Ubuntu welcome MOTD landscape bij SSH login is weg

zondag 8 mei 2022 14:08

Acties:

Topicstarter

Mijn vraag
Als ik tegenwoordig inlog op m'n Ubuntu 22.04 Jammy machine dan komt er geen uitgebreide MOTD enzo te staan maar alleen maar

code:

1	Last login: Sat May 7 15:21:24 2022 from 192.168.32.54

Vroeger stond er ook `landscape-sysinfo` en `apt` updates informatie e.d.

In `/etc/ssh/sshd_config` staat:

code:

HostKey /etc/ssh/ssh_host_rsa_key
HostKey /etc/ssh/ssh_host_ecdsa_key
HostKey /etc/ssh/ssh_host_ed25519_key
IgnoreRhosts yes

ChallengeResponseAuthentication no

UsePAM no

X11Forwarding yes
PrintMotd yes
PrintLastLog yes
AcceptEnv LANG LC_*
Subsystem   sftp    /usr/lib/openssh/sftp-server

PermitRootLogin no
StrictModes yes
PubkeyAuthentication yes
AuthenticationMethods "publickey,password" "publickey,keyboard-interactive"

KexAlgorithms ecdh-sha2-nistp521,ecdh-sha2-nistp384,ecdh-sha2-nistp256,diffie-hellman-group-exchange-sha256
Ciphers aes256-cbc,aes256-ctr,aes256-gcm@openssh.com,chacha20-poly1305@openssh.com
MACs hmac-sha2-256,hmac-sha2-512
AllowUsers jaap

Hoe krijg je die uitgebreide info na SSH login weer terug?

Een wappie is iemand die gevallen is voor de (jarenlange) Russische desinformatiecampagnes.
Wantrouwen en confirmation bias doen de rest.

zondag 8 mei 2022 14:15

Acties:

Hero of Time

Moderator LNX

There is only one Legend

Kijk eens in /etc/motd en /etc/update-motd.d. Die eerste hoeft niet te bestaan, maar alles in de update-motd.d map zal uitgevoerd worden (mits uiteraard de execute bit is gezet) en als een geheel worden getoond bij inloggen.

Commandline FTW | Tweakt met mate

zondag 8 mei 2022 14:50

Acties:

Juup

Topicstarter

Hero of Time schreef op zondag 8 mei 2022 @ 14:15:
Kijk eens in /etc/motd en /etc/update-motd.d. Die eerste hoeft niet te bestaan, maar alles in de update-motd.d map zal uitgevoerd worden (mits uiteraard de execute bit is gezet) en als een geheel worden getoond bij inloggen.

`/etc/motd` bestaat idd niet.

`ll /etc/update-motd.d/` geeft:

code:

total 64
drwxr-xr-x   2 root  4096 May  3 14:42 ./
drwxr-xr-x 146 root 12288 May  6 06:59 ../
-rwxr-xr-x   1 root  1220 Feb 20  2014 00-header*
-rw-r--r--   1 root  1157 Jun 14  2016 10-help-text
lrwxrwxrwx   1 root    46 Apr 21 21:10 50-landscape-sysinfo -> /usr/share/landscape/landscape-sysinfo.wrapper*
-rw-r--r--   1 root  5023 Aug 17  2020 50-motd-news
-rwxr-xr-x   1 root   106 May 27  2021 88-esm-announce*
-rwxr-xr-x   1 root   218 Apr  2  2020 90-updates-available*
-rwxr-xr-x   1 root   112 May 27  2021 91-contract-ua-esm-status*
-rwxr-xr-x   1 root   558 Apr 18 19:47 91-release-upgrade*
-rwxr-xr-x   1 root   165 Oct 18  2019 92-unattended-upgrades*
-rw-r--r--   1 root   129 Jun 27  2018 95-hwe-eol
-rwxr-xr-x   1 root   142 Aug 22  2011 98-fsck-at-reboot*
-rwxr-xr-x   1 root   144 Aug 22  2011 98-reboot-required*

Oh en bij het runnen van `/etc/update-motd.d/90-updates-available`
Geeft hij output en ook een error:

code:

1
2
3

0 updates can be applied immediately.

/etc/update-motd.d/90-updates-available: 7: /usr/share/update-notifier/notify-updates-outdated: not found

En de dir `/usr/share/update-notifier` bestaat helemaal niet.

[ Voor 11% gewijzigd door Juup op 08-05-2022 14:54 ]

Een wappie is iemand die gevallen is voor de (jarenlange) Russische desinformatiecampagnes.
Wantrouwen en confirmation bias doen de rest.

zondag 8 mei 2022 16:48

Acties:

Accretion

⭐⭐⭐⭐⭐ (5/5)

Juup schreef op zondag 8 mei 2022 @ 14:50:
[...]

`ll /etc/update-motd.d/` geeft:

code:

total 64
drwxr-xr-x   2 root  4096 May  3 14:42 ./
drwxr-xr-x 146 root 12288 May  6 06:59 ../
-rwxr-xr-x   1 root  1220 Feb 20  2014 00-header*
-rw-r--r--   1 root  1157 Jun 14  2016 10-help-text
lrwxrwxrwx   1 root    46 Apr 21 21:10 50-landscape-sysinfo -> /usr/share/landscape/landscape-sysinfo.wrapper*
-rw-r--r--   1 root  5023 Aug 17  2020 50-motd-news
-rwxr-xr-x   1 root   106 May 27  2021 88-esm-announce*
-rwxr-xr-x   1 root   218 Apr  2  2020 90-updates-available*
-rwxr-xr-x   1 root   112 May 27  2021 91-contract-ua-esm-status*
-rwxr-xr-x   1 root   558 Apr 18 19:47 91-release-upgrade*
-rwxr-xr-x   1 root   165 Oct 18  2019 92-unattended-upgrades*
-rw-r--r--   1 root   129 Jun 27  2018 95-hwe-eol
-rwxr-xr-x   1 root   142 Aug 22  2011 98-fsck-at-reboot*
-rwxr-xr-x   1 root   144 Aug 22  2011 98-reboot-required*

x zijn uitvoerrechten, help text/motd nieuws zijn niet uitvoerbaar.

Als je die rechten aanpast, zou het m.i. weer moeten werken.

zondag 8 mei 2022 17:06

Acties:

Juup

Topicstarter

Accretion schreef op zondag 8 mei 2022 @ 16:48:
x zijn uitvoerrechten, help text/motd nieuws zijn niet uitvoerbaar.

Als je die rechten aanpast, zou het m.i. weer moeten werken.

Ok beide gefixt met `chmod 755 50-motd-news` en `chmod 755 95-hwe-eol`.
Extra package geinstalleerd: `sudo apt install update-notifier-common`

Nu doet `sudo run-parts /etc/update-motd.d/` het perfect zonder errors, maar na ssh login zie ik nog steeds alleen

code:

1	Last login: Sat May 7 15:21:24 2022 from 192.168.32.54

Een wappie is iemand die gevallen is voor de (jarenlange) Russische desinformatiecampagnes.
Wantrouwen en confirmation bias doen de rest.

woensdag 11 mei 2022 18:29

Acties:

MartinMeijerink

Computerrorist

Wat staat er bij jou in /etc/pam.d/sshd?
Dit moet er ongeveer staan:

session    optional     pam_motd.so  motd=/run/motd.dynamic
session    optional     pam_motd.so noupdate

En wat is de grootte en de timestamp van /run/motd.dynamic?
Want daar zou de uitvoer van run-parts /etc/update-motd.d/ in moeten staan.

An unbreakable toy is useful to break other toys

woensdag 11 mei 2022 23:16

Acties:

Juup

Topicstarter

MartinMeijerink schreef op woensdag 11 mei 2022 @ 18:29:
Wat staat er bij jou in /etc/pam.d/sshd?
Dit moet er ongeveer staan:
session    optional     pam_motd.so  motd=/run/motd.dynamic
session    optional     pam_motd.so noupdate

`cat /etc/pam.d/sshd`:

code:

@include common-auth
account    required     pam_nologin.so
@include common-account
session [success=ok ignore=ignore module_unknown=ignore default=bad]        pam_selinux.so close
session    required     pam_loginuid.so
session    optional     pam_keyinit.so force revoke
@include common-session
session    optional     pam_motd.so  motd=/run/motd.dynamic
session    optional     pam_mail.so standard noenv # [1]
session    required     pam_limits.so
session    required     pam_env.so # [1]
session    required     pam_env.so user_readenv=1 envfile=/etc/default/locale
session [success=ok ignore=ignore module_unknown=ignore default=bad]        pam_selinux.so open
@include common-password

Het toevoegen van

code:

1	session optional pam_motd.so noupdate

lijkt niets te doen.

En wat is de grootte en de timestamp van /run/motd.dynamic?

Deze file of dir bestaat niet op dit systeem (?)
`ll /run/motd.dynamic`:

code:

1	ls: cannot access '/run/motd.dynamic': No such file or directory

[ Voor 3% gewijzigd door Juup op 11-05-2022 23:19 ]

Een wappie is iemand die gevallen is voor de (jarenlange) Russische desinformatiecampagnes.
Wantrouwen en confirmation bias doen de rest.

donderdag 12 mei 2022 17:19

Acties:

Hero of Time

Moderator LNX

There is only one Legend

Heb je in de tussentijd al een herstart gedaan? Zou zomaar kunnen dat de motd pas bij reboot wordt gemaakt en daarna bijgewerkt blijft, maar als het er niet is, niets gebeurt? Ik heb iig bij een oudere Ubuntu server een prima werkende motd en bij m'n Debian systemen wordt wat er in /etc/update-motd.d staat ook direct uitgevoerd zonder iets extra te hoeven doen.

Het zou ook net zo goed kunnen dat er een bug is in 22.04 en je nu rot zoekt naar waarom het niet werkt, terwijl je er niets aan kan doen totdat Canonical het oplost.

Commandline FTW | Tweakt met mate

donderdag 12 mei 2022 17:33

Acties:

Juup

Topicstarter

Ja er is intussen meerdere malen gereboot.
De sshd config is ooit "hardened" en dat heeft jaren goed gewerkt incl MOTD.
Maar een paar maanden voor 22.04 werkte de MOTD opeens niet meer.

Een wappie is iemand die gevallen is voor de (jarenlange) Russische desinformatiecampagnes.
Wantrouwen en confirmation bias doen de rest.

donderdag 12 mei 2022 19:44

Acties:

MartinMeijerink

Computerrorist

Eén ding had ik in je TS over het hoofd gezien, je hebt in je sshd_config UsePAM op no staan, deze moet op yes staan.

An unbreakable toy is useful to break other toys

donderdag 12 mei 2022 20:36

Acties:

Juup

Topicstarter

MartinMeijerink schreef op donderdag 12 mei 2022 @ 19:44:
Eén ding had ik in je TS over het hoofd gezien, je hebt in je sshd_config UsePAM op no staan, deze moet op yes staan.

Ah maar UsePAM moest nu juist op no voor de hardening.
Die zou ik liever niet op yes zetten.

Een wappie is iemand die gevallen is voor de (jarenlange) Russische desinformatiecampagnes.
Wantrouwen en confirmation bias doen de rest.

donderdag 12 mei 2022 21:55

Acties:

MartinMeijerink

Computerrorist

Prima, maar dan heeft het geen zin om iets in /etc/pam.d/sshd aan te passen, als het niet gebruikt wordt

Stond die run-parts mss ooit in je .bashrc? Daar zou je het anders nl. ook in kunnen zetten, anders weet ik het ook ff niet meer...

An unbreakable toy is useful to break other toys

donderdag 12 mei 2022 23:03

Acties:

Juup

Topicstarter

Ja na nog veel meer googlen lijkt het erop dat alleen met PAM aan je de dynamische dingen van MOTD krijgt.
En met PrintMotd yes krijg je alleen de statische inhoud van /etc/motd.

Nou heb ik run-parts /etc/update-motd.d aan m'n .profile toegevoegd en het werkt!
Moest alleen een nog cache file writable maken.

Yay!

Een wappie is iemand die gevallen is voor de (jarenlange) Russische desinformatiecampagnes.
Wantrouwen en confirmation bias doen de rest.

donderdag 12 mei 2022 23:08

Acties:

RobIII

Admin Devschuur®

^ Romeinse Ⅲ ja!

Juup schreef op donderdag 12 mei 2022 @ 20:36:
[...]

Ah maar UsePAM moest nu juist op no voor de hardening.

Ben wel heel benieuwd waar je dat vandaan hebt en wat de onderbouwing daarvan was?

There are only two hard problems in distributed systems: 2. Exactly-once delivery 1. Guaranteed order of messages 2. Exactly-once delivery.

Je eigen tweaker.me redirect

Over mij

vrijdag 13 mei 2022 18:36

Acties:

Juup

Topicstarter

Als je een willekeurige hardening guide voor sshd of voor ubuntu pakt daan staat dit er vaak wel in.

Een wappie is iemand die gevallen is voor de (jarenlange) Russische desinformatiecampagnes.
Wantrouwen en confirmation bias doen de rest.

vrijdag 13 mei 2022 19:24

Acties:

Hero of Time

Moderator LNX

There is only one Legend

Leuk, maar staat er ook onderbouwing bij en ben je het er mee eens? Wat is namelijk de reden om juist géén PAM te gebruiken, iets wat je juist kan gebruiken om betere user security te krijgen door bijvoorbeeld 2FA mogelijk te maken. Kan je dat ook met sshd zónder PAM? En de console login dan?

Commandline FTW | Tweakt met mate

Vraag

Alle reacties