dropbear: non-root login rejected

[date80]

Hallo,

Login-Versuche mit einem neu angelegten Benutzer der Gruppe "users" mittels Passwort-Login (via putty) quittiert dropbear mit der Fehlermeldung "non-root login rejected" im sys-log. Der Login als root funktioniert hingegen anstandslos. Ich bin weder hier im Form noch beim googeln auf Berichte gestoßen in denen Benutzer von ähnlichen Problemen berichten.

Ich besitze eine Fritz!Box WLAN 3050 mit Firmware Version 16.04.07 und ds-mod 0.2.9.

Wäre super wenn mir jemand weiterhelfen könnte!

 

[olistudent]

Der dropbear vom dsmod wird gepatcht, dass er nur noch root logins akzeptiert.

MfG Oliver

 

[date80]

Aha - das erklärt natürlich meine Probleme. Danke!

Ich möchte eigentlich über einen an der Fritz!Box angeschlossenen USB-Stick einen kleinen privaten "Fileserver" betreiben. Eine Lösung mit dropbear und scp schien mir sinnvoller als die bereits von AVM eingebaute Variante mit dem ftp-Server (unverschlüsselt, keine Beschränkung der Zugriffsrechte auf bestimmte Verzeichnisse).
Die gepatchte Variante von dropbear scheint somit für meinen Einsatzzweck ungeeignet zu sein (mein root-Passwort werde ich natürlich nicht im Freundeskreis verteilen ;-) ).
Es gibt vermutlich einen guten Grund für diesen Patch?!

 

[olistudent]

Damit sich z.B. der ftp-Benutzer nicht über ssh einloggen kann.

MfG Oliver

 

[danisahne]

Ich hatte den Patch damals selbst geschrieben, da viel den FTP und SSH Server der Fritzbox durch Portforwardings freigegeben hatten und das Passwort somit unverschlüsselt übertragen wird. Damit sich diese Leute keine größeren Lücken reinreißen, war der Patch ein kleiner Hack. Außerdem gab es einige Fehler, wenn man man sich als nicht-root einloggt, denen ich nicht weiter nachgegangen bin. Du kannst den Patch einfach deaktivieren, wenn du ihn vor dem kompilieren im ds-mod löscht.

Mfg
danisahne

 

[date80]

Denke ich werde es mal ohne den Patch versuchen - FTP werde ich nach außen eh nicht freigeben. Danke für eure Hilfe!

Gruß
Daniel

 

[arudolf]

Um welchen patch handelt es sich bitte? Ist das im Freetz heute immer noch so?

21:23h:
Ich glaube, ich habe es gefunden:
.../freetz-trunk/make/dropbear/patches/100-root-login-only.patch

 

[olistudent]

Ja, genau das ist der Patch.

MfG Oliver

 

[arudolf]

hmm, das Problem ist aber immer noch da. Vielleicht muß man noch irgendwelche Objektdateien löschen, bevor man "make" aufruft?

 

[olistudent]

make dropbear-dirclean

MfG Oliver

 

[arudolf]

Kann dropbear das volle Protokoll 2 Format für die authorized keys file?

Konkret würde ich gerne wissen, ob man dem 'keytype' noch 'options' voranstellen kann.

Erläuterung s. http://www.openbsd.org/cgi-bin/man.cgi?query=sshd unter AUTHORIZED_KEYS FILE FORMAT

Ich habe meine Zweifel, weil jedesmal, wenn ich ein 'command=...'-Feld voranstelle, erkennt sshd meinen private key nicht mehr. Das könnte einer der Unterschiede zwischen dropbear und ssh sein und der Grund, warum dropbear schlanker ist.

 

[albern]

Kann dropbear das volle Protokoll 2 Format für die authorized keys file?
Konkret würde ich gerne wissen, ob man dem 'keytype' noch 'options' voranstellen kann.

Nein, das klappt wohl derzeit nicht.
Dazu hat sich der Entwickler des dropbear irgendwann Ende letzten Jahres mal in seiner mailing list geäußert. In meiner Erinnerung war das so, daß alle Zeilenanfänge ohne 'ssh- ...' in .authorized_keys verworfen werden.


LG

 

[sharbich]

Hallo olistudent,

das gleiche Problem hatte ich bei meiner 7390 mit Version 84.04.91. Allerdings muss ich das oben beschriebene Verfahren immer anwenden, wenn ich ein neuen User angelegt habe. Kannst Du Dir vorstellen warum?

Lieben Gruß von Stefan

 

[olistudent]

Hallo Stefan.

Welches Problem meinst du? Der letzte Beitrag ist inzwischen 5 Jahre alt und seit einiger Zeit existiert im Webinterface eine Option für dieses Verhalten...

Gruß
Oliver

 

[sharbich]

Hallo olistudent,

ich weiß das es im Webinterface dazu eine Option gibt, die scheint aber nicht zu funktionieren. (Nur root & mit oder ohne Passwort). Nur wenn ich auf der Konsole

make dropbear-dirclean

eingebe funktioniert es nach make und upload der neuen Firmware.

Lieben Gruß von Stefan

 

[RalfFriedl]

Es wäre gut, wenn Du vollständig beschreibst, was Du tust. Nur "make dropbear-dirclean" und "make" wird noch einmal genau den gleichen dropbear erstellen wie beim ersten make. Außerdem hat "make dropbear-dirclean" nur dann einen Sinn, wenn man vorher schon etwas getan hat, sonst gibt es noch nichts, was gelöscht werden kann.

 

[sharbich]

Hallo RalfFriedl,

ich mache folgendes:

1. Zugriff mit via ssh "boxname" => mit root funktioniert
2. Zugriff mit neu angelegten Benutzer + Zertifikat bleibt nach Willkommensmeldung stehen (Curser blinkt noch ein Moment dann nichts mehr)
3. Abbruch in der Konsole durch Strg+C
Im Webmenü dropbear habe ich die beiden Schaltflächen root & passwort deaktiviert
Keys sind auf dem Client und Server vorhanden und eingebunden

Danach gebe ich in der Konsole make dropbear-dirclean ein. Danach nochmals make, was wohl falsch ist und lade die Firmware in der Box.

Das Ergebniss ist dann, ich kann mich mit dem eben angelegten Benutzer via ssh anmelden. Erstelle ich nun einen weiteren User inkl. Zertifikat, tritt bei dem neuen User das gleiche Problem auf.

Weil, wenn ich Dich richtig verstanden habe ich nach make dropber-dirclean das make weglassen muß. Richtig?

Lieben Gruß von Stefan

 

[MaxMuster]

Eine neue Firmware muss nur einmal gebaut werden, wenn diese "only root"-Einstellung im "make menuconfig" geändert wurde.
Es sollte niemals nögtig sein, vor (je)der Anmeldung auf der Box eine neue FW zu bauen und zu flashen.

Nur einmal die neu FW auf die Box, danach kann alles innerhalb von Freetz eingestellt werden...

 

[sharbich]

Hallo MaxMuster,

vielen Dankf ür Deine Antwort. Werde ich befolgen und noch ein schönes WE.

Lieben Gruß von Stefan

 

[olistudent]

Eine neue Firmware muss nur einmal gebaut werden, wenn diese "only root"-Einstellung im "make menuconfig" geändert wurde.

Wann gab es die denn? Freetz-1.2? Im Trunk ist sie nicht mehr drin.

Gruß
Oliver