ausgesperrt per ssh publickey durch aktuelle Updates?

  • Heute wollte mein raspberry kein Login per SSH zulassen, hatte schon das schlimmste befürchtet.


    Gestern lief ein Upgrade der Pakete:

    Code
    Start-Date: 2021-09-24  22:47:49
    Commandline: apt-get dist-upgrade
    Requested-By: pi (1000)
    Upgrade: libraspberrypi-bin:armhf (1:1.20210831-1, 1:1.20210831-3~buster), libraspberrypi-dev:armhf (1:1.20210831-1, 1:1.20210831-3~buster), libraspberrypi-doc:armhf (1:1.20210831-1, 1:1.20210831-3~buster), linux-libc-dev:armhf (1:1.20210831-1, 1:1.20210831-3~buster), openssl:armhf (1.1.1d-0+deb10u6+rpt1, 1.1.1d-0+deb10u7), ntfs-3g:armhf (1:2017.3.23AR.3-3, 1:2017.3.23AR.3-3+deb10u1), libntfs-3g883:armhf (1:2017.3.23AR.3-3, 1:2017.3.23AR.3-3+deb10u1), raspberrypi-kernel:armhf (1:1.20210831-1, 1:1.20210831-3~buster), raspberrypi-bootloader:armhf (1:1.20210831-1, 1:1.20210831-3~buster), libwebkit2gtk-4.0-37:armhf (2.32.3-1~deb10u1+rpi1, 2.32.4-1~deb10u1+rpi1), libssl-dev:armhf (1.1.1d-0+deb10u6+rpt1, 1.1.1d-0+deb10u7), libraspberrypi0:armhf (1:1.20210831-1, 1:1.20210831-3~buster), libssl1.1:armhf (1.1.1d-0+deb10u6+rpt1, 1.1.1d-0+deb10u7), libjavascriptcoregtk-4.0-18:armhf (2.32.3-1~deb10u1+rpi1, 2.32.4-1~deb10u1+rpi1)
    End-Date: 2021-09-24  22:51:52



    Die Meldung aus den Auth-Log:

    Code
    sshd[942]: Authentication refused: bad ownership or modes for file /home/pi/.ssh/authorized_keys


    Die Datei war bei mir schon ewig auf:

    Code
    -rw-rw---- 1 pi pi  744 Nov 17  2016 authorized_keys

    Die Änderung hat das Problem gelöst:

    Code
    -r-------- 1 pi pi  744 Nov 17  2016 authorized_keys



    Gab es vor kurzem eine Verschärfung der Regeln bezüglich Dateirechte im ssh Ordner?


    Die Rechte 660 hatte ich bestimmt nicht gesetzt, waren wohl vor ~8 Jahren Standard?


    Jedenfalls solltet ihr vor dem Update nochmal die Berechtigungen prüfen, nicht das ihr euch ebenfalls aussperrt. :lol:

    Wenn man nicht direkt am Gerät sitzt könnte es zu einem Problem werden.


    VG

  • 400 ist sehr restriktiv. Meine Dateien haben 600. Allerdings habe ich es eben mal ausprobiert: Auch mit 777 kann man sich anmelden.

    War es nicht schon lange so, dass man vorher gewarnt wurde, wenn die Lese- oder gar die Schreibberechtigung nicht nur auf einen User gesetzt war

    Das gibt es bei den private Keys. Aber nicht bei authorized_keys

    "Really, I'm not out to destroy Microsoft. That will just be a completely unintentional side effect."

    Linus Benedict Torvalds, 28.9.2003


    Hast Du die Woche schon Deine Raspberry gesichert =O Bei mir tut das raspiBackup automatisch ;)

  • Auch mit 777 kann man sich anmelden.

    Evtl. hast Du keine andere User, in der Gruppe des Users dem die Datei "authorized_keys" gehört.

    Code
    cat /etc/group | grep -i $USER

    The most popular websites without IPv6 in Germany.  IPv6-Ausreden

  • Ich musste mich dann allerdings mit Password anmelden. Key Authorisierung ging nicht.

    "Really, I'm not out to destroy Microsoft. That will just be a completely unintentional side effect."

    Linus Benedict Torvalds, 28.9.2003


    Hast Du die Woche schon Deine Raspberry gesichert =O Bei mir tut das raspiBackup automatisch ;)

  • Code
    pi:x:1000:

    Ich musste mich dann allerdings mit Password anmelden. Key Authorisierung ging nicht.

    Dann war das wohl ein Scherz, mit:

    Quote

    Auch mit 777 kann man sich anmelden.

    ? ;)


    Dann versuch mal mit chmod 660 (... ohne und mit zusätzlichem User in der Gruppe "pi").

    The most popular websites without IPv6 in Germany.  IPv6-Ausreden

  • Ich musste mich dann allerdings mit Password anmelden. Key Authorisierung ging nicht.

    solange die password_authentication nicht abgeschaltet ist, ist das dann eine Alternative.

  • Also bei mir ist Public Key die einzige Anmeldemethode, Passwort ist extra gesperrt.


    Andere User sind auch auf den pi und der user "pi" ist in der Gruppe von 2 anderen Nutzern.


    Wenn ich nicht gerade Zugriff auf den pi gehabt hätte, wäre ich jetzt ausgesperrt, gestern hat ssh per public key noch funktioniert.

  • Wenn ich nicht gerade Zugriff auf den pi gehabt hätte, wäre ich jetzt ausgesperrt, gestern hat ssh per public key noch funktioniert.

    Lass ie Berechtigung auf 600 und alles ist gut

  • Ja, so lasse ich es jetzt auch.

    Kein anderer als der owner selbst (in deinem fall "pi" darf Zugriff auf die Datei haben.

  • ..., wäre ich jetzt ausgesperrt, gestern hat ssh per public key noch funktioniert.

    Ja, aber nur temporär, denn mit einem anderen Linux kannst Du die SD-Karte mounten und die Rechte für diese Datei ändern/anpassen.

    BTW: Die Rechte für das Verzeichnis .ssh kannst Du auf 700 setzen (... wenn das nicht schon so ist).


    EDIT:


    Quote


    Andere User sind auch auf den pi ...

    Seit wann sind auch diese anderen User, in der Gruppe pi? Hat sich beim letzten Update, in dieser Gruppe pi, etwas geändert? Was ist der Grund, für andere User in der Gruppe pi?

    Wie sind jetzt die Ausgaben von:

    Code
    ls -la /etc/group
    ls -la /usr/sbin/sshd

    ?

    The most popular websites without IPv6 in Germany.  IPv6-Ausreden

    Edited once, last by rpi444 ().

  • Dann war das wohl ein Scherz,

    Beileibe nicht. Aber die Relevanz dass ich mich mit PWD anmelden konnte wurde mir erst spaeter bewusst :blush:

    "Really, I'm not out to destroy Microsoft. That will just be a completely unintentional side effect."

    Linus Benedict Torvalds, 28.9.2003


    Hast Du die Woche schon Deine Raspberry gesichert =O Bei mir tut das raspiBackup automatisch ;)

  • Seit wann sind auch diese anderen User, in der Gruppe pi? Hat sich beim letzten Update, in dieser Gruppe pi, etwas geändert? Was ist der Grund, für andere User in der Gruppe pi?

    Wie sind jetzt die Ausgaben von:

    Code
    ls -la /etc/group
    ls -la /usr/sbin/sshd

    ?

    Die User sind schon immer (seit Jahren) vorhanden, habe diese damals selber angelegt.

    Code
    ls -la /etc/group
    -rw-r--r-- 1 root root 1196 Sep 24 22:55 /etc/group
    ls -la /usr/sbin/sshd
    -rwxr-xr-x 1 root root 658152 Mär 12  2021 /usr/sbin/sshd



    ok, hatte vergessen, dass ich vor kurzem der PI Gruppe einen Nutzer hinzugefügt habe. War nur zum testen, kann ich wieder entfernen.

    Dann lag es daran und nicht am letzten Update, sry. :wallbash:


    Nutzer ist jetzt auch wieder aus der Gruppe entfernt, per gpasswd -d user group .


    Trotzdem, leicht zu übersehen, so schnell kann zu ssh Zugriff weg sein wenn die Berechtigung bei authorized_keys noch Gruppenberechtigung hat.

    Edited 3 times, last by debug ().