Nach Editieren der sshd_config Fehlermeldung

Kenny1980

Benutzer
Mitglied seit
17. Okt 2020
Beiträge
25
Punkte für Reaktionen
2
Punkte
3
Hallo zusammen,
ich habe etwas fahrlässig meine sshd_config editiert und seitdem nur noch die Fehlermeldung:

Netzwerkfehler: Verbindung zum Host "IP" wurde abgelehnt.

Da ich vermute, dass sich irgendwo ein Fehler eingeschlichen hat. Hat jemand eine org. Datei zur Hand? Eigentlich wollte ich nur den root Login zulassen, damit ich den Pfad der VM anpassen kann.

Oder gibt es eine andere Erklärung das es nicht mehr funktioniert?

Grüße aus dem Süden.
 

Fusion

Benutzer
Sehr erfahren
Mitglied seit
06. Apr 2013
Beiträge
14.164
Punkte für Reaktionen
915
Punkte
424
IP wegen mehrfacher Falschanmeldung blockiert?
SSH in der GUI deaktivert und wieder aktiviert?
 

Kenny1980

Benutzer
Mitglied seit
17. Okt 2020
Beiträge
25
Punkte für Reaktionen
2
Punkte
3
Hi, per Weboberfläche komm ich noch drauf. Ebenso per Telnet. In der Gui hab ich es deaktiviert und nach einem Neustart nochmal aktiviert. Leider ohne Erfolg.
 

Fusion

Benutzer
Sehr erfahren
Mitglied seit
06. Apr 2013
Beiträge
14.164
Punkte für Reaktionen
915
Punkte
424
Wenn du per Telnet drauf kommst kannst doch rückgängig machen, was immer du angestellt hast?
 

Kenny1980

Benutzer
Mitglied seit
17. Okt 2020
Beiträge
25
Punkte für Reaktionen
2
Punkte
3
Genau das ist ja das Problem.... eigentlich sollte nur ein # entfernt werden. aber nach diesem Schritt (ebenfalls Rückgängig) machen bin ich mir jetzt nicht sicher das ich durch irgendwelche Tastatureingaben "vi"bedingt einen Fehler eingebracht habe.
 

the other

Benutzer
Sehr erfahren
Mitglied seit
17. Okt 2015
Beiträge
2.106
Punkte für Reaktionen
545
Punkte
154
Moinsen,
mach es einfach wie von @Fusion beschrieben: Telnet, anmelden, wieder zur sshd_config hangeln, dort mit zB nano wieder reingehen und (kannste ja mal posten) die Angaben zurücksetzen....
 

the other

Benutzer
Sehr erfahren
Mitglied seit
17. Okt 2015
Beiträge
2.106
Punkte für Reaktionen
545
Punkte
154
Moinsen,
Nachtrag: besorg dir nano als Editor. Das wäre mein Tip...vi find ich auch nach zig Versuchen sperrig in der Anwendung und bislang gab es nix, was Nano nicht auch gekonnt hätte für meine Anwendung. Wesentlich leichter in der Bedienung...jm2c
 

Kenny1980

Benutzer
Mitglied seit
17. Okt 2020
Beiträge
25
Punkte für Reaktionen
2
Punkte
3
Code:
#   $OpenBSD: sshd_config,v 1.100 2016/08/15 12:32:04 naddy Exp $

# This is the sshd server system-wide configuration file.  See
# sshd_config(5) for more information.

# This sshd was compiled with PATH=/usr/bin:/bin:/usr/sbin:/sbin

# The strategy used for options in the default sshd_config shipped with
# OpenSSH is to specify options with their default value where
# possible, but leave them commented.  Uncommented options override the
# default value.

#Port 22
#AddressFamily any
#ListenAddress 0.0.0.0
#ListenAddress ::

#HostKey /etc/ssh/ssh_host_rsa_key
#HostKey /etc/ssh/ssh_host_dsa_key
#HostKey /etc/ssh/ssh_host_ecdsa_key
#HostKey /etc/ssh/ssh_host_ed25519_key

# Ciphers and keying
#RekeyLimit default none

# Logging
#SyslogFacility AUTH
#LogLevel INFO

# Authentication:

#LoginGraceTime 2m
#PermitRootLogin prohibit-password
#StrictModes yes
#MaxAuthTries 6
#MaxSessions 10

#PubkeyAuthentication yes

# The default is to check both .ssh/authorized_keys and .ssh/authorized_keys2
# but this is overridden so installations will only check .ssh/authorized_keys
#AuthorizedKeysFile .ssh/authorized_keys

#AuthorizedPrincipalsFile none

#AuthorizedKeysCommand none
#AuthorizedKeysCommandUser nobody

# For this to work you will also need host keys in /etc/ssh/ssh_known_hosts
#HostbasedAuthentication no
# Change to yes if you don't trust ~/.ssh/known_hosts for
# HostbasedAuthentication
#IgnoreUserKnownHosts no
# Don't read the user's ~/.rhosts and ~/.shosts files
#IgnoreRhosts yes

# To disable tunneled clear text passwords, change to no here!
PasswordAuthentication yes
#PermitEmptyPasswords no

# Change to no to disable s/key passwords
ChallengeResponseAuthentication no

# Kerberos options
#KerberosAuthentication no
#KerberosOrLocalPasswd yes
#KerberosTicketCleanup yes
#KerberosGetAFSToken no

# GSSAPI options
#GSSAPIAuthentication no
#GSSAPICleanupCredentials yes

# Set this to 'yes' to enable PAM authentication, account processing,
# and session processing. If this is enabled, PAM authentication will
# be allowed through the ChallengeResponseAuthentication and
# PasswordAuthentication.  Depending on your PAM configuration,
# PAM authentication via ChallengeResponseAuthentication may bypass
# the setting of "PermitRootLogin without-password".
# If you just want the PAM account and session checks to run without
# PAM authentication, then enable this but set PasswordAuthentication
# and ChallengeResponseAuthentication to 'no'.

#AllowAgentForwardint
yes
AllowTcpForwarding no
#GatewayPorts no
#X11Forwarding no
#X11DisplayOffset 10
#X11UseLocalhost yes
#PermitTTY yes
#PrintMotd yes
#PrintLastLog yes
#TCPKeepAlive yes
#UseLogin no
#UsePrivilegeSeparation sandbox
#PermitUserEnvironment no
#Compression delayed
#ClientAliveInterval 0
#ClientAliveCountMax 3
#UseDNS no
#PidFile /var/run/sshd.pid
#MaxStartups 10:30:100
#PermitTunnel no
ChrootDirectory none
#VersionAddendum none

# no default banner path
#Banner none

# override default of no subsystems
#Subsystem  sftp    /usr/libexec/sftp-server
Subsystem       sftp    internal-sftp -f DAEMON -u 000

# Example of overriding settings on a per-user basis
#Match User anoncvs
#   X11Forwarding no
#   AllowTcpForwarding no
#   PermitTTY no
#   ForceCommand cvs server
Match User root
    AllowTcpForwarding yes
Match User admin
    AllowTcpForwarding yes
Match User anonymous
    AllowTcpForwarding no
    GatewayPorts no


Wäre Top wenn sich der Fehler finden würde... Ich war nirgends anders drin als hier !
 

Fusion

Benutzer
Sehr erfahren
Mitglied seit
06. Apr 2013
Beiträge
14.164
Punkte für Reaktionen
915
Punkte
424
Es fehlt
UsePAM yes

Und
#AllowAgentForwardint yes
sollte heißen
#AllowAgentForwarding yes
 

Kenny1980

Benutzer
Mitglied seit
17. Okt 2020
Beiträge
25
Punkte für Reaktionen
2
Punkte
3
Komisch kann ich mir nicht erklären wie die verschwinden konnten.

Wo wird das genau eingetragen?
 

Fusion

Benutzer
Sehr erfahren
Mitglied seit
06. Apr 2013
Beiträge
14.164
Punkte für Reaktionen
915
Punkte
424
Ist egal.
Aber lies die Kommentare in der Datei, dann siehst du wo es normal steht. ;)
 

haydibe

Benutzer
Sehr erfahren
Mitglied seit
12. Apr 2016
Beiträge
1.523
Punkte für Reaktionen
412
Punkte
103
Kleiner Hinweis zur sshd_conf:

im Auslieferungszustand sind die Default-Konfigurationen auskommentiert hintelegt - diese greifen unabhängig davon ob die Einstellung auskommentiert ist oder nicht! Erst wenn man ein abweichendes Verhalten konfigurieren will, ergibt es Sinn bei einer Einstellung das "#" zu entfernen und den geänderten Wert zu setzen.

In vielen Syno-SSH-Anleitungen sind Schritte angegeben, bei denen etwas an /etc/ssh/sshd_conf geändert werden soll. Normalerweise ist das nicht notwendig, weil sie oft nur das einkommentieren von auskommentierten Optionen beschrieben wird... was exakt null unterschied macht ^^

Bspw. muss man für Keyauth (egal ob mit rsa, ecdsa oder ed25519) NICHTS daran veränden, obwohl es überall beschrieben wird. Die einzig relevanten Punkte dabei sind: der Benutzer für das Keyauth MUSS in der Gruppe Admistratoren sein, der Public-Key muss als ~/.ssh/authorized_keys mit 600er Berechtigung liegen, das die Vereichniss ~ und ~/.ssh müssen eine 700er Berechtigung haben (gerade ~ ist nach der Erzeugung von neuen Benutzern falsch!) UND der Benutzer muss in /etc/passwd als Login-Shell /bin/sh oder /bin/ash hinterlegt haben. Dafür muss rein gar nichts in er sshd_conf getan werden oder gar der SSH-Daemon neu gestartet werden.

Mir ist aufgefallen, dass der Neustart vom SSH-Deamon über die Shell manchmal "hängen" bleibt und noch mal neugestartet werden muss.
 
Zuletzt bearbeitet:


 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat