ShellInABox / login kein Login möglich

[Bodenseematze]

Ich habe es gerade endlich mal geschafft, ein aktuelles Image (23129) von Freetz-NG zu bauen und eine 7590-Box zu aktualisieren.
Per ssh (dropbear) komme ich als root auf die Box - aber nicht per ShellInABox.
ShellInABox verwende /bin/login, für den Einlog-Vorgang also habe ich das mit eingeloggtem ssh-Benutzer auch mal probiert.
Das schlägt ebenso fehl - greift das nicht auf die "richtige" Passwortstelle zu oder kann es mit dem Verschlüsselungsalgorithmus der Passwörter nicht umgehen?
Als Standard-Verschlüsselung für die Passwörter habe ich sha512 reincompiliert - entsprechendes kann ich auch in der /etc/shadow für den root-Benutzer sehen.
Ich wollte dann mal unterschiedliche Verschlüsselungen des Passworts testen und habe mal passwd -a sha256 root eingegeben - das funktioniert zwar und in der /etc/shadow steht danach auch ein deutlich kürzerer Hash - aber das passwd-Programm meckert immer
passwd: no record of root in /etc/shadow, using /etc/passwd: Numerical result out of range
In der /etc/passwd steht weder vor dem Aufruf noch nach dem Aufruf ein Passwort für root - das ist in /etc/shadow...
Komischerweise gibt es dort aber zwei Passwörter für die Benutzer "boxusr10" und "boxusr10int"

Lange Rede kurzer Sinn auch mit sha256-Passwort für root in der /etc/shadow klappt /bin/login mit root nicht...
...irgendwelche Ideen / Anmerkungen?
Mache ich etwas falsch oder benutze ich ShellInABox (das ich immer nur als Notnagel temporär starte) falsch?

EDIT: ich habe jetzt mal versuchsweise das Passwort von root (sha512) direkt in /etc/passwd (bzw. /var/tmp/passwd) eingetragen - damit geht der Login dann mit /bin/login; bedeutet das, dass /bin/login nicht mit /etc/shadow - Passwörtern zurecht kommt?
Und was ist das für eine komische Fehlermeldung beim Aufruf von passwd?

EDIT2: ich wollte jetzt mal versuchen, ob das mit PAM-Support (FREETZ_BUSYBOX___V136_PAM=y) in der Konfiguration zusammen mit (FREETZ_BUSYBOX___V136_LOGIN_SESSION_AS_CHILD=y) funktioniert - aber da habe ich dann Probleme bei der Compilierung...
loginutils/login.c:86:11: fatal error: security/pam_appl.h: No such file or directory
86 | # include <security/pam_appl.h>
| ^~~~~~~~~~~~~~~~~~~~~
compilation terminated.

[fda77]

Avm speicher das root passwort in der passwd, nicht wie mittlerweile üblich in der shadow. Es kann gut sein dass dieses login das so erwartet.
Das out-of-range war irgend was unbdeutendes, ich eine Zeitraum.. Das ist bei avm alles etas altbacken-spezial
Ich glaub PAM hat noch keiner für Freetz benutzt, dir fehlt wohl ein Header.
Ich bin aber kein SIAB benutzer.
"boxusr10" usw sind die Benutzer von avm fürs einloggen übers avm-webif, das ist alles sehr komisch gelöst!

[Bodenseematze]

wie befürchtet: /bin/login kommt nur mit Passwörtern in /etc/passwd zurecht; ich habe mal testweise mein root-Passwort von der shadow in die passwd kopiert.
Danach ging dann /bin/login und ShellInABox.

Eine zweite (für mich bessere) Möglichkeit habe ich ebenfalls herausgefunden: man muss ShellInABox dazu zwingen, keinen "Login" sondern ssh als Service zu verwenden.
Wenn man in der ShellInABox-Konfigiurationsseite unter "Services" folgendes eingeträgt:
/:SSH:localhost:9022 verbindet sich ShellInABox per ssh mit der lokalen Box, wobei der ssh-Daemon an Port 9022 lauscht. Wird der Standard ssh-Port 22 verwendet, kann die o.a. Portangabe entfallen (die Angabe des ssh-Port steht übrigens nicht in der Doku von ShellInABox, ist aber seit ca. 2018 mit eingepflegt).
Damit kommen zwar bei mir beim Einloggen ein paar Warnungen über nicht unterstützte Key-Algorithmen (keine Ahnung wo die herkommen - bin auch gerade nicht zu Hause und kann die genauen Meldungen nicht hier posten...)

[fda77]

Ich vermute der Passworthash ist von der passwd in die shadow gewandet, indem man beim allerersten ssh login das Passwort änderte. Das könnte auch erklären warum bei manchen telnet nicht will...
Du könntest deine Erkenntnisse noch hier dranhängen, das ist die Seite wenn man auf "hilfe" im Freetz-webif klickt. https://github.com/Freetz-NG/freetz-ng/blob/master/docs/make/shellinabox.md Dann weisst du das in 1 Jahr auch noch. Über den Browser wird Fork, PR usw automatisch gemacht

[Bodenseematze]

Ja werde ich machen!

Hier noch die Meldungen, die direkt nach der Eingabe des Benutzernamens (!) - also vorm Passwort-Prompt / vor Eingabe des Passwort angezeigt werden:
Fritz7590 login: root
command-line line 0: Unsupported option "gssapiauthentication"
command-line line 0: Unsupported option "rhostsrsaauthentication"
command-line line 0: Unsupported option "rsaauthentication"
root@fritz7590's password:

Keine Ahnung wo das her kommt...!??

[Bodenseematze]

Ich habe das jetzt, wie von Dir vorgeschlagen, ein wenig dokumentiert - und auch gleich ein PR gemacht ;-)

[fda77]

Danke! Ich hab die "markdown" Formatierung noch etwas angepasst. Das ist übrigens der gleich Syntax wie die Eingabefelder hier auf Githubg (Preview...). Fall du noch Zeilenumbrüchen drin haben möchtest geht
das
mit <br>

Kann es sein dass dein Client (putty?) diese "Unsupported optio" verursacht? Oder ist das im Browser?

[fda77]

Komisch, ich hab ein Broserplugin das markdown anzheigen kann, da sind die "1)" Aufzählungen in einer neuen Reihe -.-
Ich hoffe die Formatierung passt jetzt so wie du es vor hattest

[Bodenseematze]

Danke - Deine Formatierung sieht besser aus ;-)

Die Fehlermeldungen stehen so im Browser-Fenster...

[fda77]

Wenn man nach rsaauthentication usw googelt findet man dass das veraltete authenticationen sind. Kann sein dass die im ssh deshalb rausgeflogen sind

[Bodenseematze]

Ja, aber Shell-In-A-Box scheint die noch zu verwenden - ich habe das hier gefunden:
https://github.com/shellinabox/shellinabox/issues/458

Vielleicht wäre das was für ein Freetz-NG Package-Patch ? ;-)

[fda77]

Da steht ja wo man es ändern kann. Allerdings sind es mittlerweil 3 statt wie dort noch steht 2 Methoden.

8909f4d (make shellinabox-recompile)

[fda77]

Ich hab SIAB mittlerweile auch mal ausprobiert. Das ist ganz nett!

• Login als "root" gibt sofort "incorrect" zurück
• Login als irgend einen User den es nicht gibt fragte immerhin nach einem Passwort und dann kam "incorrect"

Vielleicht sollte man den service als Standartwert gleich auf ssh ändern?

[Bodenseematze]

Bei mir kommt (mit LOGIN-Service) auch bei root erst nach Eingabe des Passworts "incorrect" zurück...

Solange kein dropbear/ssh eingerichtet ist, sind die Passwörter auch noch in /etc/passwd - dann funktioniert das auch (habe es mit den BoxUsers ausprobiert).
Und wenn kein ssh/dropbear läuft oder gar nicht installiert ist, schlägt das fehl, wenn man den Standardwert auf SSH-Service stellt - zudem müsste man den ssh-Port mit dem beim ssh-Server eingegebenen Port synchronisieren, sonst geht's auch wieder nicht.
--> für mich sollte der Standard auf "LOGIN" bleiben - wenn jemand damit Probleme hat, kann er sich ja die Doku anschauen ;-)

[fda77]

Okay. Vielleicht wir für root bei mir kein Passwort gefragt weil im Lan für AVM kein Benutzer ausgewählt werden muss?? Naja diese AVM Sachen sind mit suspekt ^^