Tom: LINUX SSHD kein root-login mehr möglich

Hello,

ich verstehs nicht.

Jetzt wollte ich nochmal Daten rüberschieben auf den Linux-Host und nun geht der Root-Login am SSH-Daemon nicht mehr. Gestern hat er noch funktioniert.

Anmeldung als User geht.

Ich habe an der Konfiguration des sshd nichts geändert und in der /etc/ssh/sshd_config steht auch

PermitRootLogin yes

drin.

Kann das sein, dass diese config auf dem Debian 6.0 gar nicht mehr relevant ist für den sshd?

Ich benutze FileZilla auf dem Windows-Client.
Gestern habe ich mich mit dem Notebook (Linux-Host) nur per WLAN mit dem Netzwerk verbunden. Irgendwann in der Nacht beim Datenübertragen ist dann die Fritzbox abgeschmiert, sodass ich das heute nochmals per LAN wiederholen wollte. Da hat die Fritz-Dose dann nichts mehr zu sagen...

Meine Google-Fähigkeiten sind mal wieder am Ende. Eine Lösung konnte ich bisher nicht finden.

Die IP des sshd ist übrigens nicht festgelegt, sondern automatisch nutzt die des Hosts. Die habe ich aber mit ifconfig nachgeschaut und in Filezilla auch angepasst. Sonst könnte sich ein User ja auch nicht anmelden. Neuen RSA-Key hat der Client auch gezogen. Auch über WLAN funktioniert nur noch das User-Login, aber nicht mehr das Root-Login des SSH-Clients.

Wer hat Ideen für mich?

Liebe Grüße aus dem schönen Oberharz

Tom vom Berg

--
 ☻_
/▌
/ \ Nur selber lernen macht schlau
http://bergpost.annerschbarrich.de
  1. Hello,

    ich verstehs nicht.

    Jetzt wollte ich nochmal Daten rüberschieben auf den Linux-Host und nun geht der Root-Login am SSH-Daemon nicht mehr. Gestern hat er noch funktioniert.

    Anmeldung als User geht.

    Ich habe an der Konfiguration des sshd nichts geändert und in der /etc/ssh/sshd_config steht auch

    PermitRootLogin yes

    drin.

    Kann das sein, dass diese config auf dem Debian 6.0 gar nicht mehr relevant ist für den sshd?

    Ich benutze FileZilla auf dem Windows-Client.
    Gestern habe ich mich mit dem Notebook (Linux-Host) nur per WLAN mit dem Netzwerk verbunden. Irgendwann in der Nacht beim Datenübertragen ist dann die Fritzbox abgeschmiert, sodass ich das heute nochmals per LAN wiederholen wollte. Da hat die Fritz-Dose dann nichts mehr zu sagen...

    Ist die Fritzbox abgeschmiert oder hat sie rebootet, weil Du ev. einen Stromausfall in der Nacht oder eine kurze Spannungsschwankung gehabt hast? Wenn die Debian-Kiste nicht auf einer USV hängt, könnte sie auch abgeschmiert sein (gib in der Konsole "uptime" ein - stimmt die Ausgabe mit der Startzeit des Systems überein?)

    Beim Reboot werden dann natürlich alle Dienste neu gestartet und wenn Du an der Konfig gedoktort hast, könnten die Änderungen erst mit dem Reboot wirksam werden (alles schon da gewesen)

    Liegen die IPs des WLANs und LANs im gleichen Subnet?
    Was sagen die Logs, warum darfst Du Dich als root nicht einloggen (finde ich übrigens unnötig...)

    Die IP des sshd ist übrigens nicht festgelegt, sondern automatisch nutzt die des Hosts. Die habe ich aber mit ifconfig nachgeschaut und in Filezilla auch angepasst. Sonst könnte sich ein User ja auch nicht anmelden. Neuen RSA-Key hat der Client auch gezogen. Auch über WLAN funktioniert nur noch das User-Login, aber nicht mehr das Root-Login des SSH-Clients.

    Demnach bezieht die Debian-Box die IP per DHCP von der Fritzbox?

    1. Hello,

      Ist die Fritzbox abgeschmiert oder hat sie rebootet, weil Du ev. einen Stromausfall in der Nacht oder eine kurze Spannungsschwankung gehabt hast? Wenn die Debian-Kiste nicht auf einer USV hängt, könnte sie auch abgeschmiert sein (gib in der Konsole "uptime" ein - stimmt die Ausgabe mit der Startzeit des Systems überein?)

      Das könnte sein, dass wir einen sehr kurzen Stromausfall hatten. Haben wir hier oben öfter, von wenigen Halbwellen bis zu 10 Minuten...

      Bei wenigen Halbwellen stürzt die Fritz-Box zwar ab, es reicht aber nicht für den Bootstrap-C und Reeboot. Sie hing heute morgen irgendwie in der Zwischenwelt.

      Der PC lief noch, hing aber auch. Das Notebook hat ja Akkus und war deshalb unbeieindruckt von der Angelegenheit...

      Ja, ich habe DHCP eingeschaltet und das Notebook benutzt das auch noch. Das Netz von LAN und WLAN ist (leider) dasselbe. Das kann die 7270 nicht mehr trennen. Habe ich bei AVM schon mehrfach drüber genölt. So eine teuere Box und kann nicht mal die Netze trennen :-(

      Im Prinzip hast Du Recht. Man muss nicht unbedingt per root und sftp arbeiten. Aber in diesem Falle war es eben bequem.

      Ich allerdings trotzdem rausfinden, warum es heute nicht mehr geht. Die einzige Änderung war die in der .bashrc https://forum.selfhtml.org/?t=205626&m=1394654

      Liebe Grüße aus dem schönen Oberharz

      Tom vom Berg

      --
       ☻_
      /▌
      / \ Nur selber lernen macht schlau
      http://bergpost.annerschbarrich.de
      1. Hallo Tom,

        um das Verhalten des SSH-Daemon beim Login besser beobachten zu können, ist es hilfreich einen 2. SSH-Zugang im Debug-Modus zu starten.
        Melde Dich also über eine Konsole an deinem Server per "normalem" SSH-Zugang an, und starte als root einen 2. SSH-Deamon im Debug-Modus:
        /usr/sbin/sshd -p 1022 -D -d -e

        Diesen 2. SSH-Zugang kannst Du über eine 2. Konsole und den Port 1022 nutzen:
        ssh -p 1022 root@example.org
        In der 1. Konsole, in der Du den 2. SSH-Daemon gestartet hast, siehst Du jetzt detailliert das Verhalten des Zugangs und erkennst evtl. auch, woran es liegt, dass der root-Zugang fehlschlägt.

        Ich hoffe ich konnte Dir ein wenig helfen, und Du findest auf diesem Weg eine Lösung zu deinem Problem.

        Herzliche Grüße aus Ellhofen
        Helmut Weber

        --
        -------------------------------------------
        Mode ist eine Variable, Stil eine Konstante
        1. Hello Helmut,

          um das Verhalten des SSH-Daemon beim Login besser beobachten zu können, ist es hilfreich einen 2. SSH-Zugang im Debug-Modus zu starten.
          Melde Dich also über eine Konsole an deinem Server per "normalem" SSH-Zugang an, und starte als root einen 2. SSH-Deamon im Debug-Modus:
          /usr/sbin/sshd -p 1022 -D -d -e

          Diesen 2. SSH-Zugang kannst Du über eine 2. Konsole und den Port 1022 nutzen:
          ssh -p 1022 root@example.org
          In der 1. Konsole, in der Du den 2. SSH-Daemon gestartet hast, siehst Du jetzt detailliert das Verhalten des Zugangs und erkennst evtl. auch, woran es liegt, dass der root-Zugang fehlschlägt.

          Danke für die Tipps.
          Aber so kompliziert war es gar nicht nötig :-(

          Ich schrieb ja sogar noch, dass ich mir nicht vorstellen kann, woran es liegt. Ich hätte doch nur die kleine Änderung in der .bash von root vorgenommen
          https://forum.selfhtml.org/?t=205626&m=1394654

          trap 'echo -ne "\e[0m"' DEBUG

          führt dazu, dass der sftp-Deamon die Anfrage des Client nicht mehr bis zum Ende durchführt.

          Das muss ich also erstmal wieder herausnehmen, bis ich weiß, welche Auswirkugen es noch so hat.

          Liebe Grüße aus dem schönen Oberharz

          Tom vom Berg

          --
           ☻_
          /▌
          / \ Nur selber lernen macht schlau
          http://bergpost.annerschbarrich.de
          1. Hallo Tom,

            Ich schrieb ja sogar noch, dass ich mir nicht vorstellen kann, woran es liegt. Ich hätte doch nur die kleine Änderung in der .bash von root vorgenommen
            https://forum.selfhtml.org/?t=205626&m=1394654

            trap 'echo -ne "\e[0m"' DEBUG

            führt dazu, dass der sftp-Deamon die Anfrage des Client nicht mehr bis zum Ende durchführt.

            Du koenntest in der bashrc ja auch testen, ob es sich um eine interaktive Shell handelt:

            case "$-" in  
               *i*) trap 'echo -ne "\e[0m"' DEBUG ;;  
               *) ;;  
            esac
            

            Viele Gruesse,
            Christian

            1. Hallo Christian,

              Ich schrieb ja sogar noch, dass ich mir nicht vorstellen kann, woran es liegt. Ich hätte doch nur die kleine Änderung in der .bash von root vorgenommen
              https://forum.selfhtml.org/?t=205626&m=1394654

              trap 'echo -ne "\e[0m"' DEBUG

              führt dazu, dass der sftp-Deamon die Anfrage des Client nicht mehr bis zum Ende durchführt.

              Du koenntest in der bashrc ja auch testen, ob es sich um eine interaktive Shell handelt:

              case "$-" in

              i) trap 'echo -ne "\e[0m"' DEBUG ;;
                 *) ;;
              esac

                
              wie es auch in der Beispiel-bashrc im verlinkten Artikel direkt darunter steht, ich zitiere:  
                
              <zitat>  
                  # Test for an interactive shell.  There is no need to set anything  
                  # past this point for scp and rcp, and it's important to refrain from  
                  # outputting anything in those cases.  
                
                  if [[ $- != \*i\* ]] ; then  
                      # Shell is non-interactive.  Be done now!  
                      return  
                  fi  
              </zitat>  
                
                
              Freundliche Grüße  
                
              Vinzenz
              
              1. Hello Christian, Vinzenz,

                Ich schrieb ja sogar noch, dass ich mir nicht vorstellen kann, woran es liegt. Ich hätte doch nur die kleine Änderung in der .bash von root vorgenommen
                https://forum.selfhtml.org/?t=205626&m=1394654

                trap 'echo -ne "\e[0m"' DEBUG

                führt dazu, dass der sftp-Deamon die Anfrage des Client nicht mehr bis zum Ende durchführt.

                Du koenntest in der bashrc ja auch testen, ob es sich um eine interaktive Shell handelt:

                case "$-" in

                i) trap 'echo -ne "\e[0m"' DEBUG ;;
                   *) ;;
                esac

                
                >   
                > wie es auch in der Beispiel-bashrc im verlinkten Artikel direkt darunter steht, ich zitiere:  
                >   
                > <zitat>  
                >     # Test for an interactive shell.  There is no need to set anything  
                >     # past this point for scp and rcp, and it's important to refrain from  
                >     # outputting anything in those cases.  
                >   
                >     if [[ $- != \*i\* ]] ; then  
                >         # Shell is non-interactive.  Be done now!  
                >         return  
                >     fi  
                > </zitat>  
                  
                Ja nee is klar ;-)  
                  
                Habe ich auch so auf dem Zettel. Nur das war mir "für mal eben schnell" zuviel Stoff auf einmal. Da muss ich erst meine Shellscript-Kenntnisse wieder auffrischen. Ich will ja wissen, was ich tue...  
                  
                Aber trotzdem herzlichen Dank, dass Ihr mich nicht hängen lassen habt :-)  
                  
                  
                  
                  
                  
                Liebe Grüße aus dem schönen Oberharz  
                  
                  
                Tom vom Berg  
                ![](http://selfhtml.bitworks.de/Virencheck.gif)  
                  
                
                -- 
                 ☻\_  
                /▌  
                / \ Nur selber lernen macht schlau  
                <http://bergpost.annerschbarrich.de>