Achtung: openssh-server version 7.2p2-6 ist defekt
Das heute von Fedora verteilte Update von openssh „7.2p2-6“ ist defekt. Wer per ssh auf einen Server mit dieser Version einloggt, sieht aus wie root, aber man ist nicht root. Man hat keine Root-Capabilities mehr, was z.b. darin gipfelt, daß man nicht mehr in sein eigenes Homeverzeichis wechseln kann.
Wer in seinem dnf.rpm.log das findet:
Oct 19 14:03:16 INFO Upgraded: openssh-7.2p2-6.fc23.i686 Oct 19 14:03:20 INFO Upgraded: openssh-server-7.2p2-6.fc23.i686 Oct 19 14:03:20 INFO Upgraded: openssh-clients-7.2p2-6.fc23.i686 Oct 19 14:03:20 INFO Cleanup: openssh-clients-7.2p2-3.fc23.i686 Oct 19 14:03:20 INFO Cleanup: openssh-server-7.2p2-3.fc23.i686 Oct 19 14:03:25 INFO Cleanup: openssh-7.2p2-3.fc23.i686
ist betroffen.
Aufgrund des Fehler kann man den Fehler auch nicht via SSH beheben. Ihr könnt natürlich auf das nächste Fedora Update warten, daß dann offentlich einen Bugfix enthält, aber bis dahin habt Ihr im Notfall ein Problem.
Bei RedHat ist bereits ein Bugticket offen und man arbeitet an einem Fix. Scheinbar ist SELinux, bzw. dessen Abwesenheit daran beteiligt.
Workaround: Downgrade auf 7.2p2-3
Über den Kojilink lädt man die drei Paket runter:
Koji : http://koji.fedoraproject.org/koji/buildinfo?buildID=756836
dann loggt man sich via MONITOR KONSOLE ein und downgraded die Files mit :
rpm -U –force openssh*rpm
danach in /etc/dnf/dnf.conf einfügen:
exclude=openssh*
erst dann zieht das nächste Update nicht wieder die defekte Version auf den Server.
Ich nutze zwar kein fedora, bin also nicht betroffen, aber interessehalber: Das Problem besteht nur wenn man sich per SSH als root anmeldet, nicht aber wenn man sich als Nutzer anmeldet und dann per su root wird?
Das zweite Vorgehen würde ich eh empfehlen, ich habe auf allen meinen Rechnern direkten root Zugang deaktiviert.
Wenn man per SSHD als normaler eingeloggt ist und zu Root wird, wird es wohl auch nicht funktionieren. Ich habs aber nicht ausprobiert.
Das zweite Vorgehen ist unnötig, wenn Du Dich per SSHKey anmeldest und nicht mit Passwort. Bevor jemand einen 4KBit Key durch Bruteforcen ausprobiert hat, vergehen Jahre.
in der sshd_config einfach „PermitRootLogin without-password“ aktivieren. So kannst Du am Ende auch SSH-Agenten benutzen um ganze Serverfarmen zu administrieren und es ist sicher 😉
„PermitRootLogin without-password“ ist eh schon aktiviert, mit Passwort geht bei meinen Rechnern gar nichts. Zusätzlich lasse ich root-login aber auch nicht zu. Dabei fühle ich mich einfach besser. Zugegeben, bei mir betrifft das ganze nur ein paar Rechner und mein Handy, eine Serverfarm habe ich nicht zu betreuen.