ubuntuusers.de

Hallo, ich poste es einmal hier, wenn es nicht passt, bitte ich es zu verschieben.

Ich habe 2 Raspi, wovon eines an einem anderen Ort als Backup Server dient.

pi3 ist der Backup Server, raspi-u4 der Arbeitsserver

Täglich verband sich pi3 als root mit ssh-keys zu raspi-u4 um bestimmte Dateien mit rsnync abzuholen und zu sichern.

Seit 4.5.2025 werden keine Backups mehr gemacht.

Gemacht habe ich natürlich überhaupt nichts - sagten meine Kunden immer

Your account has expired; please contact your system administrator

ist die Fehlermeldung

da ich jetzt schon einige Zeit suche und keine Ursache finde, bitte ich hier um Tips

mit Webmin sehe ich nur ca. die Hälfte der Benutzer auf raspi-u4 als gewohnt, root ist nicht darunter, wie ich anders nachschauen kann weiß ich nicht

Danke

./.

Danke habs gefunden, beim 2. Aufruf waren alle Benutzer in Webmin da und das pw von root war am 4.5. abgelaufen

Ist der Administrator informiert?

mein Admin, das bin ich 😉

weholei schrieb:

[…] ssh-keys

• Wie und wann erzeugt?

• Welcher Art? Denkbar sind z.B. nackte Schlüssel, signierte/zertifizierte Schlüssel mit und ohne Gültigkeitszeitraum …

Du könntest ganz einfach mal das Systemlog während einer Anmeldung beobachten.

Vielleicht hat auch ein fieser Angreifer/Eindringling den Benutzer root generell gesperrt.

Danke KB für die Antwort

So generiere ich meine Schlüssel, da der original Befehl aus dem Wiki nicht funktioniert, ohne Passwort, damit das Script von cron ausgeführt wird.

SSH

ssh-keygen -t ed25519  -f ~/.ssh/ed25519-key.weholei

und setze einen Link damit es funktioniert:

lrwxrwxrwx 1 weholei weholei   27 Mai  8 08:47 id_rsa -> ../.ssh/ed25519-key.weholei

Vielleicht hat auch ein fieser Angreifer/Eindringling den Benutzer root generell gesperrt.

Mal den Teufel nicht an die Wand.

Wenn ich aus Unkenntnis eine Sicherheitslücke geschaffen habe, würde mich ein Hinweis darauf freuen.

Ich vermute, dass ich, um überhaupt den Schlüssel auf das Raspi übertragen zu können, ein Passwort für root erstellt hatte.

Lässt sich feststellen ob das Passwort noch existiert und es löschen?

weholei schrieb:

Lässt sich feststellen ob das Passwort noch existiert und es löschen?

Das alte Passwort existiert noch, aber kannst es evtl. nur noch zum setzen eines neuen Passwortes benutzen.
BTW: Eigentlich ist das Passwort nicht limitiert. Hast Du das absichtlich so konfiguriert? Siehe auch die Ausgaben von:

1
2

sudo chage -l root
chage -l $USER

Z. B.:

:~# chage -l root
Letzte Passwortänderung					: Mai 09, 2024
Passwort läuft ab					: nie
Passwort inaktiv					: nie
Benutzerzugang läuft ab					: nie
Minimale Anzahl der Tage zwischen Passwortänderungen	: 0
Maximale Anzahl der Tage zwischen Passwortänderungen	: 99999
Anzahl Tage, an denen vor Passwortablauf gewarnt wird	: 7

Bei Limitierung kannst Du auch eine rechtzeitige Warnung konfigurieren. Z. B.:

1

sudo chage -W 28 root

EDIT:

Wenn für root kein Passwort konfiguriert ist, sollte in der Ausgabe von chage, u. a. auch der Hinweis sein:

Letzte Passwortänderung			: Passwort gesperrt

EDIT 2:

BTW: Wenn Du für booten in den Single-User-Mode kein Root-Passwort brauchst, kannst Du das Root-Passwort zurücksetzen oder das Ablaufen des Root-Passwortes deaktivieren.

weholei schrieb:

[…] und setze einen Link damit es funktioniert:

lrwxrwxrwx 1 weholei weholei   27 Mai  8 08:47 id_rsa -> ../.ssh/ed25519-key.weholei

Normalerweise braucht man keinen Link. Wenn Du unüblich Dateinamen verwenden willst, sollte es aber jedenfalls der richtige Dateiname sein, also id_ed15519. Du versprichst dem System einen RSA-Schlüssel, lieferst aber einen ED25519. Ich kann mir vorstellen, dass eine solche falsche Angabe Fehlfunktionen verursachen könnte.

[…] Ich vermute, dass ich, um überhaupt den Schlüssel auf das Raspi übertragen zu können, ein Passwort für root erstellt hatte.

Zur Übertragung des öffentlichen Schlüssels vom Client auf den Server benötigt ein Benutzer keine Root-Rechte.

Lässt sich feststellen ob das Passwort noch existiert und es löschen?

Das läuft auf eine Bearbeitung des Benutzers root mit usermod hinaus.

Besten Dank lubux und kb für die informativen Antworten

Jetzt habe ich ein Werkzeug um beim nächsten Mal die Ausgabe von Webmin zu überprüfen.

desperado@pi4:~$ sudo chage -l testuser
Last password change                    : Oct 26, 2025
Password expires                    : never
Password inactive                    : never
Account expires                        : Jan 01, 2026
Minimum number of days between password change        : 0
Maximum number of days between password change        : 99999
Number of days of warning before password expires    : 7
desperado@pi4:~$ sudo -s

Interessant, das Passwort läuft nicht ab, nur der Account

Zur Übertragung des öffentlichen Schlüssels vom Client auf den Server benötigt ein Benutzer keine Root-Rechte.

Das schon, aber wenn man dem Wiki für die Übertragung des Schlüssels folgt und nicht weiß, dass man den Schlüssel auch in die authorized_keys kopieren kann, braucht root für den Erstkontakt auf dem Server per ssh ein Passwort. Oder wird bei der Installation für Root ein Standart-PW erstellt, was ich nur nicht weiß?

Du versprichst dem System einen RSA-Schlüssel, lieferst aber einen ED25519. Ich kann mir vorstellen, dass eine solche falsche Angabe Fehlfunktionen verursachen könnte.

Ach, der Meister wills nicht glauben,

auch mit Hammer kann man schrauben 😉

Du musst den Erstkontakt per ssh zum Server, nicht als root machen (… das ist als normaler user, möglich).

Du versprichst dem System einen RSA-Schlüssel, lieferst aber einen ED25519. Ich kann mir vorstellen, dass eine solche falsche Angabe Fehlfunktionen verursachen könnte.

Ich habe jetzt bei einem Testuser alle keys gelöscht, mit ED25519 neu erstellt, den Inhalt der Datei id_ed25519.pub in die Datei authorized_keys auf dem Server eingetragen.

Diesmal funktioniert es ohne Link

Danke für den Hinweis, bevor mir das irgendwann auf die Füße fällt, wenn ich nicht damit rechne, und stelle jetzt nach und nach alle keys um