Προσπαθώ να συνδεθώ ως root με openssh σε νέα εγκατάσταση arch linux και παρότι έχω αλλάξει το PermitRootLogin σε “yes”(το δοκίμασα και με αλλαγή σε “without-password”), αλλά παρ’ όλα αυτά ζητάει κωδικό, βάζω τον σωστό αλλά συνεχίζει να βγάζει “Permission Denied”. Φυσικά κάνω restart sshd, αλλά και επανεκκίνηση μετά τις αλλαγές. Επειδή δεν μπορώ να βρώ κάποιο πρόσφατο σχετικό θέμα, μήπως έχει αλλάξει τίποτα και έχει απενεργοποιηθεί η πρόσβαση μέσω root γενικά?
Τελικά φαίνεται πως η εγκατάσταση είχε γενικά πρόβλημα. Τελικά μετά από επανεγκατάσταση με custom archiso(με προσθήκη του connman μιας και τα default εργαλεία δεν έβλεπαν τη συσκευή), δούλεψε κανονικά μόνο με το “PermitRootLogin yes”
1 «Μου αρέσει»
Χαίρομαι που εβγαλες άκρη!
2 «Μου αρέσει»
Γενικα ομως το login σε SSH server σαν root πρεπει να αποφευγεται λογω του οτι αν μπει καποιος μεσα (που αν εχουν μεινει τα defaults θα πρεπει να το προσεχεις πολυ εως και παρα πολυ) εχει δηνατοτητα και ανεση να σε κλειδωσει εκτως του συστηματος σου. Εστω και αν αυτο το συστημα δεν βγαινει στον “αερα” (δηλαδη στο Internet).
Το οτι τρεχεις Arch δεν ειναι δικλειδα ασφαλειας. Ειναι καλο ομως να εχεις καλες πρακτικες για να εχεις το συστημα σου χωρις θεματα.
To root to ήθελα για να κάνω την εγκατάσταση και τις πρώτες ρυθμίσεις μέσω ssh. Μετά, απ’ όταν έφτιαξα χρήστη, την απενεργοποίησα την επιλογή και συνδέομαι ως χρήστης τώρα.
1 «Μου αρέσει»
1-2 παρατηρήσεις για μελλοντική αναζήτηση.
Όταν ένα service όπως το sshd ξεκινήσει διαβάζει το configuration από το /etc… και με βάση αυτό συνεχίζει να λειτουργεί. Δεν το ξαναδιαβάζει κάθε δευτερόλεπτο και ενημερώνει την λειτουργία του. Στην ουσία πρέπει να σταματήσει και να ξαναξεκινήσει μετά τις αλλαγές conf για να τις συμπεριλάβει. Αναλόγως ποιός είναι ο σέρβις-μανατζερ (systemd στη περίπτωση σου) μπορεί να κάνει αυτή την υπέρβαση, σταμάτημα ανα-προσαρμογή-ξεκίνημα.
Επίσης, για παρόμοιες περιπτώσεις, κάθε φορά που γίνεται μια σύνδεση ssh καταγράφεται μια ταυτότητα στο home ~/.ssh/known_hosts ή κάτι παρόμοιο. Αν με άλλη εγκατάσταση από το ίδιο μηχάνημα στο ίδιο νέτγουορκ πας να συνδεθείς δε θα τεριάζει το πιστοποιητικό και σε κόβει, είτε η μια πλευρά ή η άλλη (είτε ssh είτε sshfs χρησιμοποιήσεις δηλαδή) γιατί θεωρούν ότι είναι κακόβουλη επικοινωνία, κάποιος προσπαθεί να αναγνωριστεί σαν κάτι άλλο. Συνειδητά αν γνωρίζεις ότι εσύ είσαι και στην μια περίπτωση ή την άλλη, πρέπει να πας και να διαγράψεις τη γραμμή της ταυτοποίησης από το known_hosts. H επόμενη σύνδεση θα σε ρωτήσει αν θες να δημιουργήσεις πιστοποιητικό ταυτότητας και δημιουργεί μια νέα γραμμή για την σύνδεση που θα την θυμάται από εκεί και πέρα.
Με αυτόν τον τρόπο μπορείς να δημιουργήσεις 2 πιστοποιητικά ασφαλείας για τις 2 πλευρές έτσι ώστε να μην χρειάζεται καν login. Έτσι μπορεί η σύνδεση με τον server να γίνεται πάντα και η πρόσβαση αυτή να γραφτεί και στο /etc/fstab ώστε ο δίσκος του server να γίνεται αυτόματα mount στο σημείο που θέλεις.
Σε ένα home network που δεν χρειάζεται ιεραρχία όλα τα μηχανήματα μπορούν να είναι και client και server και να μοιράζονται πόρους, έγγραφα, ταινίες, μουσική, τα ήδη κατεβασμένα πακέτα της διανομής (για γρήγορη εγκατάσταση των ίδιων σε άλλο μηχάνημα kernel, browser, office, …) να μοιράζονται έναν router firewall στο οποίο να κρύβονται από πίσω, … τους εκτυπωτές σκάνερ κλπ, έστω κι αν δεν είναι network printers, κλπ. Το ssh είναι μια καλή αρχή για τεράστια γκάμα πειραματισμού.
Αυτό το νήμα έκλεισε αυτόματα 2 ημέρες μετά την τελευταία απάντηση. Δεν επιτρέπονται πλέον νέες απαντήσεις.