Informatik

Hallo!

Ich habe eine Frage bzgl. SSH und Mac OS X Leopard.
Bei 10.4 Tiger war es ja so, dass die Zugriffs-Einstellungen für einen
SSH-Server ja in der /etc/sshd config vorgenommen wurden, also
UserAllow, Deny, wer sich einloggen darf, welches Auth-Verfahren usw.

Jetzt, bei 10.5 Leopard, kann man unter Systemeinstellungen/Sharing dort
bei SSH direkt einstellen, welche User rein dürfen, grafisch.

Welche Einstellung hat denn jetzt Priorität? Die /etc/sshd config wird
ja hoffentlich nicht ignoriert, oder?

Hab hier nämlich im Firewall-Log sowas stehen:

Mar 8 16:59:15 Lasse-Kolb-home Firewall[47]: Allow sshd-keygen-wrapper
connecting from 61.14.13.189:44032 uid = 0 proto=6

Was das heißt weiß ich nicht :-(

Gruß,
Lasse





--
PGP: 0xFB8AC73D (RSA) · 0xBCF7BF1B (DSS/D-H)
Mobil: +49 (0)170/9020444 · Fax: +49 (0)1212/511927288
http://www.lassekolb.info · http://www.rechenkraft.net
ICQ: 5507446

Lasse J. Kolb schrieb in
> Bei 10.4 Tiger war es ja so, dass die Zugriffs-Einstellungen für einen
> SSH-Server ja in der /etc/sshd config vorgenommen wurden, also
> UserAllow, Deny, wer sich einloggen darf, welches Auth-Verfahren usw.

Man konnte da auch rumfummeln, stimmt.

> Jetzt, bei 10.5 Leopard, kann man unter Systemeinstellungen/Sharing
> dort bei SSH direkt einstellen, welche User rein dürfen, grafisch.

Da Apple mit 10.5 an deutlich mehr Stellen auf die DirectoryServices(8)
als zentrale Datenquelle setzt, kommt das eben auch da zum Tragen.

> Welche Einstellung hat denn jetzt Priorität? Die /etc/sshd config wird
> ja hoffentlich nicht ignoriert, oder?

Nö, die wird schon auch ausgewertet. Was im Zweifel Priorität hat, mußt
Du aber selbst ausprobieren. Nur so viel: Wenn Du unter "Sharing"
"Entfernte Anmeldung" (also SSH) einschaltest und "Zugriff erlauben für
alle Benutzer" aktivierst, dann dürfen eben auch alle, falls nicht eine
fehlende Login-Shell bzw. sshd settings (bspw. PermitRootLogin) dagegen
stehen. Der sshd kriegt von diesem Modus was mit durch eine im System
fehlende Gruppe "com.apple.access ssh":

bash-3.2# dscl . read /Groups/com.apple.access ssh
<dscl cmd> DS Error: -14136 (eDSRecordNotFound)

Werden dagegen nur einzelne Nutzer aktiviert, so existiert diese Gruppe
und es kommen da die entsprechenden Mitglieder rein:

bash-3.2# dscl . read /Groups/com.apple.access ssh
AppleMetaNodeLocation: /Local/Default
GeneratedUID: 0151D4E1-5AA1-43A6-AEC5-71944660A4DF
GroupMembers: DC9381D7-24DA-4EA6-BFE3-E8BE0697B989 4B0D3362-5ADF-4DF7-AEC6-4A7E813C41D3
GroupMembership: tk magges
PrimaryGroupID: 108
RealName:
Remote Login Group
RecordName: com.apple.access ssh
RecordType: dsRecTypeStandard:Groups

Das Ganze geschieht halt hinter der Bühne und entspricht auf anderen
Plattformen analog dem Pflegen einer Gruppe und Nicht-/Setzen von
AllowGroups in der sshd config.

> Hab hier nämlich im Firewall-Log sowas stehen:
>
> Mar 8 16:59:15 Lasse-Kolb-home Firewall[47]: Allow sshd-keygen-wrapper
> connecting from 61.14.13.189:44032 uid = 0 proto=6
>
> Was das heißt weiß ich nicht :-(

Naja, das übliche. Deine Kiste ist vom Internet per SSH auf Port 22
erreichbar und jetzt schlagen halt da die üblichen automatisierten
Einbruch-Versuche auf (vermutlich im Minutentakt [1]). Dagegen hilft es,
den von außen erreichbaren Port von 22 auf bspw. 20022 zu heben (macht
nichts sicherer nur sind die kleinen Schwachstelle-suchenden-Bots meist
fix auf Port 22 geeicht)

Gruss,

Thomas

[1] Einfach mal nachschauen, mit welchen Account-Namen da versucht wird,
Einlaß zu bekommen:

grep "Failed password" /var/log/secure.log