sshd und kern_securelevel

[MHoff]

Hallo

Ich bin gerade dabei mich näher mit FreeBSD als Serversystem zu beschäftigen was eigentlich auch recht gut klappt.

Nun habe ich ein Problem: Wenn ich die Option kern_securelevel= 1, 2 oder 3 setze ist der sshd nicht mehr erreichbar von aussen, wird aber mitgestartet.

Ich finde einfach keine Lösung für mein Problem.

 

[MHoff]

Die Lösung war das in der sshd_config erlaubte User eingetragen waren, es müssen Gruppen sein.

 

[asg]

Können auch User sein:

[...]
AllowUsers bofh yuckfou 
[...]

 

[Elessar]

Mich persönlich würde jetzt aber stark interessieren, warum es mit SecureLevel 0 und -1 funktioniert hat.

 

[asg]

Hmmmm....

asg@pcs99: /home/asg# sysctl kern.securelevel
kern.securelevel: 99999999
[/quote]
ssh klappt ohne Probleme auf die Kiste. 

Ich wusste gar nicht das es einen so hohen securelevel gibt.... ;-)

 

[MHoff]

Das Problem war ja das es mit AllowUsers nicht funktioniert hat.

 

[asg]

Dann ist irgendwas faul. Hier rennen einige Server mit ssh und AllowUsers, habe eben meine workstation einen etwas hohen securelevel gegeben, AllowUsers definiert, und ssh ging.
Seltsam.

 

[0815Chaot]

kern.securelevel: 99999999

Ich wusste gar nicht das es einen so hohen securelevel gibt.... ;-)

Ätsch, ich habe einen höheren

# sysctl kern.securelevel=999999999
kern.securelevel: -1 -> 999999999

Wenn du nicht weißt, warum der Securelevel bei dir auf 99999999 steht, solltest du dich aber noch mal da drum kümmern. Denn normal ist das nicht (tm).

Das Problem war ja das es mit AllowUsers nicht funktioniert hat.

Welches System benutzt du denn überhaupt? Verwendest du SSHD aus dem Basissystem? Zumindest in den mir bekannten SSHD-Versionen funktioniert AllowUsers unabhängig vom Securelevel. Guck auch evtl. noch mal in der Dokumentation nach, ob da ein solches Verhalten beschrieben wird, wäre mir aber neu. Ist vielleicht ein Bug in einer bestimmten SSHD-Version.

 

[asg]

@0815Chaot
Doch, ich weiss das, ich hab den so hochgestzt und war sehr verwundert das es so hoch geht.
Das höchste ist:
kern.securelevel: 2147483647

So, wer schreibt nun die manpage von "securelevel" weiter und erklärt den Rest der securelevel ;-)

 

[MHoff]

@0815Chaot

Der SSHd ist der Standard SSHd von FreeBSD 5.4-RELEASE.
Ich habe nichts genaues dazu gefunden, weswegen ich ich ja hier nachgefragt habe.

Mittlerweile habe ich herausgefunden das es mit AllowUsers funktioniert wenn der User in der Gruppe wheel ist, also auch ohne AllowGroups in der Config.

 

[Elessar]

Das Problem war ja das es mit AllowUsers nicht funktioniert hat.

Darum gehts doch gar nicht. Das war letztendlich bei dir der Fehler - ABER: deine initiale Fehlerbeschreibung:

Nun habe ich ein Problem: Wenn ich die Option kern_securelevel= 1, 2 oder 3 setze ist der sshd nicht mehr erreichbar von aussen

Das impliziert (jedenfalls meinem Verständnis nach), das alles geklappt hat bei SecLevel -1 und 0. Wenn dem so ist - hast du es auf den beiden Einstellungen getestet? - dann ist wirklich was faul.

 

[0815Chaot]

So, wer schreibt nun die manpage von "securelevel" weiter und erklärt den Rest der securelevel ;-)

Das ist ja schnell erledigt:

»4 to 2147483647: really useless secure modes - same as insecure mode.«

Soll ich 'nen PR aufmachen?

Mittlerweile habe ich herausgefunden das es mit AllowUsers funktioniert wenn der User in der Gruppe wheel ist

Das ist zwar ein nettes Feature, aber es sollte vielleicht auch irgendwo dokumentiert werden. Vielleicht doch Zeit für 'nen PR? Naja, das Wetter ist gerade so schön (nach langer Zeit mal wieder), vielleicht kann ja mal jemand anderes noch mal genauer nachsehen. Ist halt die Frage, ob das wirklich nicht irgendwo dokumentiert ist, wo ich jetzt nicht geguckt habe. In init(8), sshd_config(5) und sshd(8) stand dazu jedenfalls nichts, sofern ich nichts überlesen habe.

 

[MHoff]

Das impliziert (jedenfalls meinem Verständnis nach), das alles geklappt hat bei SecLevel -1 und 0. Wenn dem so ist - hast du es auf den beiden Einstellungen getestet? - dann ist wirklich was faul.

Ja, ich habe es auf beiden Einstellungen getestet (-1 und 0) wo es so funktioniert wie es soll.

Ich würde nicht sagen das ich in Sachen Sicherheit dumm oder unerfahren bin, nur ist das administrieren eines FreeBSD Systems noch zum großen Teil Neuland für mich, komme halt aus der Linuxecke.
Dort ist das ein oder andere nun mal ähnlich aber nicht das gleiche, vor allem was die Sicherheit angeht die schon vom System angeboten wird. Ich lerne weiter

Das gleiche "Problem", was ja eigentlich keins mehr ist, hat ein Bekannter ebenfalls. Laut seiner Aussage nur bei einem 5.4 System.

 

[Elessar]

Ich bin kein SSH Guru mit Räucherstäbchen-Schrein in der Ecke, aber imho sollte sich das Verhalten des SSHd nicht verändern, unabhängig vom SecLevel. Further Investigating...