dropbear: non-root login rejected

date80

Neuer User
Mitglied seit
6 Mrz 2007
Beiträge
3
Punkte für Reaktionen
0
Punkte
0
Hallo,

Login-Versuche mit einem neu angelegten Benutzer der Gruppe "users" mittels Passwort-Login (via putty) quittiert dropbear mit der Fehlermeldung "non-root login rejected" im sys-log. Der Login als root funktioniert hingegen anstandslos. Ich bin weder hier im Form noch beim googeln auf Berichte gestoßen in denen Benutzer von ähnlichen Problemen berichten.

Ich besitze eine Fritz!Box WLAN 3050 mit Firmware Version 16.04.07 und ds-mod 0.2.9.

Wäre super wenn mir jemand weiterhelfen könnte!
 
Der dropbear vom dsmod wird gepatcht, dass er nur noch root logins akzeptiert.

MfG Oliver
 
Aha - das erklärt natürlich meine Probleme. Danke!

Ich möchte eigentlich über einen an der Fritz!Box angeschlossenen USB-Stick einen kleinen privaten "Fileserver" betreiben. Eine Lösung mit dropbear und scp schien mir sinnvoller als die bereits von AVM eingebaute Variante mit dem ftp-Server (unverschlüsselt, keine Beschränkung der Zugriffsrechte auf bestimmte Verzeichnisse).
Die gepatchte Variante von dropbear scheint somit für meinen Einsatzzweck ungeeignet zu sein (mein root-Passwort werde ich natürlich nicht im Freundeskreis verteilen ;-) ).
Es gibt vermutlich einen guten Grund für diesen Patch?!
 
Damit sich z.B. der ftp-Benutzer nicht über ssh einloggen kann.

MfG Oliver
 
Ich hatte den Patch damals selbst geschrieben, da viel den FTP und SSH Server der Fritzbox durch Portforwardings freigegeben hatten und das Passwort somit unverschlüsselt übertragen wird. Damit sich diese Leute keine größeren Lücken reinreißen, war der Patch ein kleiner Hack. Außerdem gab es einige Fehler, wenn man man sich als nicht-root einloggt, denen ich nicht weiter nachgegangen bin. Du kannst den Patch einfach deaktivieren, wenn du ihn vor dem kompilieren im ds-mod löscht.

Mfg
danisahne
 
Denke ich werde es mal ohne den Patch versuchen - FTP werde ich nach außen eh nicht freigeben. Danke für eure Hilfe!

Gruß
Daniel
 
Um welchen patch handelt es sich bitte? Ist das im Freetz heute immer noch so?

21:23h:
Ich glaube, ich habe es gefunden:
.../freetz-trunk/make/dropbear/patches/100-root-login-only.patch
 
Zuletzt bearbeitet:
Ja, genau das ist der Patch.

MfG Oliver
 
hmm, das Problem ist aber immer noch da. Vielleicht muß man noch irgendwelche Objektdateien löschen, bevor man "make" aufruft?
 
Code:
make dropbear-dirclean
MfG Oliver
 
Kann dropbear das volle Protokoll 2 Format für die authorized keys file?

Konkret würde ich gerne wissen, ob man dem 'keytype' noch 'options' voranstellen kann.

Erläuterung s. http://www.openbsd.org/cgi-bin/man.cgi?query=sshd unter AUTHORIZED_KEYS FILE FORMAT

Ich habe meine Zweifel, weil jedesmal, wenn ich ein 'command=...'-Feld voranstelle, erkennt sshd meinen private key nicht mehr. Das könnte einer der Unterschiede zwischen dropbear und ssh sein und der Grund, warum dropbear schlanker ist.
 
Kann dropbear das volle Protokoll 2 Format für die authorized keys file?
Konkret würde ich gerne wissen, ob man dem 'keytype' noch 'options' voranstellen kann.

Nein, das klappt wohl derzeit nicht.
Dazu hat sich der Entwickler des dropbear irgendwann Ende letzten Jahres mal in seiner mailing list geäußert. In meiner Erinnerung war das so, daß alle Zeilenanfänge ohne 'ssh- ...' in .authorized_keys verworfen werden.


LG
 
Hallo olistudent,

das gleiche Problem hatte ich bei meiner 7390 mit Version 84.04.91. Allerdings muss ich das oben beschriebene Verfahren immer anwenden, wenn ich ein neuen User angelegt habe. Kannst Du Dir vorstellen warum?

Lieben Gruß von Stefan
 
Hallo Stefan.

Welches Problem meinst du? Der letzte Beitrag ist inzwischen 5 Jahre alt und seit einiger Zeit existiert im Webinterface eine Option für dieses Verhalten...

Gruß
Oliver
 
Hallo olistudent,

ich weiß das es im Webinterface dazu eine Option gibt, die scheint aber nicht zu funktionieren. (Nur root & mit oder ohne Passwort). Nur wenn ich auf der Konsole

Code:
make dropbear-dirclean

eingebe funktioniert es nach make und upload der neuen Firmware.

Lieben Gruß von Stefan
 
Es wäre gut, wenn Du vollständig beschreibst, was Du tust. Nur "make dropbear-dirclean" und "make" wird noch einmal genau den gleichen dropbear erstellen wie beim ersten make. Außerdem hat "make dropbear-dirclean" nur dann einen Sinn, wenn man vorher schon etwas getan hat, sonst gibt es noch nichts, was gelöscht werden kann.
 
Hallo RalfFriedl,

ich mache folgendes:

1. Zugriff mit via ssh "boxname" => mit root funktioniert
2. Zugriff mit neu angelegten Benutzer + Zertifikat bleibt nach Willkommensmeldung stehen (Curser blinkt noch ein Moment dann nichts mehr)
3. Abbruch in der Konsole durch Strg+C
Im Webmenü dropbear habe ich die beiden Schaltflächen root & passwort deaktiviert
Keys sind auf dem Client und Server vorhanden und eingebunden

Danach gebe ich in der Konsole make dropbear-dirclean ein. Danach nochmals make, was wohl falsch ist und lade die Firmware in der Box.

Das Ergebniss ist dann, ich kann mich mit dem eben angelegten Benutzer via ssh anmelden. Erstelle ich nun einen weiteren User inkl. Zertifikat, tritt bei dem neuen User das gleiche Problem auf.

Weil, wenn ich Dich richtig verstanden habe ich nach make dropber-dirclean das make weglassen muß. Richtig?

Lieben Gruß von Stefan
 
Eine neue Firmware muss nur einmal gebaut werden, wenn diese "only root"-Einstellung im "make menuconfig" geändert wurde.
Es sollte niemals nögtig sein, vor (je)der Anmeldung auf der Box eine neue FW zu bauen und zu flashen.

Nur einmal die neu FW auf die Box, danach kann alles innerhalb von Freetz eingestellt werden...
 
Zuletzt bearbeitet:
Hallo MaxMuster,

vielen Dankf ür Deine Antwort. Werde ich befolgen und noch ein schönes WE.

Lieben Gruß von Stefan
 
Eine neue Firmware muss nur einmal gebaut werden, wenn diese "only root"-Einstellung im "make menuconfig" geändert wurde.
Wann gab es die denn? Freetz-1.2? Im Trunk ist sie nicht mehr drin.

Gruß
Oliver
 

Statistik des Forums

Themen
246,300
Beiträge
2,249,714
Mitglieder
373,904
Neuestes Mitglied
Elemir
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.