[ssh] Kein Login über App möglich

Admin · Jul 27th 2020

Hallo Leute,

ich bin neu hier im Forum und generell beim Thema Raspberry.

Mein Raspberry (rpi) ist keine 3 Wochen alt, Version 4 mit 4GB RAM.

Bin Softwareentwickler vom Beruf, Programmierung und Unix Systeme sind für mich also keine Unbekannten, wobei ich in Sachen Linux noch Anfänger bin.

Auf meinem Pi läuft RPI OS 32 Bit.

PiHole als Docker Container, funktioniert auch wunderbar.

Standardmäßig gibt es ja 2 User, "root" und "pi".

Ich wollte dem "pi" User keine root rechte geben, aber eine PW Abfrage wenn dieser nach Root verlangt.

Gesagt, getan (mit Hilfe des Internets).

Nun wird immer das root PW verlangt wenn ich etwas mit sudo ausführen will.

Leider kommen nun keine Android Apps mehr auf den rpi (voher schon).

Der Login mit dem User "pi" scheitert.

Eine App (RaspController) sagt nach einem Timeout, das "sudo PW" sei falsch...

Hä? Wieso sudo? Bin doch als "pi" unterwegs....

Habe dann einen neuen User erstellt: "app", ohne sudo Privilegien.

Aber auch mit diesem komme ich nicht drauf.

Von Linux und Windows (Putty) aus komme ich ohne Probleme auf den rpi.

Was genau habe ich kauptt gemacht?

Code

id app
uid=1001(app) gid=100(users) groups=100(users),44(video)

id pi
uid=1000(pi) gid=1000(pi) groups=1000(pi),4(adm),20(dialout),24(cdrom),27(sudo),29(audio),44(video),46(plugdev),60(games),100(users),105(input),109(netdev),999(spi),998(i2c),997(gpio)

visudo File

Code

# This file MUST be edited with the 'visudo' command as root.
#
# Please consider adding local content in /etc/sudoers.d/ instead of
# directly modifying this file.
#
# See the man page for details on how to write a sudoers file.
#

Defaults        env_reset
Defaults        mail_badpass
Defaults        secure_path="/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin"
Defaults        rootpw
Defaults        timestamp_timeout = 0

# Host alias specification

# User alias specification

# Cmnd alias specification

# User privilege specification
root    ALL=(ALL:ALL) ALL
app     ALL=(ALL:ALL) ALL

# Allow members of group sudo to execute any command
%sudo   ALL=(ALL:ALL) ALL

# See sudoers(5) for more information on "#include" directives:

#includedir /etc/sudoers.d

Display More

Danke für die Hilfe

llutz · Jul 27th 2020

Quote from Admin

Eine App (RaspController) sagt nach einem Timeout, das "sudo PW" sei falsch...
Hä? Wieso sudo? Bin doch als "pi" unterwegs....

Die APP scheint auf den default "User pi hat sudo-Rechte mit NOPASSWD-Option" oder auf "sudo mit user-Passwort" ausgelegt zu sein.

"sudo mit root-Passwort" ist eher unüblich (und imho auch sinnfrei), bei konfiguriertem sudo.

Das NOPASSWD für pi wird in /etc/sudoers.d/10.... gesetzt. Das wirst du deinem neuen User wohl einrichten müssen, wenn du auf diese APP wert legst.

Admin · Jul 27th 2020

Sorry aber ich verstehe nur Bahnhof^^

Wenn ich heute Abend wieder zuhause bin, was soll ich machen?

Ich brauche keinen extra "app" User, mir würde es reichen wenn sich der "pi" einloggen könnte.

Tigerbeere · Jul 27th 2020

Hallo Admin,

Passwort wird verlangt

Code

pi@raspberrypi:~ $ sudo cat /etc/sudoers.d/010_pi-nopasswd 
pi ALL=(ALL) PASSWD: ALL

Passwort wird nicht verlangt (Standard)

Code

pi@raspberrypi:~ $ sudo cat /etc/sudoers.d/010_pi-nopasswd 
pi ALL=(ALL) NOPASSWD: ALL

Viele Grüße,

Tigerbeere

Admin · Jul 28th 2020

Ist das wirk

Quote from llutz

"sudo mit root-Passwort" ist eher unüblich (und imho auch sinnfrei), bei konfiguriertem sudo.

Meine Intention war, den rpi etwas abzusichern. Wenn mein Weg unüblich ist, würde ich mich freuen wenn mir jemand einen besseren Weg zeigt.

Wie sollte ich deiner Meinung nach vorgehen?

2 Accounts, root = root und pi = gast? Wäre das mehr "üblich"?

Quote from Tigerbeere

Hallo Admin,
[...]
Viele Grüße,
Tigerbeere

Danke, heute Abend habe ich Zeit zum testen, melde mich dann.

llutz · Jul 28th 2020

sudo dient(e) eigentlich dazu, einem User/einer Gruppe eingeschränkte root-Rechte für die Ausführung einzelner, administrativer Befehle zu erteilen, ohne diesen Usern das root-Passwort geben zu müssen. Deswegen fragt ein konfiguriertes sudo per default nach dem User-Passwort und nicht nach dem root-Passwort.

Später fanden einige Leute es sei eine gute Idee, auf einem System den root-Account zu sperren und einem User uneingeschränktes root-Recht per sudo zu geben (Angreifern soll der Zugang erschwert werden, weil sie neben Passwort auch einen Usernamen erraten müssten).

Und dann kamen die RPi-Boys und fanden es ganz toll einem User, neben einem Standard-Usernamen (pi) mit einem vorgegebenem, öffentlich bekannten Standard-Passwort auch noch uneingeschränktes sudo mit NOPASSWD-Option zu geben, d.h. der User benötigt gar kein Passwort um Befehle mit erhöhten Rechten ausführen zu können - wtf!?!

Wenn du dein System absichern willst, lege einen neuen User ohne sudo-Rechte an, gib ihm und root jeweils ein starkes Passwort, teste ob dieser User alles kann, was nötig ist und deaktiviere/lösche den pi-Account. Für administrative Aufgaben kann der neue User jederzeit per "su -" + root-Passwort root werden.

Das Problem dabei könnte sein, dass manche Apps so nicht mehr funktionieren werden, weil sie auf das kranke NOPASSWD-sudo Konstrukt setzen. Aber solche Apps und Sicherheit stehen ohnehin im direkten Widerspruch zueinander - ssh existiert.

jm2c

PS: Mittlerweile wird afaik der Standard-User "pi" aufgefordert, das Standard-Passwort zu ändern - immerhin.

Admin · Jul 28th 2020

Quote from llutz

Wenn du dein System absichern willst, lege einen neuen User ohne sudo-Rechte an, gib ihm und root jeweils ein starkes Passwort, teste ob dieser User alles kann, was nötig ist und deaktiviere/lösche den pi-Account. Für administrative Aufgaben kann der neue User jederzeit per "su -" + root-Passwort root werden.

Wenn ich deiner Anleitung folge, habe ich einen neuen User, der sich wie "pi" verhält... was habe ich dadurch gewonnen?

Dass der Angreifer nun den Namen erraten muss? Wenn ich das Root-PW für sudo aktiviere, können Apps wieder nicht rein... ich drehe mich dann im Kreis.

Was habe ich heute gemacht:

Testuser "app" gelöscht.

Neuen User "rpi" angelegt.

Gutes PW vergeben, in alle Gruppen wie auch den "pi" User eingetragen, alle bis auf die Gruppe "sudo".

pi@homepi: groups pi

pi : pi adm dialout cdrom sudo audio video plugdev games users input netdev spi i2c gpio

pi@homepi: groups rpi

rpi : users adm dialout cdrom audio video plugdev games input netdev spi i2c gpio

SSH Login über PC klappt mit dem "rpi" User, sudo Rechte hat er keine, so soll es auch sein... vorerst.

Notfalls füge ich ihn in die sudo Gruppe hinzu, dann sollte es gehen.

Code

[...]
#Defaults       rootpw
#Defaults       timestamp_timeout = 0
[...]

Nach dem ich die visudo Datei angepasst habe, kann ich mich nun auch mit dem "rpi" User über die App einloggen.

Soweit so gut.

Als nächstes habe ich den Root SSH Login aktiviert, da mein RPI User keine Sudo-Rechte hat.

Login klappt auch.

Nun habe ich 2 User

- root für Dev-Arbeiten

- rpi für Apps und Überwachung

Ich weiß, manche mögen kein root Login, aber das ist aktuell mein Lösung.

Als nächstes muss ich dann den "pi" User löschen und fertig bin ich... oder?!

llutz · Jul 29th 2020

Quote from Admin

Wenn ich deiner Anleitung folge, habe ich einen neuen User, der sich wie "pi" verhält... was habe ich dadurch gewonnen?
Dass der Angreifer nun den Namen erraten muss?

Genau und dass, selbst wenn dieser Benutzer "gehackt" würde, größerer Schaden mangels sudo-Berechtigung verhindert wird.

Quote from Admin

Wenn ich das Root-PW für sudo aktiviere, können Apps wieder nicht rein

Quote from llutz

Aber solche Apps und Sicherheit stehen ohnehin im direkten Widerspruch zueinander

Solange du auf solche APPs wert legst, spare dir sämtliche Mühe den RPi "sicherer" zu machen.

Quote from Admin

SSH Login über PC klappt mit dem "rpi" User, sudo Rechte hat er keine, so soll es auch sein... vorerst.

Notfalls füge ich ihn in die sudo Gruppe hinzu, dann sollte es gehen.
..
Als nächstes habe ich den Root SSH Login aktiviert, da mein RPI User keine Sudo-Rechte hat.

root-Login per ssh (abgesehen von forced-commands-only) hat nichts mit "nicht mögen" zu tun, das ist einfach unnötiger Unsinn und ein Sicherheiteitsproblem 1. Grades.

Zumal auf Rechnern, die im Internet erreichbar sind. Du kannst jederzeit, auch via ssh, per "su -" root werden.

Wenn ein User sudo-Rechte erhalten muss, dann mit dem User-Passwort und nicht dem root-Passwort (s.o.)

Quote from Admin

- root für Dev-Arbeiten

Der root-Account ist ausschließlich für administrative Aufgaben zu benutzen.

the other · Jul 30th 2020

Moinsen,

eigentlich steht ja schon alles geschrieben oben...

Nochmal als gesammeltes Tutorial zu sicheren Einrichtung des RPis:

https://forum.kuketz-blog.de/viewtopic.php?f=42&t=3067

Viel Erfolg!

Admin · Aug 5th 2020

Hallo Leute,

ihr habt ja Recht.

Habe den root ssh login wieder deaktiviert und meinem neuen user "rpi" in die sudo Gruppe hinzugefügt.

Nun wollte ich den user "pi" löschen, da nicht mehr im gebrauch.

Leider geht es nicht, da prozesse offen.

Killen geht nicht da sie sofort wieder starten.

#1 (sd-pam)

#2 -bash

#3 /lib/systemd/systemd --user

Wie gehe ich hier am besten vor?

hyle · Aug 5th 2020

Ist das ein OS mit Desktop?

Btw. Den User umzubenennen wäre vermutlich nicht so umständlich.

Admin · Aug 5th 2020

Ja ist mit Desktop, nutze es aber nur unter ssh aktuell.

hyle · Aug 5th 2020

Melde Dich als der neue User per SSH an und gib sudo raspi-config ein. Dann Boot Options >> Desktop / CLI und such Dir dort etwas für Dich passendes aus. Falls mit Autologin, dann etwas wo Dein neuer Benutzer dabei steht.

Admin · Aug 5th 2020

Danke, hat geholfen.

[ssh] Kein Login über App möglich

Similar Threads

Access Denied

Raspberry PI4 4GB RAM bootet nicht mehr.

vncserver, keine Verschlüsslung (x11vnc)

Nach Standortwechsel einloggen am Pi nicht mehr möglich

Kein motionEye-Kamerabild im neuen Firefox-Browser

Text auf CLI-Desktop ausgeben

Tags

Users Viewing This Thread