staging.inyokaproject.org

Moin Moin,

ich hab die SSHD config von meinem Server bearbeitet um die Anmeldung über Schlüsseldateien zuzulassen. Dabei war ich etwas unaufmerksam und habe die Option PermitEmptyPasswords aktiviert. Nun ist die Frage wie dramatisch das war. Die Maschine lief einige Tage so.

Ich bin mir allerdings unsicher was die Option genau macht.

Meine Befürchtung ist, dass sich mehrere Tage jeder als root anmelden konnte, da root ja eben kein passwort hat.

In den Logs habe ich keine Hinweise auf erfolgte Anmneldungen gefunden, allerdings wäre es für einen Angreifer/Malware auch kein Problem, die Logs zu ändern. Deswegen weiß ich nicht, wieviel die Logs wert sind.

Die Maschine hat jetzt keine super wichtigen Dienste laufen, ich benutze sie mehr als Testmaschine um Dinge auszuprobieren. Allerdings sind dort in Config Datein auch LoginTokens für mehrere APIs drinne und solche Geschichten.

Hat root "kein passwort" oder ein "leeres Passwort"? Macht Ubuntu einen Unterschied zwischen "Empty password" und "no password".

Könnte mir jemand mit mehr Ahnung eine Einschätzung geben bitte.

Vielen Dank im Voraus und liebe Grüße.

Nach meinem Kenntnisstand funktioniert der Login per leerem Kenntwort bei root auch nicht. Zudem müsste der root-Login in sshd explizit aktiviert worden sein.

DJKUhpisse schrieb:

Nach meinem Kenntnisstand funktioniert der Login per leerem Kenntwort bei root auch nicht. Zudem müsste der root-Login in sshd explizit aktiviert worden sein.

Root Login war/ist aktiv.

honk1337 schrieb:

Root Login war/ist aktiv.

Kannst ja vom Internetanschluss eines Freundes testen, ... ob das funktioniert was Du befürchtest.

Moin honk1337, Du schriebst:

Hat root "kein passwort" oder ein "leeres Passwort"? Macht Ubuntu einen Unterschied zwischen "Empty password" und "no password".

Ja, Ubuntu macht einen Unterschied dabei. Soweit ich weiß, ist die Standardeinstellung "no password", zumindest bei lokaler Anmeldung. Das hindert dich aber nicht daran, in einem späteren Schritt explizit mit dem Befehl passwd ein Passwort für root zu setzen.

Grüße

schollsky

Es gibt passwd --delete (empty, passwordless) und passwd --lock (password disabled).

Im ersteren kannst du dich ohne Passwort einloggen (leeres Passwort) wenn dies nicht durch Einstellungen verhindert wird (PermitEmpty).

Im zweiteren wird gar kein Passwort akzeptiert (Login über andere Wege, z.B. per SSH-Key, weiterhin möglich).

Bei Ubuntu ist der Root-Zugang im --lock Modus bis du es mit passwd änderst.

Im Zweifel in die /etc/shadow linsen... root:: ist empty, root:!: oder root:*: ist lock. root:$onstwasfürkomischeszeug: wäre irgendein Passwort-Hash (man 5 crypt).

frostschutz schrieb:

Es gibt passwd --delete (empty, passwordless) und passwd --lock (password disabled).

Im ersteren kannst du dich ohne Passwort einloggen (leeres Passwort) wenn dies nicht durch Einstellungen verhindert wird (PermitEmpty).

Im zweiteren wird gar kein Passwort akzeptiert (Login über andere Wege, z.B. per SSH-Key, weiterhin möglich).

Bei Ubuntu ist der Root-Zugang im --lock Modus bis du es mit passwd änderst.

Im Zweifel in die /etc/shadow linsen... root:: ist empty, root:!: oder root:*: ist lock. root:$onstwasfürkomischeszeug: wäre irgendein Passwort-Hash (man 5 crypt).

Das ist exakt die richtige Info. Der root user ist mit sternchen locked. Sprich er konnte sich niemals mit passwort einloggen und auch nicht mit leerem Passwort.

Ich hab da auch etwas missverstanden: In der SSHD config gibt/gab es eine option "PermitRootLogin without password = yes". Das bezieht sich allerdings nicht, wie ich geglaubt habe darauf, dass man sich einfach ohne Passwort einloggen kann, sondern dass die Passwort-Authentifizierung untersagt ist. In neueren Versionen von SSHD heißt die Option nun "PermitRootLogin ProhibitPassword" ist also nicht mehr so missverständlich.

Danke auch für die anderen Antworten.