krypteret? Hvorfor?
>
>Krypteret eller ikke krypteret så gør det da i hvert fald at der også
>skal gættes/opsnappes et login for at komme ind, og der kommer et
>(sikkert lille) trin mere en angriber skal igennem for at kunne hærge
>for alvor.
>
>Man skal så selvfølgelig også sørge for at man ikke gør det alt for nemt
>tilgængeligt hvilke loginkonti der findes (så der skal fx. ikke være
>sammenhæng med mailadresser).

Og dermed skal man til at have en masse besvær med at sætte mailsystemet
op til at bruge andre navne, blot for at opnå at bruge login'et som
en form for password, men en form for password som ham der tilfældigvis
går forbi den maskine man sidder ved sagtens kan se.

Mvh
Kent
--
Help test this great MMORPG game - http://www.eternal-lands.com/

---

Kent Friis skrev i -dk.edb.system.unix:

> Og dermed skal man til at have en masse besvær med at sætte mailsystemet
> op til at bruge andre navne, blot for at opnå at bruge login'et som
> en form for password, men en form for password som ham der tilfældigvis
> går forbi den maskine man sidder ved sagtens kan se.

Man sætter det vel op til at kun den IP man skal kunne logge ind fra, har
adgang til SSH på maskinen?
Nå, ja, det er måske ikke alle der gør, men man bør IMHO gøre det, og så finder
jeg det ikke så farligt at have mulighed for root login,,,

--
Med venlig hilsen | Jeg søger et foto / realistisk maleri over
| omgivelserne ved og lige syd for skovbrynes st
Ivar Madsen | ved Bagsværd fra tiden efter krigen, og
Der kører mdk9.2 | frem til motorvejbyggeriet blev påbegyndt

---

Den Sat, 14 Feb 2004 18:08:04 +0100 skrev Ivar Madsen:
>Kent Friis skrev i -dk.edb.system.unix:
>
>> Og dermed skal man til at have en masse besvær med at sætte mailsystemet
>> op til at bruge andre navne, blot for at opnå at bruge login'et som
>> en form for password, men en form for password som ham der tilfældigvis
>> går forbi den maskine man sidder ved sagtens kan se.
>
>Man sætter det vel op til at kun den IP man skal kunne logge ind fra, har
>adgang til SSH på maskinen?
>Nå, ja, det er måske ikke alle der gør, men man bør IMHO gøre det, og så finder
>jeg det ikke så farligt at have mulighed for root login,,,

Hele ideen i SSH er netop at man sikkert skal kunne logge ind fra andre
maskiner.

Mvh
Kent
--
Help test this great MMORPG game - http://www.eternal-lands.com/

---

Kent Friis skrev i -dk.edb.system.unix:

>>Man sætter det vel op til at kun den IP man skal kunne logge ind fra, har
>>adgang til SSH på maskinen?
>>Nå, ja, det er måske ikke alle der gør, men man bør IMHO gøre det, og så
>>finder jeg det ikke så farligt at have mulighed for root login,,,
> Hele ideen i SSH er netop at man sikkert skal kunne logge ind fra andre
> maskiner.

Ja, og der har aldrig været nogen sikkerhedsbug i SSH?
Du garentere at der ikke er nogen i openssh¹ nu?


¹ openssh er vist den mest udbrete implermation af SSH på Linux maskiner?

--
Med venlig hilsen | Jeg søger et foto / realistisk maleri over
| omgivelserne ved og lige syd for skovbrynes st
Ivar Madsen | ved Bagsværd fra tiden efter krigen, og
Der kører mdk9.2 | frem til motorvejbyggeriet blev påbegyndt

---

Den Sun, 15 Feb 2004 09:46:29 +0100 skrev Ivar Madsen:
>Kent Friis skrev i -dk.edb.system.unix:
>
>>>Man sætter det vel op til at kun den IP man skal kunne logge ind fra, har
>>>adgang til SSH på maskinen?
>>>Nå, ja, det er måske ikke alle der gør, men man bør IMHO gøre det, og så
>>>finder jeg det ikke så farligt at have mulighed for root login,,,
>> Hele ideen i SSH er netop at man sikkert skal kunne logge ind fra andre
>> maskiner.
>
>Ja, og der har aldrig været nogen sikkerhedsbug i SSH?

Jo, men færre end i fx httpd.

Og uanset at der måske er en sikkerhedshul, så er det (incl. risiko *
omkostninger hvis maskinen bliver overtaget) stadig billigere end
benzin.

Mvh
Kent
--
Help test this great MMORPG game - http://www.eternal-lands.com/

---

Kent Friis skrev i -dk.edb.system.unix:

>>> Hele ideen i SSH er netop at man sikkert skal kunne logge ind fra andre
>>> maskiner.
>>Ja, og der har aldrig været nogen sikkerhedsbug i SSH?
> Jo, men færre end i fx httpd.

Et kendt ulappet hul er nok.

> Og uanset at der måske er en sikkerhedshul, så er det (incl. risiko *
> omkostninger hvis maskinen bliver overtaget) stadig billigere end
> benzin.

Ja, men kan du suplere sikkerheden i SSH med en firewall (i maskinen selv,
eller eksternt) som kun tillader en IP at få adgang, så har du forøget
sikkerheden betydeligt, og flere gange mere, end ved ikke at have tilladt root
login.

--
Med venlig hilsen | Jeg søger et foto / realistisk maleri over
| omgivelserne ved og lige syd for skovbrynes st
Ivar Madsen | ved Bagsværd fra tiden efter krigen, og
Der kører mdk9.2 | frem til motorvejbyggeriet blev påbegyndt

---

Den Sun, 15 Feb 2004 14:16:01 +0100 skrev Ivar Madsen:
>Kent Friis skrev i -dk.edb.system.unix:
>
>>>> Hele ideen i SSH er netop at man sikkert skal kunne logge ind fra andre
>>>> maskiner.
>>>Ja, og der har aldrig været nogen sikkerhedsbug i SSH?
>> Jo, men færre end i fx httpd.
>
>Et kendt ulappet hul er nok.
>
>> Og uanset at der måske er en sikkerhedshul, så er det (incl. risiko *
>> omkostninger hvis maskinen bliver overtaget) stadig billigere end
>> benzin.
>
>Ja, men kan du suplere sikkerheden i SSH med en firewall (i maskinen selv,
>eller eksternt) som kun tillader en IP at få adgang, så har du forøget
>sikkerheden betydeligt, og flere gange mere, end ved ikke at have tilladt root
>login.

Det forudsætter at man ved på forhånd hvilken IP man er på næste gang.

Mvh
Kent
--
Help test this great MMORPG game - http://www.eternal-lands.com/

---

Kent Friis skrev i -dk.edb.system.unix:

>>Ja, men kan du suplere sikkerheden i SSH med en firewall (i maskinen selv,
>>eller eksternt) som kun tillader en IP at få adgang, så har du forøget
>>sikkerheden betydeligt, og flere gange mere, end ved ikke at have tilladt
>>root login.
> Det forudsætter at man ved på forhånd hvilken IP man er på næste gang.

Det er klart, dur kun hvis du har et foruddefineret antal IP'er man skal have
adgang fra.

--
Med venlig hilsen | Jeg søger et foto / realistisk maleri over
| omgivelserne ved og lige syd for skovbrynes st
Ivar Madsen | ved Bagsværd fra tiden efter krigen, og
Der kører mdk9.2 | frem til motorvejbyggeriet blev påbegyndt

---

Joe wrote:
> Har lige installeret den seneste release af freebsd på min gamle maskine
> og vil bruge den som server. Vil dog helst administrereden den via SSH,
> så jeg ikke behøver at have skærm, keyb. etc sluttet til. Jeg har
> installeret openSSH og når jeg benytter 'Putty'
> (http://www.chiark.greenend.org.uk/~sgtatham/putty/)ser den også ud til
> at jeg kan logge på....den spørger i hvert fald om username/password,
> men jeg for bare 'access denied'.
>
> Jeg har prøvet både med root og en alm brugerkonto, hvilket giver samme
> resultat.
>
> Jeg forestiller mig det kunne have noget at gøre med at mine brugere
> skal have ret til at køre SSH, men hvordan giver jeg dem ret til det,
> eller er det et helt andet problem?
>
> VH Joe

Update:

Min server skriver dette i shell'en (på serveren) når jeg forsøger at
logge ind via putty (på min anden maskine):

server inetd[478]: ssh/tcp: bind: address already in use


????????

Joe

---

Joe wrote:
> Joe wrote:
>
>> Har lige installeret den seneste release af freebsd på min gamle
>> maskine og vil bruge den som server. Vil dog helst administrereden den
>> via SSH, så jeg ikke behøver at have skærm, keyb. etc sluttet til. Jeg
>> har installeret openSSH og når jeg benytter 'Putty'
>> (http://www.chiark.greenend.org.uk/~sgtatham/putty/)ser den også ud
>> til at jeg kan logge på....den spørger i hvert fald om
>> username/password, men jeg for bare 'access denied'.
>>
>> Jeg har prøvet både med root og en alm brugerkonto, hvilket giver
>> samme resultat.
>>
>> Jeg forestiller mig det kunne have noget at gøre med at mine brugere
>> skal have ret til at køre SSH, men hvordan giver jeg dem ret til det,
>> eller er det et helt andet problem?
>>
>> VH Joe
>
>
> Update:
>
> Min server skriver dette i shell'en (på serveren) når jeg forsøger at
> logge ind via putty (på min anden maskine):
>
> server inetd[478]: ssh/tcp: bind: address already in use
>
>
> ????????

Du skal bestemme dig for hvem der skal køre din sshd: den selv eller
inetd. Hvilket program lytter på port 22 (netstat -antp)?

Stop f.eks. inetd og prøv at logge ind igen.

Men har du i det hele taget set dig på maskinen? F.eks. kigget i de
sikkert ganske udemærkede logfiler der må være på sådan en BSD-boks?

--
Mvh. / Best regards,
Steen Suder      <http://www.suder.dk/>
ICQ UIN         4133803

---

In article <40296db7$0$89813$bc7fd3c@news.sonofon.dk>,
Steen Suder, privat wrote:
>
> Du skal bestemme dig for hvem der skal køre din sshd: den selv eller
> inetd. Hvilket program lytter på port 22 (netstat -antp)?

-antp er som regel en daarlig ting paa en *BSD maskine. Du kommer
laengere med noget i stil med -anfinet

--
j.

---

Jesper Louis Andersen wrote:
> In article <40296db7$0$89813$bc7fd3c@news.sonofon.dk>,
> Steen Suder, privat wrote:
>
>>Du skal bestemme dig for hvem der skal køre din sshd: den selv eller
>>inetd. Hvilket program lytter på port 22 (netstat -antp)?
>
>
> -antp er som regel en daarlig ting paa en *BSD maskine. Du kommer
> laengere med noget i stil med -anfinet

Hvad ved en Linuxbruger?

--
Mvh. / Best regards,
Steen Suder      <http://www.suder.dk/>
ICQ UIN         4133803

---

---

Michael Knudsen <ether@cs.auc.dk> writes:

>Uden kendskab til koersel af sshd paa FreeBSD: Noget lytter paa 22/tcp i
>forvejen. Brug fstat eller noget tilsvarende til at finde ud af, hvad
>der lytter. Umiddelbart vil jeg mene, at sshd _ikke_ skal koeres fra
>inetd.

>Noget er helt galt i dit setup. Ryd helt op, og start forfra.

Hvorfor ikke debugge det med lsof i stedet?

Mvh.
   Klaus.

---

---

Michael Knudsen <ether@cs.auc.dk> writes:

>> Hvorfor ikke debugge det med lsof i stedet?

>1) Det lyder som om, han ikke aner, hvad han har lavet. Saa er det nemmere
>at rydde helt op. I hvert fald for mig at raade ham.

Oh jo, men det bliver man jo ikke klogere af. "Min /tmp er
løbet fuld" - "Reinstaller hele maskinen". Nej, vel?

>2) lsof er vist noget linux-noget. Det findes i hvert fald ikke i base i
>mine installationer af OpenBSD, og jeg antog, at det heller ikke goer paa
>de andre.

Det er et generisk værktøj fra Purdue University, der virker
på praktisk talt alt. Det er også ganske uundværligt, hvis
man roder meget med netsager.

>3) ``fstat eller noget tilsvarende''

Det er en kende mere besværligt.

Mvh.
   Klaus.

---