Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

ssh für externe zugriffe konfigurieren

Frage Linux

Mitglied: 49372

49372 (Level 1)

24.02.2009, aktualisiert 16:35 Uhr, 8336 Aufrufe, 34 Kommentare

kann mir jemand helfen wie ich ssh konfiguriere auf linux damit externe linux maschinen über ssh und scp sich verbinden bzw. remote kopieren kann?

wenn ich mittels scp Befehl local was kopieren möchte fragt es mich schön nach einem Passwort ab, jedoch versuch ich auf eine andere Linux Maschine auf dem auch SSH Dienst läuft Dateien zu kopieren und dann kommt lediglich follgende Meldung:

ssh: connect to host 192.168.1.91 port 22: Connection refused
lost connection

/etc/ssh/sshd_config:
01.
#       $OpenBSD: sshd_config,v 1.59 2002/09/25 11:17:16 markus Exp $ 
02.
 
03.
# This is the sshd server system-wide configuration file.  See 
04.
# sshd_config(5) for more information. 
05.
 
06.
# This sshd was compiled with PATH=/usr/local/bin:/bin:/usr/bin 
07.
 
08.
# The strategy used for options in the default sshd_config shipped with 
09.
# OpenSSH is to specify options with their default value where 
10.
# possible, but leave them commented.  Uncommented options change a 
11.
# default value. 
12.
 
13.
#Port 22 
14.
#Protocol 2 
15.
#ListenAddress 0.0.0.0 
16.
#ListenAddress :: 
17.
 
18.
# HostKey for protocol version 1 
19.
#HostKey /etc/ssh/ssh_host_key 
20.
# HostKeys for protocol version 2 
21.
#HostKey /etc/ssh/ssh_host_rsa_key 
22.
#HostKey /etc/ssh/ssh_host_dsa_key 
23.
 
24.
# Lifetime and size of ephemeral version 1 server key 
25.
#KeyRegenerationInterval 3600 
26.
#ServerKeyBits 768 
27.
 
28.
# Logging 
29.
#obsoletes QuietMode and FascistLogging 
30.
#SyslogFacility AUTH 
31.
#LogLevel VERBOSE 
32.
 
33.
# Authentication: 
34.
 
35.
#LoginGraceTime 700 
36.
#PermitRootLogin no 
37.
#StrictModes no 
38.
 
39.
#RSAAuthentication no 
40.
#PubkeyAuthentication no 
41.
#AuthorizedKeysFile     .ssh/authorized_keys 
42.
 
43.
# rhosts authentication should not be used 
44.
#RhostsAuthentication no 
45.
# Don't read the user's ~/.rhosts and ~/.shosts files 
46.
#IgnoreRhosts yes 
47.
# For this to work you will also need host keys in /etc/ssh/ssh_known_hosts 
48.
#RhostsRSAAuthentication no 
49.
# similar for protocol version 2 
50.
#HostbasedAuthentication no 
51.
# Change to yes if you don't trust ~/.ssh/known_hosts for 
52.
# RhostsRSAAuthentication and HostbasedAuthentication 
53.
#IgnoreUserKnownHosts yes 
54.
 
55.
# To disable tunneled clear text passwords, change to no here! 
56.
# PasswordAuthentication yes 
57.
# PermitEmptyPasswords yes 
58.
 
59.
# Change to no to disable s/key passwords 
60.
#ChallengeResponseAuthentication no 
61.
 
62.
# Kerberos options 
63.
#KerberosAuthentication no 
64.
#KerberosOrLocalPasswd yes 
65.
#KerberosTicketCleanup yes 
66.
 
67.
#AFSTokenPassing no 
68.
 
69.
# Kerberos TGT Passing only works with the AFS kaserver 
70.
#KerberosTgtPassing no 
71.
 
72.
# Set this to 'yes' to enable PAM keyboard-interactive authentication 
73.
# Warning: enabling this may bypass the setting of 'PasswordAuthentication' 
74.
#PAMAuthenticationViaKbdInt no 
75.
 
76.
#X11Forwarding no 
77.
#X11DisplayOffset 10 
78.
#X11UseLocalhost yes 
79.
#PrintMotd yes 
80.
#PrintLastLog yes 
81.
#KeepAlive yes 
82.
#UseLogin yes 
83.
#UsePrivilegeSeparation yes 
84.
#PermitUserEnvironment no 
85.
#Compression yes 
86.
 
87.
#MaxStartups 10 
88.
# no default banner path 
89.
#Banner /some/path 
90.
#VerifyReverseMapping no 
91.
#ShowPatchLevel no 
92.
 
93.
# override default of no subsystems 
94.
#Subsystem      sftp    /usr/libexec/openssh/sftp-server 
95.
#Ciphers aes256-cbc,aes128-cbc 
96.
<code> 
97.
 
98.
/etc/ssh/ssh_config file: 
99.
<code> 
100.
#       $OpenBSD: ssh_config,v 1.16 2002/07/03 14:21:05 markus Exp $ 
101.
 
102.
# This is the ssh client system-wide configuration file.  See 
103.
# ssh_config(5) for more information.  This file provides defaults for 
104.
# users, and the values can be changed in per-user configuration files 
105.
# or on the command line. 
106.
 
107.
# Configuration data is parsed as follows: 
108.
#  1. command line options 
109.
#  2. user-specific file 
110.
#  3. system-wide file 
111.
# Any configuration value is only changed the first time it is set. 
112.
# Thus, host-specific definitions should be at the beginning of the 
113.
# configuration file, and defaults at the end. 
114.
 
115.
# Site-wide defaults for various options 
116.
 
117.
#   Host * 
118.
#   ForwardAgent no 
119.
#   ForwardX11 no 
120.
#   RhostsAuthentication no 
121.
#   RhostsRSAAuthentication no 
122.
#   RSAAuthentication no 
123.
#   PasswordAuthentication no 
124.
#   HostbasedAuthentication no 
125.
#   BatchMode yes 
126.
#   CheckHostIP no 
127.
#   StrictHostKeyChecking ask 
128.
#   IdentityFile ~/.ssh/identity 
129.
#   IdentityFile ~/.ssh/id_rsa 
130.
#   IdentityFile ~/.ssh/id_dsa 
131.
#   Port 22 
132.
#Protocol 2 
133.
#   Cipher 3des 
134.
#Ciphers aes256-cbc,aes128-cbc 
135.
#   EscapeChar ~
Bin auf Linux ein Anfänger, kann mir jemand dabei helfen bin ratlos habe auch schon einige EInstellungen auskommentiert, brachte auch nichts
34 Antworten
Mitglied: theton
24.02.2009 um 15:04 Uhr
Nimm mal die 'ListenAddress 0.0.0.0' und 'Port 22' wieder in die Konfiguration des sshd rein. Damit lauscht er dann an allen Netzwerkinterfaces und nicht nur am Loopback.

Im übrigen ist OpenBSD kein Linux, sondern ein BSD, wie der Name schon sagt und die Konfigurationsheader sehen sehr nach OpenBSD aus. Und benutze bitte in Zukunft Code-Tags, damit der Kram wenigstens einigermaßen lesbar bleibt.
Bitte warten ..
Mitglied: 49372
24.02.2009 um 15:16 Uhr
das hab ich versucht funktioniert immer noch nicht
Bitte warten ..
Mitglied: jhinrichs
24.02.2009 um 15:19 Uhr
Was heißt "externer Zugriff"? Andere Maschine im gleichen Subnetz (192.168.1.x) oder aus dem Internet über Router?
Was ergibt die Eingabe von

iptables -L

auf der Kommandozeile?

Defaultverhalten bei sshd ist eigentlich, dass er an allen Interfaces lauscht.
Bitte warten ..
Mitglied: 49372
24.02.2009 um 15:22 Uhr
mit extern mein ich im selben Netzwerk einfach von einem anderem Linux Computer aus

iptables -L kennt Vmware als Befehl leider nicht

Der andere Computer sitzt im selben Subnetz
Bitte warten ..
Mitglied: jhinrichs
24.02.2009 um 15:31 Uhr
Ooops, sorry
Jetzt war ich auch bei Linux...
Netzwerk läuft, denke ich, sonst käme wohl auch ein "No route to host" statt "Connection refused", trotzdem: ping 192.168.1.91 geht?

Ist ein Paketfilter installiert (unter Linux eben "iptables"), unter OpenBSD "pf". Damit kenne ich mich aber nicht aus, siehe ggf. man-pages. Vielleicht blockiert ein Paketfilter den Zugriff.

sshd läuft? Unter Linux
ps ax | grep sshd

Und lauscht auf Port 22? Unter Linux

lsof -i :22

Ich hoffe, diese Befehle gibt es auch bei openBSD (wieso eigentlich VMWare?)
Bitte warten ..
Mitglied: 49372
24.02.2009 um 15:39 Uhr
also Pingen läuft einwandfrei in beide richtungen

es ist dazwischen auch keine firewall oder Router

Ergebniss nach ps ax | grep sshd:

1470 ? S 0:00 sshd: vmware [priv]
1484 ? R 0:00 sshd: vmware@pts/0
1775 ? S 0:00 sshd: vmware [priv]
1777 ? S 0:00 sshd: vmware@pts/1
2161 ? S 0:00 /usr/sbin/sshd
2166 pts/1 S 0:00 grep sshd


Den Befehl lsof -i :22 kennt vmware irgendwie nicht

Mit dem Befehl: netstat -nlvp | grep :22
wird folgendes angezeigt, das sollte den anderen Befehl ersetzen den du gegeben hast.

Ergebnis:
netstat: no support for `AF IPX' on this system.
netstat: no support for `AF AX25' on this system.
netstat: no support for `AF X25' on this system.
netstat: no support for `AF NETROM' on this system.
tcp 0 0 0.0.0.0:22 0.0.0.0:* LISTEN 1042/sshd

VMware weil darauf Virtualisierungen läuft und ich über die komando Zeile planmässige Backups machen möchte, da ich kein andere Script ausser vmbk script welch ich nicht zum laufen brachte
Bitte warten ..
Mitglied: theton
24.02.2009 um 16:01 Uhr
Also moment... du hast den SSH-Server in einer VMWare laufen? Hast du im Host-System die Netzwerk-Einstellungen entsprechend angepasst, dass Verbindungen an die VMWare weitergereicht werden?
Bitte warten ..
Mitglied: jhinrichs
24.02.2009 um 16:02 Uhr
Um ein Missverständnis zu vermeiden: die Kommandozeile ist die BSD-Shell? Die Ausgabe von ps spricht dafür.

Habe geforscht, was ergibt der Befehl:

pfctl -sn

und

pfctl -sa

?
Bitte warten ..
Mitglied: 49372
24.02.2009 um 16:09 Uhr
Ich habe SSH auf dem VMware Kernel am laufen

wie meinst du das?

ich habe

IP Adresse
Subnetz
Gateway
DNS

Manuell eingegeben

pfctl Befehl funktioniert nicht auf vmware
Bitte warten ..
Mitglied: jhinrichs
24.02.2009 um 16:15 Uhr
So, um jetzt die Konfiguration zu verstehen, bitte noch einmal folgende Angaben:
Welches Hostsystem?
Welches Gastsystem (VMWare ist ja kein Betriebssystem, sondern eine Virtualisierungsschicht, auf der ein Gastsystem installiert wird.)?
Bitte warten ..
Mitglied: 49372
24.02.2009 um 16:20 Uhr
Ich verwende VMware ESX 3.5 auf der ich am Basteln bin mit der ssh
Bitte warten ..
Mitglied: jhinrichs
24.02.2009 um 18:13 Uhr
Was mir gerade einfällt: die sshd_config ist auf dem VMWare oder BSD/Linux-System?
sshd_config konfiguriert den ssh-Server, sollte auf dem Client also irrelevant sein.
Bitte warten ..
Mitglied: 49372
25.02.2009 um 07:40 Uhr
ja die sshd_config ist auf dem WMware System
Bitte warten ..
Mitglied: jhinrichs
25.02.2009 um 10:02 Uhr
Noch weiter zum Verständnis:
Wir sprechen von der sshd_config auf einer virtuellen Maschine unter VMWare ESX. Dazu die Frage: welches Gastsystem ist installiert? Das wäre wichtig zu wissen, um konkrete Tips geben zu können. VMWare ESX selber bietet meines Wissens keinen ssh-Zugang auf Hypervisor-Ebene, sondern nur das Remote Command Line Interface, da gibt es aber keine Datei sshd_config, kein Verzeichnis /etc, kein ps etc.

Zwischenschritt: Was passiert, wenn Du in der sshd_config die Zeile 74 änderst:


01.
#PAMAuthenticationViaKbdInt yes
und dann sshd neu startest (mit /etc/init.d/sshd restart)?
Bitte warten ..
Mitglied: 49372
25.02.2009 um 10:30 Uhr
wie kann ich rausfinden welche version von linux auf der vmware mühle läuft?

Als Gastsystem versteh ich die angelegten Virtuellen Computern die unter ESX angelegt werden können. Lediglich ein Win Server 2003

Hat nichts gebracht
Bitte warten ..
Mitglied: jhinrichs
25.02.2009 um 12:28 Uhr
Ah - wir kommen der Sache näher:

Genau, Gastsystem ist/sind der/die virtuelle/n Computer. Möchtest Du den Win Server (Gastsystem) per ssh erreichen?
Welche IP-Adresse hat der VMWare-Host und welche der virtuelle PC?

Wenn ich Dich richtig verstanden habe, läuft das Wirtssystem (Hostsystem) unter Linux.

Was ergibt die Ausgabe von

uname -r

oder ein

ls -al /boot

und der Vollständigkeit halber, was ergibt:

ls -al /etc/ssh auf dem VMWare-System

und

ls -al ~/.ssh auf dem Linux-Client?
Bitte warten ..
Mitglied: 49372
25.02.2009 um 13:32 Uhr
ich möchte von einem wirtsystem zu einem anderem Wirtsystem kopieren

ausgabe von uname -r:

2.4.21-57.ELvmnix

Ausgabe von ls -al /etc/ssh:

total 136
drwxr-xr-x 3 root root 4096 Feb 25 13:30 .
drwxr-xr-x 32 root root 4096 Feb 25 13:23 ..
-rw------- 1 root root 88039 Jul 24 2007 moduli
drwxr-xr-x 3 root root 4096 Feb 25 13:27 original
-rw-r--r-- 1 root root 1081 Jul 24 2007 ssh_config
-rw------- 1 root root 2480 Jul 24 2007 sshd_config
-rw------- 1 root root 668 Feb 25 13:19 ssh_host_dsa_key
-rw-r--r-- 1 root root 590 Feb 25 13:19 ssh_host_dsa_key.pub
-rw------- 1 root root 515 Feb 25 13:19 ssh_host_key
-rw-r--r-- 1 root root 319 Feb 25 13:19 ssh_host_key.pub
-rw------- 1 root root 887 Feb 25 13:19 ssh_host_rsa_key
-rw-r--r-- 1 root root 210 Feb 25 13:19 ssh_host_rsa_key.pub

Ausgabe von ls -al ~/.ssh:

total 12
drwx------ 2 root root 4096 Feb 25 13:28 .
drwxr-x--- 3 root root 4096 Feb 25 13:28 ..
-rw-r--r-- 1 root root 222 Feb 25 13:28 known_hosts
Bitte warten ..
Mitglied: jhinrichs
25.02.2009 um 13:45 Uhr
Es handelt sich also offenbar um einen 2.4er Kernel, das spricht auch für Linux als Basis. Die file permissions sehen auch ok aus. Im 2.4er Kernel sollte eigentlich als Paketfilter netfilter, zu administrtieren über iptables, enthalten sein, aber bei vmware...
Mit welchem Benutzeraccount bist Du auf der VMWare-Maschine angemeldet?
ggf. mit

whoami

herausfinden.
Wir machen weiter mit Listings:

was ergibt:

ls -al /sbin/ip*

oder (jetzt kommt wahrscheinlich eine längere Liste)

find / -name ip*
Bitte warten ..
Mitglied: 49372
25.02.2009 um 13:53 Uhr
Ausgabe von ls -al /sbin/ip*:

-rwxr-xr-x 1 root root 97948 Mar 23 2007 /sbin/ip
-rwxr-xr-x 1 root root 9792 Mar 19 2007 /sbin/ipmaddr
-rwxr-xr-x 1 root root 47568 Dec 17 2003 /sbin/iptables
-rwxr-xr-x 1 root root 51872 Dec 17 2003 /sbin/iptables-restore
-rwxr-xr-x 1 root root 50276 Dec 17 2003 /sbin/iptables-save
-rwxr-xr-x 1 root root 13888 Mar 19 2007 /sbin/iptunnel

Mit dem Befehl find / -name ip* erhalte ich extrem viel Ausgabe welch ich hier mal nicht posten werde, es zeigt lediglich verzeichnisse an wie z.B:
/usr/src/linux-2.4.21-57.EL/net/ipv4/netfilter/ip_nat_proto_tcp.c

Zudem bin ich mit dem Benutzer root eingelogt
Bitte warten ..
Mitglied: jhinrichs
25.02.2009 um 13:58 Uhr
Aber dann ist ja iptables da!

Was ergibt

/sbin/iptables -L
Bitte warten ..
Mitglied: 49372
25.02.2009 um 14:08 Uhr
stimm hast recht

Ausgabe:

Chain INPUT (policy DROP)
target prot opt source destination
ACCEPT all -- anywhere anywhere
valid-tcp-flags tcp -- anywhere anywhere
valid-source-address !udp -- anywhere anywhere
valid-source-address-udp udp -- anywhere anywhere
valid-source-address tcp -- anywhere anywhere tcp flags :SYN,RST,ACK/SYN
icmp-in icmp -- anywhere anywhere
ACCEPT all -- anywhere anywhere state RELATED,ESTABL ISHED
ACCEPT tcp -- anywhere anywhere tcp dpt:vmware-authd state NEW
ACCEPT tcp -- anywhere anywhere tcp dpt:http state N EW
ACCEPT tcp -- anywhere anywhere tcp dpt:https state NEW
ACCEPT udp -- anywhere anywhere udp spts:bootps:boot pc dpts:bootps:bootpc
ACCEPT udp -- anywhere anywhere udp dpt:svrloc
ACCEPT tcp -- anywhere anywhere tcp dpt:svrloc state NEW
ACCEPT tcp -- anywhere anywhere tcp dpt:5989 state N EW
ACCEPT tcp -- anywhere anywhere tcp dpt:ssh state NE W

Chain FORWARD (policy DROP)
target prot opt source destination

Chain OUTPUT (policy DROP)
target prot opt source destination
ACCEPT all -- anywhere anywhere
valid-tcp-flags tcp -- anywhere anywhere
icmp-out icmp -- anywhere anywhere
ACCEPT udp -- anywhere anywhere udp spts:1024:65535 dpt:domain
ACCEPT tcp -- anywhere anywhere tcp spts:1024:65535 dpt:domain
ACCEPT all -- anywhere anywhere state RELATED,ESTABL ISHED
ACCEPT tcp -- anywhere anywhere tcp dpt:vmware-authd state NEW
ACCEPT udp -- anywhere anywhere udp spts:bootps:boot pc dpts:bootps:bootpc
ACCEPT udp -- anywhere anywhere udp spt:svrloc
ACCEPT tcp -- anywhere anywhere tcp spt:svrloc state NEW
ACCEPT tcp -- anywhere anywhere tcp dpt:https state NEW
ACCEPT tcp -- anywhere anywhere tcp dpt:vmware-authd state NEW
ACCEPT udp -- anywhere anywhere udp dpt:902 state NE W
ACCEPT tcp -- anywhere anywhere tcp dpt:27000 state NEW
ACCEPT tcp -- anywhere anywhere tcp dpt:27010 state NEW
REJECT all -- anywhere anywhere reject-with icmp-por t-unreachable

Chain icmp-in (1 references)
target prot opt source destination
ACCEPT icmp -- anywhere anywhere icmp echo-reply
ACCEPT icmp -- anywhere anywhere icmp echo-request
ACCEPT icmp -- anywhere anywhere icmp fragmentation-n eeded
DROP all -- anywhere anywhere

Chain icmp-out (1 references)
target prot opt source destination
ACCEPT icmp -- anywhere anywhere icmp echo-request
ACCEPT icmp -- anywhere anywhere icmp echo-reply
DROP all -- anywhere anywhere

Chain log-and-drop (7 references)
target prot opt source destination
LOG all -- anywhere anywhere LOG level debug tcp- options ip-options
DROP all -- anywhere anywhere

Chain valid-source-address (2 references)
target prot opt source destination
DROP all -- localhost.localdomain anywhere
DROP all -- 0.0.0.0/8 anywhere
DROP all -- anywhere 255.255.255.255

Chain valid-source-address-udp (1 references)
target prot opt source destination
DROP all -- localhost.localdomain anywhere
DROP all -- 0.0.0.0/8 anywhere

Chain valid-tcp-flags (2 references)
target prot opt source destination
log-and-drop tcp -- anywhere anywhere tcp flags:FIN,SYN ,RST,PSH,ACK,URG/NONE
log-and-drop tcp -- anywhere anywhere tcp flags:FIN,ACK /FIN
log-and-drop tcp -- anywhere anywhere tcp flags:PSH,ACK /PSH
log-and-drop tcp -- anywhere anywhere tcp flags:ACK,URG /URG
log-and-drop tcp -- anywhere anywhere tcp flags:FIN,SYN /FIN,SYN
log-and-drop tcp -- anywhere anywhere tcp flags:SYN,RST /SYN,RST
log-and-drop tcp -- anywhere anywhere tcp flags:FIN,RST /FIN,RST
Bitte warten ..
Mitglied: jhinrichs
25.02.2009 um 14:27 Uhr
Die Regeln scheinen mir teils redundant, teils unvollständig. Um Klarheit zu bringen, versuch einmal folgendes:

/sbin/iptables-save -c > ~/iptables-save

sichert die aktuellen Regeln

/sbin/iptables -F INPUT
/sbin/iptables -F OUTPUT

löscht die aktuellen Regeln

/sbin/iptables -P INPUT ACCEPT
/sbin/iptables -P OUTPUT ACCEPT

erlaubt (fast) alles

Geht dann der ssh-Zugriff?

Wiederherstellen der alten Regeln mit

cat ~/iptables-save | /sbin/iptables-restore -c


Und was ergibt

/sbin/iptables -L

auf dem Client?
Bitte warten ..
Mitglied: 49372
26.02.2009 um 12:07 Uhr
besten dank für deine Hilfe, es hat wirklich funktioniert gemäss deiner Anleitung. Es war die firewall des Tux

Wie richtet man dies richtig ein, jetzt wird wohl die firewall alles durchlassen und ein sicherheitsrisiko sein oder?

Auf der einter VMware maschine kommt beim befelh scp diese Meldung:
Permission denied (publickey,password,keyboard-interactive).

An was liegt das? auf der anderer Maschine läuft es richtig

Mal neh frage, von woher hast du das so gut gelernt mit Linux? möchte das auch so gut können und vorallem verstehen die Parametern und wie mehr Befelh sucht etc.
Bitte warten ..
Mitglied: jhinrichs
27.02.2009 um 08:25 Uhr
Danke für die Blumen...
Du wirst gemerkt haben, dass die geänderten iptables-Einstellungen nur bis zum nächsten reboot halten.
Wenn ich die, wie ich finde nicht durchweg schlüssigen, Regeln Deines Systems richtig verstanden habe (wobei ich mir nicht ganz sicher bin), fehlt in der OUTPUT-Chain die ACCESS-Regel für ssh. Die solltest Du einbauen.
Jetzt gilt es also, herauszufinden, wo beim Systemstart die Filterregeln hinterlegt sind. Dazu gibt es theoretisch unendlich viele Möglichkeiten, zumindest aber so viele, wie es Mücken gibt.
Da man aber per vollständiger Induktion beweisen kann, dass es unendlich viele Mücken gibt, kommt das auf das gleiche heraus:
1. Es gibt mindestens eine Mücke.
2. Wenn ich eine Mücke erschlage kommt immer noch eine Mücke
3. Also gibt es unendlich viele Mücken.
q.e.d.


Zwei häufige sind:
1. init-Scripte
2. eine Datei, gerne in /etc/sysconfig/iptables

Tückisch ist, dass im Grunde jedes init-Skript die Regeln ändern/ergänzen kann.

Vorschlag: suche zunächst die Datei /etc/sysconfig/iptables, alternativ im gesamten /etc-Baum mit

find /etc -name iptables

Die init scripte kannst Du mit

grep -n -e iptables -f /etc/init.d/*

durchsuchen lassen. Findet sich da etwas?

Das zweite Problem, das Du beschreibst, hat häufig etwas mit zu großzügigen Berechtigungen auf ssh-Schlüsseldateien zu tun, hier reicht im Grund immer ein rw- --- ---. Forsche da einmal nach (auf dem Client)

Wenn Du eine gemischte Linux/Windows-Umgebung betreibst, kann ich folgendes Buch (auch online einsehbar, aber ich finde es so gut, dass man es kaufen sollte) empfehlen: http://www.linuxbu.ch
Es gibt auch gut verständliche Grundlagen in reine Linux-Server-Themen.
Bitte warten ..
Mitglied: 49372
27.02.2009 um 10:23 Uhr
hm also ich denke das einfachste wäre, wenn ich die Firewall des Linux Kernel ausschalten könnte, damit das probelm nicht mehr auftaucht

Nur muss ich schauen wie das funktioniert, leider hab ich keine erfahrung und die Man Page des iptables hat mir auch nicht weiter gebracht, um für die ssh einen Chain auf der Firewall einzurichten damit scp und ssh funktioniert.

Das Linux Buch welches du mir vorgeschlagen hast ist sehr gut aufgebaut, jedoch vermisse ich so die Grundlagen von Linux, gibt es da noch ein Linux Buch mit Grundlagen welches wirklich zu empfehlen ist?
Bitte warten ..
Mitglied: jhinrichs
27.02.2009 um 10:45 Uhr
EInfach ausschalten (ohne den Kernel neu zu kompilieren) geht nicht, ausgeschaltet ist die Firewall sozusagen durch die o.g. Policies (alles erlauben). Ausschalten würde ich auch nicht machen, auf gar keinen Fall, wenn der Rechner direkt am Internet hängt. Eine Regel für ssh einzufügen ist nicht schwer, würden wir schon hier hinkriegen, dazu musst Du aber wissen, wo in deinem System die Regeln beim Systemstart definiert sind (s.o.)
Ein allgemeines Buch zu Linux-Grundlagen ist eher schwierig zu empfehlen, da die meisten allgemeinen Linux-Bücher eher für User mit Inhalten wie "wie spiele ich mp3s ab", "wie bearbeite ich Office-Dokumente" etc. gefüllt sind. Für Server-Themen gibt es dann jeweils spezialisierte Bücher oder die große weite Welt des www. Ich denke, Du solltest Dich, da die Beurteilung "gut "oder "schlecht " sehr individuell ist, mit viel Zeit und EC-Karte in eine gut sortierte Buchhandlung setzen und schmökern...
Bitte warten ..
Mitglied: 49372
27.02.2009 um 10:56 Uhr
Befehl find /etc -name iptables:

Ausgabe:
/etc/rc.d/init.d/iptables

Befehl grep -n -e iptables -f /etc/init.d/*:

Ausgabe:
grep: Trailing backslash

WIe macht man dies den mit dem Chain?
Bitte warten ..
Mitglied: jhinrichs
27.02.2009 um 11:04 Uhr
Jetzt poste bitte mal die Datei /etc/rc.d/init.d/iptables
Bitte warten ..
Mitglied: 49372
27.02.2009 um 11:35 Uhr
Das wird ausgegeben wenn ich den Befehl eingebe:

Usage: /etc/rc.d/init.d/iptables {start|stop|restart|condrestart|status|panic|save}
Bitte warten ..
Mitglied: jhinrichs
27.02.2009 um 11:44 Uhr
Sry, ich meinte nicht die Ausgabe, sondern den Inhalt...

cat /etc/rc.d/init.d/iptables
Bitte warten ..
Mitglied: 49372
27.02.2009 um 13:10 Uhr
damit bekomme ich die ganze Firewall Code die etliche Zeilen lang sind.
Bitte warten ..
Mitglied: jhinrichs
27.02.2009 um 13:13 Uhr
Schon klar. Alles muss aber auch nicht. Die essentiellen Zeilen kriegst Du über:

cat /etc/rc.d/init.d/iptables | grep -n iptables

Die definieren die Filterregeln, und die sind alle wichtig...

cat listet die Datei und grep filtert alle Zeilen mit dem Inhalt "iptables" heraus. Das "-n" sorgt dafür, dass grep die Zeilennummer mit angibt, damit man später beim editieren weiß, wo man suchen muss-
Bitte warten ..
Mitglied: 49372
27.02.2009 um 14:33 Uhr
3:# iptables Start iptables firewall
6:# description: Starts, stops and saves iptables firewall
8:# config: /etc/sysconfig/iptables
9:# config: /etc/sysconfig/iptables-config
14:IPTABLES=iptables
170: # Do not stop if iptables module is not loaded.
226: # Do not print status if lockfile is missing and iptables modules are not
Bitte warten ..
Mitglied: jhinrichs
27.02.2009 um 14:39 Uhr
Da es /etc/sysconfig/iptables nicht gibt (sonst hätte find sie gefunden), poste doch bitte 1. das Ergebnis von

ls -al /etc/sysconfig/iptables*

und 2., sofern vorhanden, den Inhalt von

/etc/sysconfig/iptables-config
Bitte warten ..
Neuester Wissensbeitrag
Windows 10

Powershell 5 BSOD

(3)

Tipp von agowa338 zum Thema Windows 10 ...

Ähnliche Inhalte
Heiß diskutierte Inhalte
LAN, WAN, Wireless
gelöst Server erkennt Client nicht wenn er ausserhalb des DHCP Pools liegt (28)

Frage von Mar-west zum Thema LAN, WAN, Wireless ...

Windows Server
Server 2008R2 startet nicht mehr (Bad Patch 0xa) (18)

Frage von Haures zum Thema Windows Server ...

Outlook & Mail
Outlook 2010 findet ost datei nicht (18)

Frage von Floh21 zum Thema Outlook & Mail ...