Re: Zugriff auf den Rechner von außen

To: debian-user-german@lists.debian.org
Subject: Re: Zugriff auf den Rechner von außen
From: Volker Wysk <pf3@volker-wysk.de>
Date: Wed, 19 Mar 2014 20:40:46 +0100
Message-id: <[🔎] 8115568.Va1E1Sbq20@debian>
In-reply-to: <[🔎] 2515065.1Fyno9DsB7@fuchsia>
References: <[🔎] 10187891.x6nZZ5z682@debian> <[🔎] 10654367.liI8CjJLIx@debian> <[🔎] 2515065.1Fyno9DsB7@fuchsia>

Am Mittwoch, 19. März 2014, 19:31:30 schrieb Michael Schuerig:
> > > ssh -v benutzen, dann siehts du mehr, mit -vv noch mehr.
> > 
> > Da kommt:
> > 
> > ~ % ssh -v 85.179.114.16
> > [...]

> Du willst dich als root auf dem Server anmelden? Wirklich? Das geht nur,
> wenn es auch erlaubt ist, siehe in /etc/ssh/sshd_config PermitRootLogin
> und man sshd_config.

Nein, nicht wirklich. Aber "ssh -v thomas@85.179.114.16" liefert das gleiche 
Ergebnis:

 /etc % ssh -vv thomas@78.48.253.210
OpenSSH_6.5, OpenSSL 1.0.1f 6 Jan 2014
debug1: Reading configuration data /etc/ssh/ssh_config
debug1: /etc/ssh/ssh_config line 19: Applying options for *
debug2: ssh_connect: needpriv 0
debug1: Connecting to 78.48.253.210 [78.48.253.210] port 22.
debug1: Connection established.
debug1: permanently_set_uid: 0/0
debug1: identity file /root/.ssh/id_rsa type -1
debug1: identity file /root/.ssh/id_rsa-cert type -1
debug1: identity file /root/.ssh/id_dsa type -1
debug1: identity file /root/.ssh/id_dsa-cert type -1
debug1: identity file /root/.ssh/id_ecdsa type -1
debug1: identity file /root/.ssh/id_ecdsa-cert type -1
debug1: identity file /root/.ssh/id_ed25519 type -1
debug1: identity file /root/.ssh/id_ed25519-cert type -1
debug1: Enabling compatibility mode for protocol 2.0
debug1: Local version string SSH-2.0-OpenSSH_6.5p1 Debian-6
ssh_exchange_identification: Connection closed by remote host

> Wenn du wirklich root-Zugang benötigst, dann solltest du einschränken,
> was root über ssh darf. Ich bin hier selbst erst vor 4 Wochen auf ssh
> forced commands aufmerksam gemacht worden. Siehe man authorized_keys,
> darin suchen nach "command=". Mit diesem Mechanismus kannst du
> erzwingen, dass bei einem SSH-Login per Key nur ein vordefiniert Befehl
> ausgeführt wird. Der eigentlich gewünschte Befehl wird aber in einer
> Umgebungsvariablen durchgereicht. Viele Prüfmöglichkeiten hat man auf
> diese Weise nicht, aber immerhin kann man den Befehl gegen einen
> Regulären Ausdruck testen.
> 
> Bei mir sieht das etwa so aus:
> 
> # /root/.ssh/authorized_keys
> command="/usr/local/lib/backup/backup_rsync" ssh-rsa ...
> michael@schuerig.de
> 
> # /usr/local/lib/backup/backup_rsync
> #! /bin/sh
> if echo $SSH_ORIGINAL_COMMAND | head -1 \
> 
>     | grep -qs '^rsync --server .* \. /backup$' ; then
> 
>   $SSH_ORIGINAL_COMMAND
> else
>   /usr/bin/logger -t backup -p user.err -s \
>     "Illegal command: $SSH_ORIGINAL_COMMAND"
>   exit 1
> fi
> 
> 
> Je nach Dateisystem (btrfs, lvm) kannst du diesen Mechanismus auch dazu
> nutzen, vor/nach dem eigentlichen Befehl Snapshots deiner Daten
> anzulegen.
> 
> Michael


Grüße,
Volker

Reply to:

Follow-Ups:
- Re: Zugriff auf den Rechner von außen
  - From: Michael Schuerig <michael.lists@schuerig.de>

References:
- Zugriff auf den Rechner von außen
  - From: Volker Wysk <pf3@volker-wysk.de>
- Re: Zugriff auf den Rechner von außen
  - From: Volker Wysk <pf3@volker-wysk.de>
- Re: Zugriff auf den Rechner von außen
  - From: Michael Schuerig <michael.lists@schuerig.de>

Prev by Date: Re: Zugriff auf den Rechner von außen
Next by Date: Re: Zugriff auf den Rechner von außen
Previous by thread: Re: Zugriff auf den Rechner von außen
Next by thread: Re: Zugriff auf den Rechner von außen
Index(es):
- Date
- Thread