ISPConfig 3.0.4.1 Shell User funktionieren nicht

[mattula]

Es ist total seltsam. Ich habe zwei unabhaegige ISPConfig Installationen.
Bei der ersten scheint alles zu funktionieren.

Bei der zweiten funktionieren z.B. die Shell User nicht weder mit noch ohne Jailkit.

Fehler im auth.log ist:
sshd[5720]: debug1: temporarily_use_uid: 5004/5007 (e=0/0)
sshd[5720]: debug1: trying public key file /var/www/clients/client7/web5/.ssh/authorized_keys
sshd[5720]: debug1: Could not open keyfile '/var/www/clients/client7/web5/.ssh/authorized_keys': Permission denied

Fakt ist, das ist tatsaechlich alles nur fuer root lesbar:

ls -la /var/www/clients/client7/web5/.ssh/
-rw------- 1 root root 2563 Dec 16 13:54 authorized_keys


Vergleiche ich mit meiner ersten ISPConfig Installation, dann werde dort Berechtigungen folgendermassen gesetzt:
-rw------- 1 web3 client1 1622 23. Nov 17:06 authorized_keys

Dort funktioniert somit auch der SSH Login.

Zum Setup des zweiten System muss ich sagen, es ist ein Cluster Setup.

/var/www, /var/lib/mysql und andere Dinge liegen auf einem gemeinsamen NFS Share und sind von dort per Symlink eingehaengt. Konfig wird grossteils per Csync2 synchronisiert.

Irgendwelche Ideen, was da schief laeuft.
Ich habe auch testweise schon /var/www wieder lokal kopiert - keine Aenderung am Verhalten

Gruss,
Matthias

[Till]

Welche ISPConfig Version verwendest Du? Sind die Rechte der anderen Verzeichnisse und Dateien des Webs in Ordnung?

[mattula]

Zitat:

Zitat von Till

Welche ISPConfig Version verwendest Du? Sind die Rechte der anderen Verzeichnisse und Dateien des Webs in Ordnung?

Version 3.0.4.1

Die uebergeordneten Berechtigungen scheinen zu stimmen, d.h. z.B:
/var/www/_DOMAIN_/home/_USER_/
drwxr-xr-x 3 web5 client7 4096 Dec 16 14:44 _USER_

Aber das .ssh Verzeichnis unterhalb sieht dann so aus:

drwxr-xr-x 2 root root 4096 Dec 16 14:44 .ssh
-rw------- 1 root root 1214 Dec 16 14:44 authorized_keys

Und das ist die Krux, mit 600 fur root auf authorized_keys darf nunmal niemand anderes diese Datei lesen.

[Till]

Siehe auch hier:

FS#1945 : Authorized keys file not readable by shell user

[mattula]

Zitat:

Zitat von Till

Siehe auch hier:

FS#1945 : Authorized keys file not readable by shell user

Ok, ich habe es nun nocheinmal mit einer Neuinstallation probiert.
Debian Squeeze, aktuelles Releaselevel, *kein* Cluster, *kein* NFS, also alles lokal. ISPConfig 3.0.4.1 Installation im Expert Mode durchlaufen lassen.

Wieder das gleiche Phaenomen:

Shell User angelegt mit Jailkit und:

# /etc/passwd
testfsmwtest:x:5004:5005::/var/www/clients/client2/web1:/bin/false

ls -la /var/www/clients/client2/web1/.ssh/
total 12
drwxr-xr-x 2 root root 4096 Dec 30 10:59 .
drwxr-xr-x 14 root root 4096 Dec 30 10:59 ..
-rw------- 1 root root 1214 Dec 30 10:59 authorized_keys


Damit gibt es beim SSH Connect ein: Permission denied (publickey).

gruss,
Matthias

[Till]

Warum hast Du denn neu installiert? Steht doch im Bugreport dass es in der 4.0.1 nicht geht da die Rechte nicht stimmen, wird in 3.0.4.2 gfixt.

[mattula]

Zitat:

Zitat von Till

Warum hast Du denn neu installiert? Steht doch im Bugreport dass es in der 4.0.1 nicht geht da die Rechte nicht stimmen, wird in 3.0.4.2 gfixt.

Na ja, im Bugreport stand ein Satz. Ich hab das nicht so aufgefasst, als ob damit der Bug schon bestaetigt waere.
Aber die Neuinstallation war sowieso angesagt, da es im Cluster mit NFS und versymlinkten Verzeichnissen auch noch andere Probleme gibt und wir jetzt erstmal eine saubere Basisinstallation moechten, bevor es ans Clustern geht.

Btw, es stimmen nicht nur die .ssh/authorized_keys Berechtigungen nicht, sondern die vom ganzen User-Home sind falsch.

Matthias

[Till]

Zitat:

Ich hab das nicht so aufgefasst, als ob damit der Bug schon bestaetigt waere.

Status ist new und nicht unconfirmed, also ist er bestätigt.

[mattula]

Hi Till,

ich hab mir mal angeschaut, was sich zw. 3.0.4 und 3.0.4.1 geaendert hat und dabei zwei Stellen gefunden, die in 3.0.4 noch aktiv und in 3.0.4.1 auskommentiert sind, die mit den Home Permissions zu tun haben:

server/plugins-available/shelluser_base_plugin.inc.php Zeile 276
und
server/plugins-available/shelluser_jailkit_plugin.inc.php Zeile 445:

An beiden Stellen wird (bzw. sollte) ein chown ausgefuehrt werden.

Ich habe in beiden Dateien die jeweilige Zeile mal aktiviert und nun lassen sich wieder Shell User anlegen, bei denen die Berechtigung zu stimmen scheint. Zumindest funktioniert so auf Anhieb ein Login per SSH *und* der User kann tatsaechlich auch im eigentlichen Webhome lesen und schreiben.

Ob nun irgendwas anderes nicht so ist, wie es sein soll, kann ich auf die Schnelle nicht sagen. Ich werde weiter testen und die Version 3.0.4.1 voraussichtlich mit diesem Patch (*) in Betrieb nehmen.

(*) siehe angehaengte Patch Datei


Gruesse,
Matthias

[Till]

Die Zeilen müssen auskommentiert sein, denn sie zerstören das komplette jailkit jail so dass nach dem nächsten Update des users kein login mehr möglich ist. Schau mal ins svn stable, da ist der Bug bereits richtig gepatcht.