Не пускает по ssh под root linux

Не пускает root-а через ssh! help!

Помогите решить такую проблему:

Зашел через putty на linux по ssh, но при вводе рутового пароля говорит что доступ закрыт. В поисках решения узнал, что рутом заходить нельзя ибо ето снимает сразу несколько слоев защиты, а для етого создается средствами sudo пользователь с правами рута. Так вот, создал юзера, добавил его в конфиг sudoerep как уполномоченного юзера в строку

# User privilege specification root admin ALL=(ALL) ALL

но ето ничего не дало. Потом создал ключи на клиентской тачке и скинул их на сервер в папку authorized_keys, тоже безрезультатно. Что я нетак сделал? Поделитесь опытом пожалуйста

Re: Не пускает root-а через ssh! help!

что-то у теюя в голове каша какая-то. если кратенько, то :
useradd vasya ; usermod -G wheel vasya ; passwd vasya
заходишь по ssh юзером vasya, потом делаешь su
а насчет sudo и ключей — это совсем другая песня.

Re: Не пускает root-а через ssh! help!

в /etc/ssh/sshd_config
раскомментировать
PermitRootLogin yes
перезапусить sshd

Re: Не пускает root-а через ssh! help!

ну-ну. первому anonymous-у — не советую так делать.

Re: Не пускает root-а через ssh! help!

сделал через su, пишет su toor su: incorrect password

Re: Не пускает root-а через ssh! help!

Почему?
Пусть человек решает подходит это для него, или нет, я просто поделился опытом по просьбе автора, предложил быстрое решение вопроса.

Re: Не пускает root-а через ssh! help!

уважаемый anonymus, я сделал так как вы сказали, т.е раскомментировать PermitRootLogin yes и перезапусить sshd, но результата никакого, хотелось бы узнать еще какието варианты решения

Re: Не пускает root-а через ssh! help!

Ну, у вас какой-то тяжелый случай 🙂
Сначала добейтесь, чтобы su работало, тогда может и удаленный вход заработает.
С паролями у вас все ок?
под пользователем удаленно заходите?
с консоли рутом заходите?
Что значит «никакого результата», а в логах (/var/log/messages) есль что-нить интересное?

Источник

ssh root login

как при конекте по ssh сразу обладать рутом ? что где поковырять ? и не вводить постоянно sudo -s )))))))))))))))

Очевидно, входить не как пользователь, а как root.

«PermitRootLogin yes» в /etc/ssh/sshd_config

и логинится под рутом

Почитать man sshd_config на предмет опций, в которые входит логин суперпользователя. Но раз ты о таком спрашиваешь, то тебе, скорее всего, лучше не трогать ничего, иначе тебя выломают как ребёнка.

Нормальные адекватные люди админы (даже локалхоста) никогда не разрешают удалённый логин рута.

логиниться рутом
если не получается: админ хоста умней тебя и понимает, что это ппц что за дыра
если админ той машинки ты, то ковыряй конфиг sshd
а вообще — никогда так не делай!

И да, вот за это

Не принимает пароль ?

Все закрываю тему, наверно загнался, логичнее не заходить под рутом.

Правильно умные люди советуют, не надо логиниться под root!

Можно настроить аутентификацию по ключу для любого пользователя, да и безопаснее чем по паролю.

я бы банил за «я бы банил»

Смотри не пострадай от рекурсивности.

ну ты понел что теперь тебя можно брутить на рута, да?

> если не получается: админ хоста умней тебя и понимает, что это ппц что за дыра

Не то, чтобы это была вот прямо дыра. Просто на один пароль меньше подбирать, чем если поломать пользователя. А уж если пользователю sudo su доступен, то, и вовсе, без разницы. Основное удобство в нехождении под root — это если админов более одного, можно понять, кто что где делал, если разбор полётов нужен. А дыра — это возможность перебора паролей по ssh, как таковая. Всего-то надо recent задействовать в iptables, это если нельзя доступ по ip ограничить.

ви мне таки угрожаити?:)

sudo — дыра!
потому не место ему на нормальной машине
su — от него профита ноль
после логина юзера весь трафик шифруется
если кому хоца разбираться в этом — пусть — тут ни ключи ни запреты тогда не спасут

Категоричность это хорошо. Всегда набираете /bin/su — ?

после логина юзера весь трафик шифруется

Только после? А во время логина?

во время логина (без ключа) трафик прямым текстом идёт
если это не изменили сейчас

а мы выдвигали тебя в модеры =) сам не захотел =)

fail2ban тоже помогает.

Вот же, блин, люди пошли: одним подавай автологин в gdm на рута, другим — рута по ssh.

Эдак с вами, господа бубунтофилы, скоро в линухах вирусни будет не меньше, чем в мастдае.

Просто на один пароль меньше подбирать, чем если поломать пользователя.

Для начала еще логин угадать надо 🙂

А уж если пользователю sudo su доступен, то, и вовсе, без разницы.

Хватит sudo bash с тем же паролем, что у пользователя, а не рута. Поэтому, как всегда, повторю: криво настроенное sudo — отличная дырища в системе. Лучше его вообще не ставить. Физически. Хватит su.

Объяснили человеку, как рутовый логин разрешить — дальше само. Гггг.

// Ещё надо двадцать второй порт выставить, конечно.

а как его можно криво настроить? дать всем выполнять все?
у меня например все кто в группе WHEEL могут выполнять любые команды от рута без пароля. но кого-попало в эту группу я не включаю =)

а как его можно криво настроить?

Например, прописать кому-нибудь ALL=(ALL) NOPASSWD: ALL, или прописать ALL=(ALL) ALL, не указав, что в качестве пароля должен использоваться пароль рута, а не пользователя.

И вообще, по-человечески, sudo нафиг не нужен: если какой-то программкой (например, mount) должны пользоваться непривилегированные пользователи, достаточно или найти ей замену (fuse и т.п.), или поставить suid-бит.

у меня например все кто в группе WHEEL могут выполнять любые команды от рута без пароля.

• Настроить аутентификацию по ключам
• Научиться использовать screen или tmux
• Открыть необходимые «вкладки» в screen’е, например, r00t, sh, log и т.д.
• Осилить .ssh/config
• Для подключения к хосту использовать ssh -t pbx ‘screen -rd’
• Опционально настроить

Как правильно заметили выше, рут логин это не такая уж большая дыра при правильной настройке фильтрации и pwgen -s 12 1. Это скорее плохой тон )

Источник

Не пускает по ssh под root linux

По умолчанию в Linux Debian для суперпользователя root подключение к серверу по SSH не разрешен.

Если попробовать авторизоваться рутом, то, скорее всего, отобразится сообщение, что доступ не разрешен:

Запрет подключения к серверу по SSH пользователю root обусловлен требованием безопасности, но иногда все-таки нужно поработать именно рутом, для этого можно ВРЕМЕННО разрешить ему подключаться по SSH.

Это можно сделать следующим образом:

1. Создать пользователю root пароль (если нет) с помощью следующей команды:

Нажать Enter и ввести пароль 2 раза (консоль об этом напишет).

2.Открыть с помощью любого текстового редактора файл с настройками SSH, например, с помощью редактора VIM (VI):

И для параметра PermitRootLogin изменить значение с no на yes:

Иногда параметр PermitRootLogin закомментирован, соответственно, нужно его раскоментировать.

Сохранить изменения в файле.

В некоторых случаях параметр PermitRootLogin может иметь значение without-password или prohibit-password — это значит, что root разрешено подключаться средствами GSSAPI (не парольной аутентификации), например, с помощью смарт-карты или отпечатка пальца (это, конечно же, редкость).

3. Перезапустить ssh server командой:

systemctl restart ssh || systemctl restart sshd

(если не помогает, перезапустить сервер полностью 🙂

После этого пользователь root сможет подключиться по SSH.

Комментарии ( 0 )

Оставьте свой комментарий

1. Опубликовать комментарий как Гость.

Интересные статьи:

C новым 2016-ым годом!

Всех авиационных специалистов поздравляем с новым 2016-ым годом! Желаем вам безопасных полетов, хорошей погоды и безотказной техники! Для вас открытка от Jeppesen — прикольная схема захода на посадку по GPS:

EFB. Циркуляр AC120-76A

Этот документ является одним из первых, написанных для Electronic Flight Bag (EFB). Авторство принадлежит FAA — Federal Aviation Administration (США). К сожалению на данный момент нет подобного документа не только в России, но и во многих других странах, в том числе в Европейских. Даже ИКАО в этом плане отстает от Америки.

Код зоны покрытия для Jepp View, eLink и Flite Deck

При обновлении программы Jepp View иногда может понадобиться код зоны покрытия навигационной БД (coverage code). В течение последних нескольких лет Jeppesen программирует и выдает своим клиентам такие серийные номера для программ при последующих обновлениях которых не нужно вводить coverage code — он уже не нужен, т.к. программа установки обновления автоматически его считывает в системе на.

Сбербанк онлайн — дырка в приложении для iPad

Многие клиенты сбербанка пользуются сервисом «Сбербанк онлайн» для управления своими финансами и платежами. У данного сервиса есть детище — приложение для iPad, имеющее похожее название — «Сбербанк ОнЛ@йн«. В принципе, приложение «Сбербанк ОнЛ@йн» не плохое и довольно удобное. По сравнению с доступом через сайт к сервису «Сбербанк онлайн» гораздо проще реализована авторизация — нужно ввести только собственный пароль. Из.

Как запретить Safari автоматически распаковывать архивы

По умолчанию браузер Safari после скачивания архива сразу его распаковывает, причем сам исходный архив при этом удаляет! С одной стороны это хорошо — браузер после скачивания проверяет архив на целостность: разархивация будет не удачной, если архив битый. Но, с другой стороны, это далеко не всегда нужно — иметь извлеченные файлы вместо самого архива. Safari считает себя на столько продвинутым браузером, что.

Cовершенствование методов сбора и анализа статистических данных по факторам риска

Межгосударственный авиационный комитет 16 ноября 2011 года, Бексаев Введение Необходимость сбора больших объёмов данных, связанных с безопасностью полётов, и обработки этих массивов в кратчайшие сроки всё больше диктует необходимость использования компьютерных технологий при передаче/приёме и обработке данных. В настоящее время всё чаще для сбора и анализа данных используются электронный документооборот, что.

Вирус в браузере Safari

Не смотря на то, что операционная система Apple — iOS не боится вирусов, некоторые наиболее активные злоумышленники все равно стараются и создают хитрых вредных зверьков (вирусы и прочие неприятные скрипты). И в некоторых редких случаях при посещении определенных сайтов (которые «для взрослых» или просто взломаны и заражены) даже на планшете iPad можно подхватить какую-нибудь бяку.

Источник