Ubuntu-Zugriff auf "root" über "WinSCP" schlägt fehl

[Snoopy69]

Ich würde gerne über WinSCP auf einen Ubuntu-Rechner im Netzwerk auf root zugreifen. Nach Auth. erscheint die Meldung, dass "root" verwendet wird. Ist das der Grund, warum ich trotz richtigem Passwort nicht drauf zugreifen kann?

Mache ich das Gleiche mit "user@192.168.188.42", komme ich zwar in den Rechner und kann dort alles lesen, aber ich kann nichts erstellen, ändern oder löschen

 

[madmax2010]

Dann hat der User keinen Schreibzugriff auf die Ordner und root darf nicht via ssh mit passwort drauf.
Ist das nur in deinem heimnetz erreichbar oder soll der auch von außen erreichbar sein.
Auf welche ordner willst du denn zugreifen?

 

[Raijin]

Dass "root" verwendet wird, ist an dieser Stelle meines Erachtens nur eine Information, weil du explizit root@192.168.188.42 verbindest, also direkt den Benutzernamen mitgibst. Deswegen erscheint nur die Passwortabfrage. Ohne root@ würde mutmaßlich erst der Benutzername abgefragt werden und dann das Passwort.

Ein Login-Limit wie du es vermutest, gibt es eigentlich nicht. Zumindest ist mir keines bekannt. root kannst du also ein Dutzend Mal parallel anmelden, wenn du möchtest. Ich habe häufig diverse ssh-Sessions parallel offen.

Ergänzung (27. November 2021)

Es kann natürlich sein, dass der Login für "root" generell deaktiviert ist. root ist ein gefährliches Konto und bei Ubuntu ist es normalerweise so, dass man einen Benutzer anlegt, den man in die sudo-Gruppe legt. Anschließend kann man sich bei diesem Benutzer mittels "sudo" root-Rechte holen, ohne sich ins root-Konto einloggen zu müssen - was unter Umständen ja auch gar nicht geht, wenn der root-Login deaktiviert ist.

Prüfe daher zunächst einmal ob du mittels ssh als root einloggen kannst, ggfs auch direkt lokal auf 192.168.188.42 testen.

 

[Snoopy69]

Dann hat der User keinen Schreibzugriff auf die Ordner und root darf nicht via ssh mit passwort drauf.
Ist das nur in deinem heimnetz erreichbar oder soll der auch von außen erreichbar sein.
Auf welche ordner willst du denn zugreifen?

Soll nur im Heimnetz erreichbar sein und auch nur solange, bis ich alles geschrieben hab.
Es handelt sich nicht um Ordner des Systems. Ich will welche erstellen (auch Dateien). Aber mit WinSCP ist das unter "user@..." nicht möglich


@Raijin

Das klingt ziemlich komplex
Also ist es ohne an Ubuntu was zu ändern nicht möglich, üder WinSCP darauf zuzugreifen, damit ich was ändern/erstellen kann?

 

[Der Lord]

Root Login per SSH ist oftmals default deaktiviert - aus gutem Grund. Im Heimnetz spricht aber nichts nicht viel dagegen das zu erlauben.

Schau mal in die Config /etc/ssh/sshd_config
Dort muss dann PermitRootLogin auf "yes" stehen (und die ganze Zeile auch nicht auskommentiert sein).
(anschließend sshd neustarten)

Ansonsten kannst du ggf. auch den unbekannten Ordner, in dem du Dateien erstellen/bearbeiten möchtest, für deinen User freigeben (chmod oder chown). Gibt viele Lösungen für unbekannte Probleme.

Also ist es ohne an Ubuntu was zu ändern nicht möglich, üder WinSCP darauf zuzugreifen, damit ich was ändern/erstellen kann?

Jap: https://www.ubuntu18.com/ssh-permitrootlogin/
Zumindest wenn es um Dateien geht, auf die dein normaler User keinen Zugriff hat, sondern nur root.

 

[Snoopy69]

Ok...
Kann man sshd neu starten ohne den ganzen Rechner neu starten zu müssen?

Drin steht momentan...

#PermitRootLogin prohibit-password

 

[Der Lord]

ja... stand auch im Link

systemctl restart sshd.service

Beachte auch:

Note that Ubuntu root account does not have a password by default. So if you want to log in to root ssh account, first you muse have set a password for the root user.

 

[Sykehouse]

Warum nicht einfach, wie von Ubuntu vorgesehen, sudo nutzen?

 

[blablub1212]

Root-Login über SSH ist eine wirklich dumme Idee. Unter Linux gibt es hier sudo und falls wirklich notwendig auch su. Damit bekommst du Admin-Rechte und kannst auch alles lesen, schreiben und verändern.

https://wiki.ubuntuusers.de/sudo/Konfiguration/

 

[Raijin]

Gib deinem Benutzer einfach die nötigen Berechtigungen. Selbst wenn du das jetzt nur "temporär" aktivierst und danach wieder deaktivierst, wirst du es das nächste Mal wieder so machen und das übernächste Mal auch und wieder und wieder. Irgendwann vergisst du aber, es wieder rückgängig zu machen.

 

[Der Lord]

@Sykehouse und @blablub1212
weil sudo und WinSCP nicht wirklich gut funktioniert. also, schätze ich mal.

Ansonsten +1 für passende Berechtigungen, schlug ich ja ebenfalls schon vor.

 

[blablub1212]

Über WinSCP kann auch direkt nach dem Login in einen anderen User gewechselt werden:

https://blog.t-systems-mms.com/tech-insights/winscp-mit-sudo-nutzen
https://winscp.net/eng/docs/faq_su#use_sudo_on_login

 

[Snoopy69]

ja... stand auch im Link

systemctl restart sshd.service

Beachte auch:

Dieses "prohihbit-password" besagt, dass sich root nicht über ein Passwort anmelden darf, richtig?
Gilt das nur für eine Anmeldungen im Netzwerk? Also für Anmeldungen, die NICHT direkt am Rechner gemacht wurden?

 

[madmax2010]

genau. allerdings ist die zeile auskommentiert.

schau mal nach einer zeile mit 'permit' und 'root'

 

[Snoopy69]

Es ist diese Zeile
Ich müsste also "nur noch" #PermitRootLogin prohibit-password gegen #PermitRootLogin yes ersetzen

 

[mibbio]

Dieses "prohihbit-password" besagt, dass sich root nicht über ein Passwort anmelden darf, richtig?

Wenn es nicht auskommentiert wäre, ja. Ein # am Anfang der Zeile markiert die aber als Kommentar, wird also nicht berücksichtigt und somit ist dafür dann der Default-Wert aktiv. Der ist default zwar auch "prohibit-password", da Ubuntu selbst erstmal kein Passwort gesetzt hat, geht der Login eben auch nicht.

Ich müsste also "nur noch" #PermitRootLogin prohibit-password gegen #PermitRootLogin yes ersetzen

Entweder das (dann geht der Login auch ohne Passwort) oder besser wäre, prohibit-password zu lassen und für root ein Passwort festlegen. Weil sonst kann sich jeder, der sich im Netzwerk befindet, komplett ohne Passwort als Root anmelden.

 

[Der Lord]

@blablub1212 entweder ich stehe gerade aufm Schlauch, oder ist durch deine verlinkte Anleitung der root Zugriff via sudo OHNE Passwort möglich? Das ist dann aber auch nicht mehr viel sicherer als der direkte root Login.

Ich müsste also "nur noch" #PermitRootLogin prohibit-password gegen #PermitRootLogin yes ersetzen

hm...

Dort muss dann PermitRootLogin auf "yes" stehen (und die ganze Zeile auch nicht auskommentiert sein).

wurde schon mal erwähnt. Ergebnis also:
PermitRootLogin yes (ohne Raute davor!)

Lies doch einfach mal meine verlinkte Anleitung aufmerksam durch. Ist doch ziemlich genau dort beschrieben. Auch einen Hinweis zum default leerem root Passwort gibt es dort.

 

[Raijin]

Ich möchte nochmal mit Nachdruck davor warnen, den root-Login einfach so zu öffnen, wenn du nicht ganz genau weißt was du da tust! Gewöhnst du dir das erstmal an und machst den oder einen anderen Server irgendwann mal aus dem Internet erreichbar (oder ggfs ein Miet-Server im www), wirst du alle paar Minuten mit Wörterbuchattacken mit root-Login zugeballert! root ist via ssh aus gutem Grund deaktiviert und sollte nicht einfach so aktiviert werden, weil man keine Lust hat, die Berechtigungen der User korrekt zu setzen.
Genau genommen ist es nämlich sogar so, dass der root-Login im ssh meistens gar nicht mit Passwort, sondern mittels Zertifikat erfolgt, um eine weitere Ebene zwischen den Angreifern und dem System zu etablieren.

Warum also setzt du für deinen User nicht einfach die korrekten Rechte? Oder warum erstellst du dir nicht einen neuen User, der die benötigten Rechte bekommt, falls der ursprüngliche User diese Rechte nicht auf Dauer haben soll?

 

[Der Lord]

Ich bin prinzpipiell absolut bei dir, @Raijin. Dennoch ist es in meinen Augen schon ein Unterschied, ob der Server privat nur im LAN, oder eben public im WWW betrieben wird.
Es ist richtig, und wichtig!, dass man auf die Gefahren hinweist, dennoch herrschen im LAN, gesichert hinter dem eigenen Router, ganz andere Anforderungen als bei einem Server der völlig ungeschützt und ohne sonstige Schutzmaßnahmen im Internet hängt.
Aber ich gebe dir Recht, dass man sich dessen auch wirklich bewusst sein muss und sein LAN Setup nicht später einfach blind eins zu eins ins Internet übertragen darf. Aber jeder der Server im Internet betreibt, sollte(!) sich diesen Gefahren ohnehin bewusst sein - leider ist dies nicht immer der Fall.

Daher gibt es hier in meinen Augen zwei Möglichkeiten:
1) die saubere Methode: die Berechtigungen vernünftig vergeben, sodass der User eben die gewünschten Daten bearbeiten kann ohne root.
2) die quick and dirty Methode (und ausschließlich für lokal betriebene Server!): root freigeben und sich möglicher Gefahren bewusst sein, die jedoch im LAN durchaus überschaubar sind. Dazu gehört natürlich auch, dass man den SSH Port nicht im Router freigibt - sollte aber selbstverständlich sein.

Um's nochmal zu betonen: prinzipiell ist Methode 1 vorzuziehen.

 

[Raijin]

Aber ich gebe dir Recht, dass man sich dessen auch wirklich bewusst sein muss und sein LAN Setup nicht später einfach blind eins zu eins ins Internet übertragen darf. Aber jeder der Server im Internet betreibt, sollte(!) sich diesen Gefahren ohnehin bewusst sein - leider ist dies nicht immer der Fall.

Und genau das ist der Grund warum man gar nicht erst damit anfangen sollte. Der Mensch ist ein Gewohnheitstier und wenn man es einmal so macht, wird man es mit hoher Wahrscheinlichkeit auf so weitermachen - auch wenn es dann auf einem gemieteten Server ist. Warum? Es hat doch funktioniert und passiert ist auch nichts schlimmes, also weiter so.