Hilfe
Neues Thema
Antworten
Hi,
ich hab für den ssh Zugriff durch open ssh auf meinem Suse eine Benutzergruppe freigegeben. Funzt auch, denn andere Nutzer können sich nicht via SSH verbinden. Allerdings geht weiterhin der root Zugriff.
Jetzt meine Frage: Ist die Benutzung von root über SSH sinnvoll, oder komm ich auch mit meinem Account über sudo an alle Sachen ran? Wenn root für SSH nicht von Nöten ist, wie schalte ich es für SSH ab?
MfG ITX-Fan
Open Ssh Root Zugriff Unterbinden sinnvoll?
Nach oben
#2
SoniX 
- Gruppe: aktive Mitglieder
- Beiträge: 696
- Beigetreten: 19. August 04
- Reputation: 0
- Wohnort:Buxtehude
geschrieben 05. August 2010 - 08:04
Also generell ist die Frage was die User über ssh auf Deinem System so machen und ob dafür
unbeding root nötig ist.
Aber hast du bei sudo, also bei der Nutzung von root nicht ohnehin die Abfrage des Passworts drin, so dass die Benutzer für root das entsprechende Passwort kennen müssen?
Wie man das allerdings abschaltet weiß ich so nicht.
unbeding root nötig ist.
Aber hast du bei sudo, also bei der Nutzung von root nicht ohnehin die Abfrage des Passworts drin, so dass die Benutzer für root das entsprechende Passwort kennen müssen?
Wie man das allerdings abschaltet weiß ich so nicht.
System:
E6750 @2x 3.0Ghz, GA-P35 DS3, 3GB MDT , GF8800 GTS 640MB
#3
bb83
- Gruppe: aktive Mitglieder
- Beiträge: 1.874
- Beigetreten: 30. August 05
- Reputation: 24
- Geschlecht:Männlich
geschrieben 05. August 2010 - 08:09
PermitRootLogin no
Per su kannste dich dann über den normalen User zu root hochstufen
#4 _lustiger_affe_
geschrieben 05. August 2010 - 09:37
Zitat
Per su kannste dich dann über den normalen User zu root hochstufen
Root-Zugriffe sollte man immer deaktivieren, ausser es ist ein geschlossenes System ohne Zugriffsmöglichkeit für fremde von aussen.
#5 _The Grim Reaper_
geschrieben 05. August 2010 - 13:06
Ja es ist von Außen erreichbar, deswegen soll der Root Zugriff weg, allerdings sollte der Rechner nur
über SSH fernadministriert werden, also von einem anderen Rechner übers netzwerk, oder geht das auch anders und sicher?
Ist das eine User-Gruppe?
über SSH fernadministriert werden, also von einem anderen Rechner übers netzwerk, oder geht das auch anders und sicher?
Zitat (funky_monkey: 05.08.2010, 10:37)
Vorrausgesetzt, der User ist in 'wheel'.
Ist das eine User-Gruppe?
#6
bb83
- Gruppe: aktive Mitglieder
- Beiträge: 1.874
- Beigetreten: 30. August 05
- Reputation: 24
- Geschlecht:Männlich
geschrieben 05. August 2010 - 13:16
Zitat
Ja es ist von Außen erreichbar, deswegen soll der Root Zugriff weg, allerdings sollte der Rechner nur
über SSH fernadministriert werden, also von einem anderen Rechner übers netzwerk, oder geht das auch anders und sicher?
über SSH fernadministriert werden, also von einem anderen Rechner übers netzwerk, oder geht das auch anders und sicher?
Hmm ? Ssh ist sicher! Zumindest wenn dein PW sicher ist, am besten das ganze gleich zusätzlich mit Keys absichern.
Dieser Beitrag wurde von bb83 bearbeitet: 05. August 2010 - 13:17
#7 _lustiger_affe_
geschrieben 05. August 2010 - 13:40
Zitat
Ist das eine User-Gruppe?
Zusätzlich zu @bb83's Ausführung ein kleiner Tipp: Die meisten Scriptkiddies gehen nur nach Namen, nicht nach (G)UID o.ä. Folglich kann es schon helfen, den Standard-root anders zu bennennen und dann einen User root mit minimalen Rechten anzulegen. Diesem könnte man z.B. ein simples Passwort ala "test" zuweisen und kann somit ziemlich einfach alle Verbindungen zu IPs/Blöcken trennen, wenn sich damit einer einloggt oder den Trespasser in einen Honeypot stecken, etc.
Gibt viel zu tun, packs an
Dieser Beitrag wurde von lustiger_affe bearbeitet: 05. August 2010 - 13:45
#8 _The Grim Reaper_
geschrieben 05. August 2010 - 13:53
Also ich bekomme auch, ohne das mein Nutzer in der Gruppe wheel ist mit sudo su an root Rechte heran.
Mit PermitRootLogin no in der sshd_config kann ich mich trotzdem weiterhin als root über ssh anmelden.
Hier steht es aber auch so: http://wiki.hetzner.de/index.php/SSHd_Howt...t_Login_sperren
Werd es mal neuladen.
Mit PermitRootLogin no in der sshd_config kann ich mich trotzdem weiterhin als root über ssh anmelden.
Hier steht es aber auch so: http://wiki.hetzner.de/index.php/SSHd_Howt...t_Login_sperren
Werd es mal neuladen.
Dieser Beitrag wurde von The Grim Reaper bearbeitet: 05. August 2010 - 13:55
#9
bb83
- Gruppe: aktive Mitglieder
- Beiträge: 1.874
- Beigetreten: 30. August 05
- Reputation: 24
- Geschlecht:Männlich
geschrieben 05. August 2010 - 13:55
Zitat
Also ich bekomme auch, ohne das mein Nutzer in der Gruppe wheel ist mit sudo su an root Rechte heran.
sudo und su sind 2 verschiedene Dinge....
Zitat
Mit PermitRootLogin no in der sshd_config kann ich mich trotzdem weiterhin als root über ssh anmelden.
Du hast den Daemon aber durchgepustet ? Falls ja bitte config posten !
#10 _The Grim Reaper_
geschrieben 05. August 2010 - 14:01
Nö hab ich jetzt mit /etc/init.d/sshd reload gemacht und nun funzt ssh nimmer. Network Error: Connection refused.
Ja der Unterschied zwischen sudo und su ist mir... jetzt ... bekannt.
Tja da hats wohl was zerschossen, wobei ich PermitRootLogin yes nicht in der sshd_config gefunden hab und somit unten einfach PermitRootLogin no angehangen hab.
Ja der Unterschied zwischen sudo und su ist mir... jetzt ... bekannt.
Tja da hats wohl was zerschossen, wobei ich PermitRootLogin yes nicht in der sshd_config gefunden hab und somit unten einfach PermitRootLogin no angehangen hab.
Dieser Beitrag wurde von The Grim Reaper bearbeitet: 05. August 2010 - 14:07
#11
bb83
- Gruppe: aktive Mitglieder
- Beiträge: 1.874
- Beigetreten: 30. August 05
- Reputation: 24
- Geschlecht:Männlich
geschrieben 05. August 2010 - 14:07
Zitat
Nö hab ich jetzt mit /etc/init.d/sshd reload gemacht und nun funzt ssh nimmer. Network Error: Connection refused.
Dann hast du wohl die sshd_config geschrottet, einmal bitte posten und auch die dazugehörige Log Datei
Edit:
Zitat
Nö hab ich jetzt mit /etc/init.d/sshd reload gemacht und nun funzt ssh nimmer. Network Error: Connection refused.
Der Daemon lief aber schon oder ? Sonst wäre ein start angebrachter gewesen als ein reload...
Dieser Beitrag wurde von bb83 bearbeitet: 05. August 2010 - 14:09
#12 _The Grim Reaper_
geschrieben 05. August 2010 - 14:09
Ich hatte da nix weiter eingetragen als PermitRootLogin no und halt AllowGroups name.
Dieser Beitrag wurde von The Grim Reaper bearbeitet: 05. August 2010 - 14:11
#13
bb83
- Gruppe: aktive Mitglieder
- Beiträge: 1.874
- Beigetreten: 30. August 05
- Reputation: 24
- Geschlecht:Männlich
geschrieben 05. August 2010 - 14:12
Bitte Log Dateien und die sshd_config posten....
AllowGroups !
AllowGroups !
#14 _The Grim Reaper_
geschrieben 05. August 2010 - 14:12
Siehe Edit.
Geht nicht, da der Rechner nicht hier steht, sondern weit weg.
Geht nicht, da der Rechner nicht hier steht, sondern weit weg
.
#15
bb83
- Gruppe: aktive Mitglieder
- Beiträge: 1.874
- Beigetreten: 30. August 05
- Reputation: 24
- Geschlecht:Männlich
geschrieben 05. August 2010 - 14:16
Zitat
Siehe Edit.
Geht nicht, da der Rechner nicht hier steht, sondern weit weg smile.gif.
Geht nicht, da der Rechner nicht hier steht, sondern weit weg smile.gif.
Das ist dann wohl "Worst case"
Die Gruppe gibt es aber ?
