ALT Linux Bugzilla – Full Text Bug Listing
| Summary: | Переключение между группами контроля доступа OpenSSH блокирует доступ по ssh | ||
|---|---|---|---|
| Product: | Sisyphus | Reporter: | Белая Алёна <belayaav> |
| Component: | gpupdate | Assignee: | Valery Sinelnikov <greh> |
| Status: | REOPENED --- | QA Contact: | qa-sisyphus |
| Severity: | normal | ||
| Priority: | P5 | CC: | greh, kostevichae, kotjuhovma, nir, sin |
| Version: | unstable | ||
| Hardware: | x86_64 | ||
| OS: | Linux | ||
|
Description
Белая Алёна
2024-11-25 15:56:44 MSK
Очень странные ожидания. Работает ровно так, как и должно. Смысл предложения: "Проблема не воспроизводится, если переключиться на политику напрямую.", - непонятен. Необходимы пояснения. У нас, вообще, логин по ssh под рутом, по умолчанию, отключен. А так... "Все пользователи" - это члены группы users. Можно рута добавить в нужную группу, при такой политике, например. Можно уточнить в документации, что "Все пользователи" - это члены группы users. (Ответ для Evgeny Sinelnikov на комментарий #1) > Очень странные ожидания. Работает ровно так, как и должно. > Смысл предложения: "Проблема не воспроизводится, если переключиться на > политику напрямую.", - непонятен. Необходимы пояснения. Т.к. переключение происходит с более строгой политики "remoteonly", при которой у рута не должно быть доступа (но он есть), на менее строгую "users", при которой доступ ожидается (предоставляется доступ группе wheel), вероятно есть проблема с применением политики. > У нас, вообще, логин по ssh под рутом, по умолчанию, отключен. А так... "Все > пользователи" - это члены группы users. Можно рута добавить в нужную группу, > при такой политике, например. > > Можно уточнить в документации, что "Все пользователи" - это члены группы > users. В gpui указано следующее: "Все пользователи — разрешить доступ к серверу OpenSSH для групп «wheel» и «users»" Т.е. рут уже по умолчанию в группе "Все пользователи". Но доступ ему ограничивается. Также доступ ограничивается и обычному пользователю, который есть в группах users и wheel, ошибка та же. Для более точной проверки необходимо указать состояние в каждом из рассматриваемых случаев: # control sshd-allow-groups-list users # grep -R AllowGroup /etc/openssh/sshd_config AllowGroups wheel users Ну, и id root проверить стоит разок: $ id root uid=0(root) gid=0(root) группы=0(root),1(bin),2(daemon),3(sys),4(adm),6(disk),10(wheel),19(proc) (Ответ для Evgeny Sinelnikov на комментарий #3) > Для более точной проверки необходимо указать состояние в каждом из > рассматриваемых случаев: > > # control sshd-allow-groups-list > users > # grep -R AllowGroup /etc/openssh/sshd_config > AllowGroups wheel users > > Ну, и id root проверить стоит разок: > $ id root > uid=0(root) gid=0(root) > группы=0(root),1(bin),2(daemon),3(sys),4(adm),6(disk),10(wheel),19(proc) # id root uid=0(root) gid=0(root) группы=0(root),1(bin),2(daemon),3(sys),4(adm),6(disk),10(wheel),19(proc),434(ruby) # control sshd-allow-groups-list remoteonly # grep -R AllowGroup /etc/openssh/sshd_config AllowGroups remote Рута нет в группе remote, но доступ есть # control sshd-allow-groups-list users # grep -R AllowGroup /etc/openssh/sshd_config AllowGroups wheel users Рут есть в группе wheel, но доступ блокируется. Сами группы выставляются корректно. Ошибка актуальна для gpupdate-0.13.2-alt1.
Дополнительная информация:
1. Ошибка воспроизводится, когда режим работы изменяется с "Только remote" на любой другой ("Группы wheel и remote", "Только wheel", "Все пользователи")
2. Помогает повторная перезагрузка или systemctl restart sshd - доступ появляется. Вероятно это связано с тем, что gpupdate при загрузке системы выполняется после того, как sshd уже запущен.
Актуально для gpupdate-0.14.0-alt1 Воспроизводится на системах, обновленных до sisyphus: kworkstation-11.1.1-x86-64кзь education-11.0-x86-64-kde education-11.0-x86-64-xfce workstation-11.1-x86-64 |
