root bleibt bei verbindungsfehler eingeloggt

Re(4): root bleibt bei verbindungsfehler eingeloggt

sharky2 — Sat, 07 May 2005 08:07:38 GMT

ja wie schon gesagt, ich war mir nicht mehr sicher obs einen eigenen session key gibt...

Re(10): root bleibt bei verbindungsfehler eingeloggt

sharky2 — Sat, 07 May 2005 08:03:28 GMT

such amal in da man page vielleicht findest ja was... und bevorsts ausprobierst machst dir halt zuästzlich einen telnet zugang auf.. dann kannsts per telnet wieder zrückstellen falls es nicht gehn sollte

Re(3): root bleibt bei verbindungsfehler eingeloggt

mIstA — Fri, 06 May 2005 22:26:21 GMT

unter /etc/ssh/sshd_config die punkte...

Aso, klar. - Dachte es gäbe eine Eintellung 'timeout' und ich hätt sie übersehen.

sollte die session noch offen sein, müsste ein neuer client ja die sequenznummern wissen um die packete richtig einzufügen bzw,

Also die Sequenznummern bieten da net wirklich Sicherheit; zur Not probier ich alle durch - nicht passende werden eh schon vom TCP/IP Stack verworfen.

Allerdings müßte der Angreifer den Session-Key knacken oder erraten; kann er das ist die Sicherheit von SSH eh ziemlich passe.

Außerdem müßte er die IP Deines Clients komplett 'übernehmen', weil er i.A. ja auch die Antworten an diese empfangen will; wer das schafft könnte Deinen Client auch ohne vorherigen Abbruch aus seiner Verbindung aussperren.

Re(9): root bleibt bei verbindungsfehler eingeloggt

nico — Fri, 06 May 2005 21:19:58 GMT

nope und i trau mi momentan nimma

Re(8): root bleibt bei verbindungsfehler eingeloggt

Ingenico — Fri, 06 May 2005 19:26:28 GMT

des schlimmste war aba mal /etc/rc.d/init/network stopund dann
hab i mi gewundert wieso ich im putty nix mehr tippen kann

Alter Indianer-Trick!
Wennst einen Ast absägst, ned drauf sitzen

lg
Ingenico

Re(8): root bleibt bei verbindungsfehler eingeloggt

sharky2 — Fri, 06 May 2005 17:40:16 GMT

hast eigentlich einen passenden eintrag für den timeout in der man page von sshd_config gefunden?

Re(8): root bleibt bei verbindungsfehler eingeloggt

sharky2 — Fri, 06 May 2005 17:37:41 GMT

auch eine möglichkeit sich auszusperren

aber solangs dir nicht so geht:
"ich kann meinen rechner pingen, ich weiß aber nicht wo er ist"

den eigenen rechner in der wohnung zu verlieren ist auch eine leistung *gg*

nette sache übrigens mit dem keyboard und dem nicht vorhandenen monitor

Re(7): root bleibt bei verbindungsfehler eingeloggt

nico — Thu, 05 May 2005 19:46:50 GMT

wahaaaa es owned so..

hab kbrd gnommen..
blind eingloggt und config file aufgerufen (alles ohne monitor)
zeile 20 gewählt - zeile 20 gelöscht - cgf gespeichert und sshd gestartet
undgeht wieder

Re(7): root bleibt bei verbindungsfehler eingeloggt

nico — Thu, 05 May 2005 18:07:55 GMT

ja total

des schlimmste war aba mal /etc/rc.d/init/network stop
und dann hab i mi gewundert wieso ich im putty nix mehr tippen kann

Re(6): root bleibt bei verbindungsfehler eingeloggt

sharky2 — Thu, 05 May 2005 18:02:16 GMT

das kenn ich, aber so macht die netzwerktechnik doch richtig spass oder?

Re(5): root bleibt bei verbindungsfehler eingeloggt

nico — Thu, 05 May 2005 17:55:30 GMT

shit jetzt hab ich den sshd restartet, er kommt nimma hoch und jetzt kann ich moni kabel umstecken

Re(4): root bleibt bei verbindungsfehler eingeloggt

sharky2 — Thu, 05 May 2005 17:30:11 GMT

was mein heimnetz betrifft natürlich nicht..

für mich als netzwerktechniker ists aber insofern wichtig, da es bei einem unternehmen ja nicht so unproblematisch ist wenn so ein sicherheitsloch bestehen würde.

Re(4): root bleibt bei verbindungsfehler eingeloggt

sharky2 — Thu, 05 May 2005 17:26:57 GMT

schau mal in der man page nach... eventuell heißen die optionen bei deiner distri anders

Re(3): root bleibt bei verbindungsfehler eingeloggt

nico — Thu, 05 May 2005 07:51:42 GMT

unter /etc/ssh/sshd_config die punkte
ClientAliveInterval 15
ClientAliveCount 3

mag er bei mir nicht
Starting sshd:/etc/ssh/sshd_config: line 20: Bad configuration option: ClientAliveCount

Re(3): root bleibt bei verbindungsfehler eingeloggt

[DUCK]Butcher — Thu, 05 May 2005 07:45:41 GMT

außerdem betrifft sowieso nur mein heimnetz, übers internet ist der betroffene rechner sowieso nicht erreichbar

Dann brauchst dir ja absolut keine Gedanken machen

Re(2): root bleibt bei verbindungsfehler eingeloggt

sharky2 — Wed, 04 May 2005 20:50:29 GMT

also hab ichs doch richtig in erinnerung gehabt, zuerst asymmetrisch, dann symmetrisch, dann kanns mir ja egal sein...

außerdem betrifft sowieso nur mein heimnetz, übers internet ist der betroffene rechner sowieso nicht erreichbar

Re: root bleibt bei verbindungsfehler eingeloggt

[DUCK]Butcher — Wed, 04 May 2005 15:14:56 GMT

Sicherheitsrisiko entsteht dir keines, denn nach wie vor bräuchte der hijacker den schlüssel für die verbindung. (bei ssh wird über eine asymmetrisch verschlüsselte verbindung ein symmetrischer schlüssel ausgetauscht. anschließend wir nur mehr symmetrisch verschlüsselt)

Dies ist aber nach wie vor ein *extrem* schwieriges Unterfangen - egal ob die verbindung besteht oder nicht. Du brauchst dir also keine Sorgen zu machen.

Re(2): root bleibt bei verbindungsfehler eingeloggt

sharky2 — Tue, 03 May 2005 18:32:01 GMT

timeout - wie konkret, oder hab ich jetzt auf die schnelle einen Parameter
übersehen?

unter /etc/ssh/sshd_config die punkte
ClientAliveInterval 15
ClientAliveCount 3
setzen

dabei wird nach 15 sec inaktivität ein client-alive? packet gesendet.. wenns 3 mal nicht beantwortet wird, wird die session geschlossen

was die verbindung betrifft hab ich mir gedacht:
sollte die session noch offen sein, müsste ein neuer client ja die sequenznummern wissen um die packete richtig einzufügen bzw, da bin ich mir jetzt nicht ganz sicher wie das ssh macht, das "session passwort" falls nicht alles mit dem public key verschlüsselt wird.

was die "who" sache betrifft könntest du durchaus recht haben

Re: root bleibt bei verbindungsfehler eingeloggt

mIstA — Mon, 02 May 2005 02:46:18 GMT

kann jetzt zwar nicht mehr passieren da ich den timeout aktiviert habe aber meine frage:

timeout - wie konkret, oder hab ich jetzt auf die schnelle einen Parameter übersehen?

Auf jeden Fall hat diese Methode - vor allem bei instabiler Verbindung - auch einen entscheidenden Nachteil: Jeder in der damit beendeten Session laufende Prozess (z.B. ein längerer Compilerlauf) wird damit auch beendet.

1.) droht dadurch ein sicherheitsrisiko? - diese offen gelassene verbindung zu übernehmen dürfte ja nicht ganz so einfach sein, oder?

Soweit ich weiß - Nein! - Zumindest sollte es nicht wesentlich einfacher sein, als die Verbindung zu übernehmen, ohne daß die Client-Seite der Verbindung stirbt.

2.) wie werfe ich den benutzer aus dem system? - ssh bzw die zugehörige root-sheel killen hats ned wirklich gebracht

Die zugehörige root-shell zu killen sollte eigentlich reichen; der zugehörige sshd Prozess stirbt dann eh von selbst.

Dein überzähliger Eintrag bei der Abfrage mittels 'who' könnte daher kommen, daß durchs killen des sshd Prozesses dieser Benutzer nie 'korrekt' abgemeldet (Die Ausgabe von 'who' ist auch nix anderes als ein aufbereitetes Log-File; wenn dort das Abmelden nicht vermerkt wurde, scheint der Benutzer noch angemeldet) wurde.

Jedenfalls konnte ichs damit nachvollziehen: Wenn ich den sshd kille, während die Session noch aktiv ist, dann hab ich danach auch noch eine Schein-Anmeldung auf dem jeweiligen pts; wenn ich die entsprechende shell kille, tritt das Problem nicht auf.

Re(4): root bleibt bei verbindungsfehler eingeloggt

sharky2 — Fri, 29 Apr 2005 21:02:05 GMT

nana is ja nur mein heim rechner... da tut ein neustart nicht weh..

ich hab einfach alles gekillt was mit ssh bzw sshd zu tun hat

Re(3): root bleibt bei verbindungsfehler eingeloggt

Ingenico — Fri, 29 Apr 2005 18:48:23 GMT

ich hab einfach einen neustart gemacht, dann war das auch erledigt..

Meister! - das "tut man nicht"

Wenn du den sshd killst - hast du den Deamon gekillt.
Ich meinte, du sollst bloß die ssh-session killen, die bei deinem Verbindungs-Abbruch übrig blieb.

Re(2): root bleibt bei verbindungsfehler eingeloggt

sharky2 — Fri, 29 Apr 2005 18:12:46 GMT

ich hab einfach einen neustart gemacht, dann war das auch erledigt..

aber was ich mich erinnern kann wars laut pstree so:
sshd - bash - root

nachdem ich sshd komplett beendet hatte, war auch diese zeile laut pstree nicht mehr da.

allerdings war root laut "who" noch immer auf pts1 angemeldet.

Re: root bleibt bei verbindungsfehler eingeloggt

Ingenico — Fri, 29 Apr 2005 17:53:30 GMT

Hi sharky!

Es gibt ja keine "offen gelassene" Verbindung.
So wie du das bescheibts, blieb einfach ein shell-Prozess hängen, wo über das Pseudo-tty einfach keinen IO mehr erfogt.

Mach mal einen:
# ps -fu root

und ermittle aus der Prozessliste deine(n) Prozess(e).
Jene Prozesse die noch eine tty-Zuordnung haben, kommen dabei in Frage.
Naja - und killen kannst diese ja auch problemlos.
Wenn der "kill" ohne Option nichts hilft, sende ihm die "-9" - Option.

Gruß!
Ingenico

root bleibt bei verbindungsfehler eingeloggt

sharky2 — Fri, 29 Apr 2005 16:47:15 GMT

hallo leute!

ich hab mich heut per putty mit meinem root zugang per sshv2 auf meinen FC3 rechner eingeloggt. jetzt hat aber das wlan einen kurzeb verbindungsabbruch gehabt, wodurch putty die verbindung als beendet angesehen hat. mein benutzer (root) war aber weiterhin am system eingeloggt.

kann jetzt zwar nicht mehr passieren da ich den timeout aktiviert habe aber meine frage:

1.) droht dadurch ein sicherheitsrisiko? - diese offen gelassene verbindung zu übernehmen dürfte ja nicht ganz so einfach sein, oder?

2.) wie werfe ich den benutzer aus dem system? - ssh bzw die zugehörige root-sheel killen hats ned wirklich gebracht

mfg sharky