Hallo,

ich habe das Problem, dass ich bei einigen Nutzern keine Screen-Session erstellen kann. Dies betrifft alle neu angelegte User.

Fehlermeldung ist:

Cannot open your terminal '/dev/pts/0' - please check.

Per Google finde ich nur verweise darauf, das da noch ne alte Session blockt auf die man keinen Zugriff hat, aber das kann nicht sein, da der Nutzer ja neu angelegt wurde.

Weiß da jemand Rat? Danke!

die einzigen probleme, die ich bis jetzt hatte mit neuen usern waren:
1) Wenn man einen neuen user anlegt, erhält dieser nicht automatisch ein home-verzeichnis. (deswegen wollte mein window-manager nicht starten). Abhilfe: einfach unter /home ein verzeichnis anlegen, das so heißt wie der Benutzer und mit chmod entsprechende Rechte vergeben.
2) Neue Benutzer haben nicht automatisch die richtigen Gruppen. Vllt. liegt es daran. Wenn du einen Benutzer hast, bei dem alles ordnungsgemäß funktioniert, logge dich mal als solcher ein und verwende den Befehl "groups". Dann schau mal, ob dein neuer Benutzer vllt in einer notwendigen Gruppe nicht drinnen ist...

vllt. hilft dir das ja weiter, lg
bazooka

Du kannst auch mal einen Blick in "/etc/passwd" werfen, ob die neuen Benutzer überhaupt eine Shell haben.

Du kannst auch mal einen Blick in "/etc/passwd" werfen, ob die neuen Benutzer überhaupt eine Shell haben.

Ziemlicher Schwachsinn, den ich geschrieben habe. Ohne Shell wäre ein einloggen wohl nicht möglich. Es ist wahrscheinlich sinnvoller, sich die Gruppen (zB tty) anzuschauen.

Leider kein Erfolg, jeder der Nutzer ist in einer Gruppe udn zwar nur seiner eigenen.

Hast du probiert, den User die Gruppe "tty" hinzuzufügen?

Wenn du nach der Fehlermeldung bei Google suchst, findest du übrigens sehr viel passende Ergebnisse.

Hab mal rumgeschaut was daim Ordner genau ist:

crw--w---- 1 NUTZERA tty 136, 0 2008-08-02 17:33 0

Habe testweise mal die Rechte auf 777 gesetzt, nun gehts!

Versuche mal ne Gruppe anzulegen die darauf Zugriff hat damit nicht alles und jeder ran darf.

Für andere Tipps bin ich aber immernoch offen!

Edit: Problem erledigt, nachdem ich einmalig Zugriff darauf hatte hat er ne "1" angelegt und die Rechte für NutzerB gesetzt.

Das hängt anscheinend vom verwendeten Terminal ab. Ich hab bei mir mal getestet:

urxvt:
20600 MeinUser MeineGruppe

xterm:
20622 MeinUser MeineGruppe

gnome-terminal:
20620 MeinUser tty

=> alle unterschiedlich

Habe jetzt festgestellt das auch mit der neuen Konsole es dann nicht geht, muss also die Rechte erstmal auf 666 lassen.

Verwende die normale /bin/bash mit Putty...

Die fstab scheint in diesem Zusammenhang auch von Interesse.

man mount

Mount options for devpts
The devpts file system is a pseudo file system, traditionally mounted on /dev/pts. In order to acquire a pseudo termi‐
nal, a process opens /dev/ptmx; the number of the pseudo terminal is then made available to the process and the pseudo
terminal slave can be accessed as /dev/pts/<number>.

uid=value and gid=value
This sets the owner or the group of newly created PTYs to the specified values. When nothing is specified, they
will be set to the UID and GID of the creating process. For example, if there is a tty group with GID 5, then
gid=5 will cause newly created PTYs to belong to the tty group.

mode=value
Set the mode of newly created PTYs to the specified value. The default is 0600. A value of mode=620 and gid=5
makes "mesg y" the default on newly created PTYs.

wenn man den Benutzer mit su/sudo wechselt dann bekommt man die Meldung von screen auch.

Na ganz großes Kino!

Der Nutzer soll sich aber aus Sicherheitsgründen nicht direkt einloggen dürfen...

Und in wie fern verbessert das die Sicherheit?
Passwörter kann man in SSH abschalten so das nur noch SSH Keys genutzt werden dürften oder dank PAM könnte man auch noch andere Authmethoden nutzen.
Außerdem kann der Benutzername ja zB. noch ein paar zufällige Zahlen erhalten so das man ihn nicht mehr leicht erraten kann.
Oder geht es hier etwa um root?
Nunja für root gibts ja auch
PermitRootLogin without-password
in der sshd_config so dass die PW Auth Methot dafür abgeschaltet ist aber nicht für alle user.
Ich weiß jetzt allerdings nicht in wie weit das mit ChallengeResponseAuth also PAM funktioniert, kann gut sein das man dafür dann die PW Auth vom SSH direkt nutzen muss statt von PAM

Im Endeffekt läuft auf NutzerB nen Screen mit nem TF2 Server drinnen. Der FTP Access erfolgt auf sein Homeverzeichnis worin die Dateien für den Server sind, sodass er neue Karten und Konfigurationen einpflegen kann. Er soll dabei aber nicht auf die Konsole zugreifen können, darum steht er niht in der allowed list vom SSH-Dienst. Der Nutzer hat also das PW und den Nutzernamen vorliegen.
Ganz davon abgesehen ist der root-login gesperrt und nur über su nach vorheriger Authentifikation erreichbar. Damit müsste nen potentieller Angreifer erstmal die erlaubten Nutzernamen rausfinden und anschließend das entsprechende PW Bruteforcen und erst danach könnte er auf root bruteforcen.
Hält zumindest die meisten "Scriptkiddies" auf Abstand.

Du musst ja nicht als Shell einfach nur /bin/bash haben in der /etc/passwd
Musst halt nur den ftp server entsprechend einstellen das er den User auch mit was anderem akzeptiert
und dann kanns die login shell vom user so ändern das halt die screen session aufgerufen wird statt ner normalen login shell
bei ssh keys kann man ja auch ein command angeben was aufgerufen wird und wenn pw auth aus is für den user kann man au ned die ~/.ssh/authorized_keys ändern

Außerdem kann man auch mittels PAM und ChallengeAuth in sshd_config damit PAM für PW genutzt wird, für einzelne User PW auth einfach sperren und somit nur Keys zulassen
die neuste SSH version die in debian lenny enthalten sein wird kennt übrigens einen Match block wo man settings für einzelne User festlegen kann
Und somit kann man einfach in der sshd_config für einen User Pw auth aus machen.
Wobei ich persöhnlich generell PW auth für alle user aus hab und nur keys erlaub.

Achja und PAM kann unterscheiden zwischen ftp und sshd wenn beide das nutzen siehe /etc/pam.d/

http://www.openssh.org/txt/release-4.4

Wenn du also OpenSSH >= 4.4 hast kannst du einfach Match user username machen und dann drunter halt challenge und pw auth aus
also einfach mal die man pages lesen /usr/share/doc und google.

Ich versuch mich da mal durchzuarbeiten, danke!