Open Ssh Root Zugriff Unterbinden sinnvoll?
#1 _The Grim Reaper_
geschrieben 05. August 2010 - 01:24
ich hab für den ssh Zugriff durch open ssh auf meinem Suse eine Benutzergruppe freigegeben. Funzt auch, denn andere Nutzer können sich nicht via SSH verbinden. Allerdings geht weiterhin der root Zugriff.
Jetzt meine Frage: Ist die Benutzung von root über SSH sinnvoll, oder komm ich auch mit meinem Account über sudo an alle Sachen ran? Wenn root für SSH nicht von Nöten ist, wie schalte ich es für SSH ab?
MfG ITX-Fan
Anzeige
#2
geschrieben 05. August 2010 - 08:04
unbeding root nötig ist.
Aber hast du bei sudo, also bei der Nutzung von root nicht ohnehin die Abfrage des Passworts drin, so dass die Benutzer für root das entsprechende Passwort kennen müssen?
Wie man das allerdings abschaltet weiß ich so nicht.
#3
geschrieben 05. August 2010 - 08:09
PermitRootLogin no
Per su kannste dich dann über den normalen User zu root hochstufen
#4 _lustiger_affe_
geschrieben 05. August 2010 - 09:37
Zitat
Root-Zugriffe sollte man immer deaktivieren, ausser es ist ein geschlossenes System ohne Zugriffsmöglichkeit für fremde von aussen.
#5 _The Grim Reaper_
geschrieben 05. August 2010 - 13:06
über SSH fernadministriert werden, also von einem anderen Rechner übers netzwerk, oder geht das auch anders und sicher?
Zitat (funky_monkey: 05.08.2010, 10:37)
Ist das eine User-Gruppe?
#6
geschrieben 05. August 2010 - 13:16
Zitat
über SSH fernadministriert werden, also von einem anderen Rechner übers netzwerk, oder geht das auch anders und sicher?
Hmm ? Ssh ist sicher! Zumindest wenn dein PW sicher ist, am besten das ganze gleich zusätzlich mit Keys absichern.
Dieser Beitrag wurde von bb83 bearbeitet: 05. August 2010 - 13:17
#7 _lustiger_affe_
geschrieben 05. August 2010 - 13:40
Zitat
Zusätzlich zu @bb83's Ausführung ein kleiner Tipp: Die meisten Scriptkiddies gehen nur nach Namen, nicht nach (G)UID o.ä. Folglich kann es schon helfen, den Standard-root anders zu bennennen und dann einen User root mit minimalen Rechten anzulegen. Diesem könnte man z.B. ein simples Passwort ala "test" zuweisen und kann somit ziemlich einfach alle Verbindungen zu IPs/Blöcken trennen, wenn sich damit einer einloggt oder den Trespasser in einen Honeypot stecken, etc.
Gibt viel zu tun, packs an
Dieser Beitrag wurde von lustiger_affe bearbeitet: 05. August 2010 - 13:45
#8 _The Grim Reaper_
geschrieben 05. August 2010 - 13:53
Mit PermitRootLogin no in der sshd_config kann ich mich trotzdem weiterhin als root über ssh anmelden.
Hier steht es aber auch so: http://wiki.hetzner.de/index.php/SSHd_Howt...t_Login_sperren
Werd es mal neuladen.
Dieser Beitrag wurde von The Grim Reaper bearbeitet: 05. August 2010 - 13:55
#9
geschrieben 05. August 2010 - 13:55
Zitat
sudo und su sind 2 verschiedene Dinge....
Zitat
Du hast den Daemon aber durchgepustet ? Falls ja bitte config posten !
#10 _The Grim Reaper_
geschrieben 05. August 2010 - 14:01
Ja der Unterschied zwischen sudo und su ist mir... jetzt ... bekannt.
Tja da hats wohl was zerschossen, wobei ich PermitRootLogin yes nicht in der sshd_config gefunden hab und somit unten einfach PermitRootLogin no angehangen hab.
Dieser Beitrag wurde von The Grim Reaper bearbeitet: 05. August 2010 - 14:07
#11
geschrieben 05. August 2010 - 14:07
Zitat
Dann hast du wohl die sshd_config geschrottet, einmal bitte posten und auch die dazugehörige Log Datei
Edit:
Zitat
Der Daemon lief aber schon oder ? Sonst wäre ein start angebrachter gewesen als ein reload...
Dieser Beitrag wurde von bb83 bearbeitet: 05. August 2010 - 14:09
#12 _The Grim Reaper_
geschrieben 05. August 2010 - 14:09
Dieser Beitrag wurde von The Grim Reaper bearbeitet: 05. August 2010 - 14:11
#13
geschrieben 05. August 2010 - 14:12
AllowGroups !
#14 _The Grim Reaper_
geschrieben 05. August 2010 - 14:12
Geht nicht, da der Rechner nicht hier steht, sondern weit weg .
#15
geschrieben 05. August 2010 - 14:16
Zitat
Geht nicht, da der Rechner nicht hier steht, sondern weit weg smile.gif.
Das ist dann wohl "Worst case" Die Gruppe gibt es aber ?