Ubuntu 22.04: SSH-Login nicht möglich trotz passender sshd_config

[JNTSCHRM]

Hallo,

ich habe eine Linux VM mit Ubuntu 22.04 aufgesetzt. Ich kann mich an der GUI mit root-User einloggen, allerdings kann ich mich z.B. über Putty nicht per SSH an dem Server anmelden. Fehlermeldung: Access denied
Passwort ist definitiv richtig.
Auch Mitglieder einer Windows-AD-Gruppe, die ich in der Datei /etc/ssh/sshd_config hinterlegt habe, können sich an der GUI anmelden, allerdings auch nicht über SSH.

"systemctl status sshd" sagt, dass der Login über SSH nicht aufgebaut wurde, weil der User nicht in "AllowUsers" aufgelistet ist. Allerdings ist er ja in der Datei hinterlegt.

Inhalt der Datei sshd_config sind die Zeilen folgendermaßen angepasst:

PermitRootLogin yes
AllowGroups root
AllowGroups linux_admin@[Domäne]
KbdInteractiveAuthentication no
UsePAM yes
X11Forwarding yes
PrintMotd no
AcceptEnv LANG LC_*
Subsystem sftp /usr/lib/openssh/sftp-server
PasswordAuthentication yes


Ich kann den Inhalt der Datei leider nicht rauskopieren, da die Vsphere Remoteconsole das nicht zulässt und ich ja per Putty nicht reinkomme, daher habe ich einfach alle nicht auskommentierten Zeilen abgetippt.

Was übersehe ich? Woran kann es liegen, dass der Zugriff mit SSH nicht zugelassen wird?

 

[IBISXI]

Versuch dich mal als normaler Benutzer anzumelden und dann auf root zu switchen.

 

[JNTSCHRM]

ich komme auch mit einem normalen lokalen "user" nicht per SSH rein, selbst wenn ich in die sshd_config "AllowUsers user" hinterlege.

 

[Dreia]

Starte mal den SSH Service neu, falls das noch nicht geschehen ist.

 

[IBISXI]

PubkeyAuthentication yes
AuthorizedKeysFile .ssh/authorized_keys

das hast Du?

 

[Benutzer_Nr1958]

Starte mal den SSH Service neu, falls das noch nicht geschehen ist.

Wenn er denn überhaupt installiert ist. Bei meiner Installation war er es nicht.

als root mal ausführen:


apt install openssh-server

 

[JNTSCHRM]

Starte mal den SSH Service neu, falls das noch nicht geschehen ist.

Habe den Dienst neugestartet und einen Reboot gemacht, hat nichts geholfen.

PubkeyAuthentication yes
AuthorizedKeysFile .ssh/authorized_keys

das hast Du?

habe die beiden Zeilen mal einkommentiert, hat jedoch auch nicht geändert.

Wenn er denn überhaupt installiert ist. Bei meiner Installation war er es nicht.

als root mal ausführen:


apt install openssh-server

Ist installiert, habe ich auch nochmal überprüft.

 

[Evil E-Lex]

Du hast nicht zufällig ein DenyUsers oder DenyGroups vor deinem AllowGroups-Parameter stehen? Ich würde außerdem den Parameter nicht doppelt aufführen, das klappt nicht.

Aus der man-Page:

AllowGroups
This keyword can be followed by a list of group name patterns, separated by spaces. If specified, login is allowed
only for users whose primary group or supplementary group list matches one of the patterns. Only group names are
valid; a numerical group ID is not recognized. By default, login is allowed for all groups. The allow/deny groups
directives are processed in the following order: DenyGroups, AllowGroups.

Hervorhebungen durch mich.

 

[JNTSCHRM]

Du hast nicht zufällig ein DenyUsers oder DenyGroups vor deinem AllowGroups-Parameter stehen? Ich würde außerdem den Parameter nicht doppelt aufführen, das klappt nicht.

Aus der man-Page:

Hervorhebungen durch mich.

Nein, ein Deny ist nirgends. Ich habe jetzt die beiden Zeilen
AllowGroups root
AllowGroups linux_admin@[Domäne]

zu

AllowGroups root linux_admin@[Domäne]

zusammengefasst. Hat aber auch nix gebracht.

 

[Evil E-Lex]

Poste mal bitte die vollständige sshd_config und die Ausgabe von groups BENUTZERNAME von einem Benutzer der sich einloggen können soll.

 

[up.whatever]

Wie sieht denn der Output von

$ sudo sshd -T | grep -i -e allow -e deny

aus?

 

[JNTSCHRM]

Poste mal bitte die vollständige sshd_config und die Ausgabe von groups BENUTZERNAME von einem Benutzer der sich einloggen können soll.

Ich kann die Ausgabe nirgends rauskopieren, da ich nur über die VmWare Webkonsole auf die VM zugreifen und man dort nichts rauskopieren kann. Ich kann dir aber alle nicht auskommentierten Zeilen hier abtippen:

etc/ssh/sshd_config

PermitRootLogin yes
AllowGroups root linux_admin@[Domäne]
AllowUsers User
PubkeyAuthentication yes
AuthorizedKeysFile .ssh/authorized_keys .ssh/authorized_keys2
KbdInteractiveAuthentication no
UsePAM yes
X11Forwarding yes
PrintMotd no
AcceptEnv LANG LC_*
Subsystem sftp /usr/lib/openssh/sftp-server
PasswordAuthentication yes

GROUPS root
root : root

Ergänzung (31. August 2022)

Wie sieht denn der Output von

$ sudo sshd -T | grep -i -e allow -e deny

aus?

allowusers user
allowgroups root
allowgroups linux_admin@[Domäne]

 

[riversource]

KbdInteractiveAuthentication no

Das muss meines Erachtens auf yes. "Keyboard Interactive Authentication" => Eingabe der Nutzerdaten über die Tastatur.

 

[up.whatever]

allowusers user
allowgroups root
allowgroups linux_admin@[Domäne]

Damit sollte der ssh Login genau für den User namens "user" möglich sein, und auch nur dann, wenn dieser Mitglied in beiden(*) angegeben Gruppen ist. Ist es das was du willst? Falls nicht ergibt die Config so keinen Sinn.

(*)Edit: ich nehme an, dass mehrere AllowGroups Statements nacheinander abgearbeitet werden. Du willst wahrscheinlich eher alle Gruppen in ein einziges Statement packen, damit es eine "oder-" statt einer "und-" Verknüpfung wird.

 

[JNTSCHRM]

Das muss meines Erachtens auf yes. "Keyboard Interactive Authentication" => Eingabe der Nutzerdaten über die Tastatur.

Habe ich probiert, funktioniert leider auch nicht.

Damit sollte der ssh Login genau für den User namens "user" möglich sein, und auch nur dann, wenn dieser Mitglied in beiden(*) angegeben Gruppen ist. Ist es das was du willst? Falls nicht ergibt die Config so keinen Sinn.

(*)Edit: ich nehme an, dass mehrere AllowGroups Statements nacheinander abgearbeitet werden. Du willst wahrscheinlich eher alle Gruppen in ein einziges Statement packen, damit es eine "oder-" statt einer "und-" Verknüpfung wird.

Ich hab die beiden AllowGroups Statements jetzt in eine Zeile gepackt, also

AllowGroups root linux_admin@[Domäne]

und die Zeile AllowUsers user gelöscht

Dann habe ich probiert, mich mit root über Putty anzumelden, geht aber auch nicht.

 

[rgbs]

Gruß
R.G.

 

[JNTSCHRM]

Anhang anzeigen 1255475


Gruß
R.G.

Daran liegt es leider auch nicht. Die Einstellung ist bereits aktiviert

 

[Evil E-Lex]

Was sagt: sshd -T?

 

[up.whatever]

Dann habe ich probiert, mich mit root über Putty anzumelden, geht aber auch nicht

Welche Fehlermeldung steht denn nun im Log?

 

[JNTSCHRM]

Welche Fehlermeldung steht denn nun im Log?

Was sagt: sshd -T?

port 22

addressfamily any

listenaddress [::]:22

listenaddress 0.0.0.0:22

usepam yes

logingracetime 120

x11displayoffset 10

maxauthtries 6

maxsessions 10

clientaliveinterval 0

clientalivecountmax 3

streamlocalbindmask 0177

permitrootlogin yes

ignorerhosts yes

ignoreuserknownhosts no

hostbasedauthentication no

hostbasedusesnamefrompacketonly no

pubkeyauthentication yes

kerberosauthentication no

kerberosorlocalpasswd yes

kerberosticketcleanup yes

gssapiauthentication no

gssapicleanupcredentials yes

gssapikeyexchange no

gssapistrictacceptorcheck yes

gssapistorecredentialsonrekey no

gssapikexalgorithms gss-group14-sha256-,gss-group16-sha512-,gss-nistp256-sha256-,gss-curve25519-sha256-,gss-group14-sha1-,gss-gex-sha1-

passwordauthentication yes

kbdinteractiveauthentication yes

printmotd no

printlastlog yes

x11forwarding yes

x11uselocalhost yes

permittty yes

permituserrc yes

strictmodes yes

tcpkeepalive yes

permitemptypasswords no

compression yes

gatewayports no

usedns no

allowtcpforwarding yes

allowagentforwarding yes

disableforwarding no

allowstreamlocalforwarding yes

streamlocalbindunlink no

fingerprinthash SHA256

exposeauthinfo no

pidfile /run/sshd.pid

modulifile /etc/ssh/moduli

xauthlocation /usr/bin/xauth

ciphers chacha20-poly1305@openssh.com,aes128-ctr,aes192-ctr,aes256-ctr,aes128-gcm@openssh.com,aes256-gcm@openssh.com

macs umac-64-etm@openssh.com,umac-128-etm@openssh.com,hmac-sha2-256-etm@openssh.com,hmac-sha2-512-etm@openssh.com,hmac-sha1-etm@openssh.com,umac-64@openssh.com,umac-128@openssh.com,hmac-sha2-256,hmac-sha2-512,hmac-sha1

banner none

forcecommand none

chrootdirectory none

trustedusercakeys none

revokedkeys none

securitykeyprovider internal

authorizedprincipalsfile none

versionaddendum none

authorizedkeyscommand none

authorizedkeyscommanduser none

authorizedprincipalscommand none

authorizedprincipalscommanduser none

hostkeyagent none

kexalgorithms curve25519-sha256,curve25519-sha256@libssh.org,ecdh-sha2-nistp256,ecdh-sha2-nistp384,ecdh-sha2-nistp521,sntrup761x25519-sha512@openssh.com,diffie-hellman-group-exchange-sha256,diffie-hellman-group16-sha512,diffie-hellman-group18-sha512,diffie-hellman-group14-sha256

casignaturealgorithms ssh-ed25519,ecdsa-sha2-nistp256,ecdsa-sha2-nistp384,ecdsa-sha2-nistp521,sk-ssh-ed25519@openssh.com,sk-ecdsa-sha2-nistp256@openssh.com,rsa-sha2-512,rsa-sha2-256

hostbasedacceptedalgorithms ssh-ed25519-cert-v01@openssh.com,ecdsa-sha2-nistp256-cert-v01@openssh.com,ecdsa-sha2-nistp384-cert-v01@openssh.com,ecdsa-sha2-nistp521-cert-v01@openssh.com,sk-ssh-ed25519-cert-v01@openssh.com,sk-ecdsa-sha2-nistp256-cert-v01@openssh.com,rsa-sha2-512-cert-v01@openssh.com,rsa-sha2-256-cert-v01@openssh.com,ssh-ed25519,ecdsa-sha2-nistp256,ecdsa-sha2-nistp384,ecdsa-sha2-nistp521,sk-ssh-ed25519@openssh.com,sk-ecdsa-sha2-nistp256@openssh.com,rsa-sha2-512,rsa-sha2-256

hostkeyalgorithms ssh-ed25519-cert-v01@openssh.com,ecdsa-sha2-nistp256-cert-v01@openssh.com,ecdsa-sha2-nistp384-cert-v01@openssh.com,ecdsa-sha2-nistp521-cert-v01@openssh.com,sk-ssh-ed25519-cert-v01@openssh.com,sk-ecdsa-sha2-nistp256-cert-v01@openssh.com,rsa-sha2-512-cert-v01@openssh.com,rsa-sha2-256-cert-v01@openssh.com,ssh-ed25519,ecdsa-sha2-nistp256,ecdsa-sha2-nistp384,ecdsa-sha2-nistp521,sk-ssh-ed25519@openssh.com,sk-ecdsa-sha2-nistp256@openssh.com,rsa-sha2-512,rsa-sha2-256

pubkeyacceptedalgorithms ssh-ed25519-cert-v01@openssh.com,ecdsa-sha2-nistp256-cert-v01@openssh.com,ecdsa-sha2-nistp384-cert-v01@openssh.com,ecdsa-sha2-nistp521-cert-v01@openssh.com,sk-ssh-ed25519-cert-v01@openssh.com,sk-ecdsa-sha2-nistp256-cert-v01@openssh.com,rsa-sha2-512-cert-v01@openssh.com,rsa-sha2-256-cert-v01@openssh.com,ssh-ed25519,ecdsa-sha2-nistp256,ecdsa-sha2-nistp384,ecdsa-sha2-nistp521,sk-ssh-ed25519@openssh.com,sk-ecdsa-sha2-nistp256@openssh.com,rsa-sha2-512,rsa-sha2-256

loglevel INFO

syslogfacility AUTH

authorizedkeysfile .ssh/authorized_keys .ssh/authorized_keys2

hostkey /etc/ssh/ssh_host_rsa_key

hostkey /etc/ssh/ssh_host_ecdsa_key

hostkey /etc/ssh/ssh_host_ed25519_key

allowusers user

allowgroups root

allowgroups linux_admin@

acceptenv LANG

acceptenv LC_*

authenticationmethods any

subsystem sftp /usr/lib/openssh/sftp-server

maxstartups 10:30:100

persourcemaxstartups none

persourcenetblocksize 32:128

permittunnel no

ipqos lowdelay throughput

rekeylimit 0 0

permitopen any

permitlisten any

permituserenvironment no

pubkeyauthoptions none