Merhaba PAM dosyalarını kontrol ettikten sonra olayı çözdüm. system-auth ile password-auth dosyası birbirinden tamamen farklı. password-auth'ta bir hayli eksik vardı. aslında bunu daha önce kontrol etmiştim ama pam ile "farklı" bir parola da verilebileceğini bilmiyordum bu sebeple buradandır diye düşünmemiştim. aslında bu dosyaları artık ansible ile standart olarak basıyoruz ancak bu sunucu atıl durumda olan eski kalmış bir sunucu idi bu sebeple gözden kaçmış ben de sorunu görünce sunucuyu komple silmek yerine problemin sebebini öğrenmek istedim. PAM ile ilgili biraz okuma yapayım ben en iyisi :-)
password-auth dosyasını düzelttikten sonra sorun çözüldü. çok teşekkür ederim yardımlarınız için. @ünal bey zaten ssh yapabilecek ipler kısıtlı durumda. orada gözüken ip de benim istemcimin ipsi. Kayra Otaner <ota...@gmail.com>, 9 Kas 2018 Cum, 15:01 tarihinde şunu yazdı: > > Selamlar, > > Linux sunucularda PAM (Pluggable Authentication Module) dedigimiz bir yapi > mevcut. Her giris kapisina ayri bir module ve arkasaina da credential db > yerlestirebilirsiniz. Yani her kullanici icin console'dan dogrudan > erisilirken sifre 123456 iken SSH ile giriirken ABC123 olabilmesi mumkun. > > Daha detayli bilgi icin bir web sayfadsi : > > https://access.redhat.com/documentation/en-us/red_hat_enterprise_linux/6/html/managing_smart_cards/pluggable_authentication_modules > > > On Fri, Nov 9, 2018 at 2:40 PM Sefa Y <sefyil...@gmail.com> wrote: >> >> Merhaba, >> >> rkhunter ve lynis ile taradım sistemi ancak dişe dokunur bir şey yok. >> her şey normal gözüküyor alakasız yerlerdeki >> ufak uyarılar haricinde. >> >> # rpm -V openssh-server >> ..5....T. c /etc/ssh/sshd_config >> >> aureport -l -i ile kontrol ettiğimde de şöyle bir çıktı basıyor ssh >> girişinden sonra: >> >> 1954. 11/09/2018 14:32:19 unset 10.20.1.53 /dev/pts/1 /usr/sbin/sshd yes >> 65354 >> >> ayrıca anahtarla değil parola ile giriş yapılıyor: >> >> Nov 9 14:32:19 HOST sshd[16508]: Accepted password for root from >> client port 53143 ssh2 >> >> Mesut Güler <me...@egemenyazilim.com>, 9 Kas 2018 Cum, 12:45 tarihinde >> şunu yazdı: >> > >> > Merhabalar >> > >> > rootkit vb. gibi bir sorun olabilir. >> > rootkit taraması yapın >> > >> > özellikle ssh paketine ait dosyalarının doğruluğunu rpm ile kontrol >> > edebilirsiniz: >> > http://ftp.rpm.org/max-rpm/ch-rpm-verify.html >> > >> > >> > saygılar >> > >> > 9.11.2018 11:53 tarihinde Sefa Y yazdı: >> > >> > Merhaba herkese, >> > >> > Bugün ilginç bir durumla karşılaştım. Root parolası çok karmaşık şekilde >> > ayarlanmış bir adet red hat 6.9 sunucu var. (12 karakter, büyük-küçük >> > harf, rakam, özel karakter vb.) Ancak her nasıl oluyorsa bu sunucuya ssh >> > üzerinden gelirken root şifresini "dottie" veya "as" girdiğimizde de >> > girilebiliyor. Yerelde yetkisiz bir kullanıcıdan root'a geçmeye >> > çalıştığımızda bu şifreler işlemiyor, sadece ssh üzerinden işliyor. >> > >> > Şimdilik ssh ile root'a girilebilmesini "PermitRootLogin no" ayarı ile >> > engelledim ancak konuyu merak ettim açıkçası. Bu durum nasıl olabiliyor? >> > >> > Konuyla ilgili çeşitli açıklıklar yayımlanmış önceden: >> > https://www.tenable.com/plugins/nessus/31800 >> > >> > -- >> > sefa yıldız >> > >> > _______________________________________________ >> > Linux-sunucu E-Posta Listesi >> > Linux-sunucu@liste.linux.org.tr >> > >> > Liste kurallarını http://liste.linux.org.tr/kurallar.php bağlantısından >> > okuyabilirsiniz; >> > >> > Bu Listede neden bulunduğunuzu bilmiyorsanız veya artık bu listeden gelen >> > e-postaları almak istemiyorsanız aşağıdaki bağlantı adresini kullanarak 1 >> > dakika içinde üyeliğinizi sonlandırabilirsiniz. >> > https://liste.linux.org.tr/mailman/listinfo/linux-sunucu >> > >> > >> > _______________________________________________ >> > Linux-sunucu E-Posta Listesi >> > Linux-sunucu@liste.linux.org.tr >> > >> > Liste kurallarını http://liste.linux.org.tr/kurallar.php bağlantısından >> > okuyabilirsiniz; >> > >> > Bu Listede neden bulunduğunuzu bilmiyorsanız veya artık bu listeden gelen >> > e-postaları almak istemiyorsanız aşağıdaki bağlantı adresini kullanarak 1 >> > dakika içinde üyeliğinizi sonlandırabilirsiniz. >> > https://liste.linux.org.tr/mailman/listinfo/linux-sunucu >> >> >> >> -- >> sefa yıldız >> _______________________________________________ >> Linux-sunucu E-Posta Listesi >> Linux-sunucu@liste.linux.org.tr >> >> Liste kurallarını http://liste.linux.org.tr/kurallar.php bağlantısından >> okuyabilirsiniz; >> >> Bu Listede neden bulunduğunuzu bilmiyorsanız veya artık bu listeden gelen >> e-postaları almak istemiyorsanız aşağıdaki bağlantı adresini kullanarak 1 >> dakika içinde üyeliğinizi sonlandırabilirsiniz. >> https://liste.linux.org.tr/mailman/listinfo/linux-sunucu > > _______________________________________________ > Linux-sunucu E-Posta Listesi > Linux-sunucu@liste.linux.org.tr > > Liste kurallarını http://liste.linux.org.tr/kurallar.php bağlantısından > okuyabilirsiniz; > > Bu Listede neden bulunduğunuzu bilmiyorsanız veya artık bu listeden gelen > e-postaları almak istemiyorsanız aşağıdaki bağlantı adresini kullanarak 1 > dakika içinde üyeliğinizi sonlandırabilirsiniz. > https://liste.linux.org.tr/mailman/listinfo/linux-sunucu -- sefa yıldız _______________________________________________ Linux-sunucu E-Posta Listesi Linux-sunucu@liste.linux.org.tr Liste kurallarını http://liste.linux.org.tr/kurallar.php bağlantısından okuyabilirsiniz; Bu Listede neden bulunduğunuzu bilmiyorsanız veya artık bu listeden gelen e-postaları almak istemiyorsanız aşağıdaki bağlantı adresini kullanarak 1 dakika içinde üyeliğinizi sonlandırabilirsiniz. https://liste.linux.org.tr/mailman/listinfo/linux-sunucu
