[Jann Hendrik]

Ich möchte einen Server absichern.

Dazu möchte ich:
a) den SSH-port verändern und
b) den direkten root-login sperren



Ich wollte das so machen:

In der Datei /etc/ssh/ssh_config einen anderen Port einstellen (für a) und PermitRootLogin von yes auf no stellen.
Soweit noch alles klar.

Vorher sollte ich noch einen weiteren user hinzufügen (adduser oxford).

Klar ist mir auch, dass ich eine zweite shell-session aufmache um mich nicht selbst auszusperren, wenn ich was falsch mache.

Nun aber die Frage:

Was muss ich machen, damit der neue user (ich nenne ich einfach mal oxford) sich einloggen kann und ich dann mittels su *** dann zum root werde?

[Bleistift]

Zitat:

Zitat von Jann Hendrik

Was muss ich machen, damit der neue user (ich nenne ich einfach mal oxford) sich einloggen kann und ich dann mittels su *** dann zum root werde?

Gar nichts
su root ist unabhängig von SSH.

[WarrenFaith]

Nein moment!
Du solltest unbedingt checken, ob user oxford in der Gruppe wheel ist, denn nur User in dieser Gruppe dürfen su benutzen...
Also erst überprüfen ob du als oxford alles machen kannst bevor du den root-zugang sperrst...

Und lieber eins nach dem anderen machen. Also erst den Port ändern, dann den root-Login sperren...

[Jann Hendrik]

Zitat:

Zitat von WarrenFaith

Nein moment!
Du solltest unbedingt checken, ob user oxford in der Gruppe wheel ist, denn nur User in dieser Gruppe dürfen su benutzen...

ich weiß gerade nicht, was du damit meinst!

-----------------------------------
Hier eine kleine Anleitung - für den Fall, dass andere das mal brauchen....


neuen user hinzufügen:

Code:

adduser oxford

in einer weiteren SSH-Verbindung den login von dem user oxford testen. Darüber hinaus testen, ob man dann auch zum root werden kann (das geht mit su)!

als root in einer der beiden Verbindungen:

Code:

vim /etc/ssh/sshd_config

in Zeile 26
von

Code:

PermitRootLogin yes

auf

Code:

PermitRootLogin no

ändern.

Dann SSH neustarten

Code:

/etc/init.d/ssh restart

testen (in einer neuen Verbindung) ob das auch wirklich geklappt hat:
* testen ob man als root einloggen kann (sollte nicht funktionieren)
* testen ob man als oxford einloggen kann (sollte unbedingt klappen)

Wenn das soweit erfolgreich war, dann kann nun der port verändert werden.

Dazu muss erneut die Datei ''/etc/ssh/sshd_config'' geändert werden:

Code:

vi /etc/ssh/sshd_config

In Zeile 5 kann man den port einstellen. irgendwas größer als 15.000 sollte es sein. Aber höchsten 64.000

Dann wird erneut der ssh neugestartet:

Code:

/etc/init.d/ssh restart

Fortan sollte ein direkter root-Zugriff nicht mehr möglich sein, auch ist der Standard-port 22 aus der Schusslinie genommen.

Zum Schluss noch einmal testen, ob das auch geklappt hat:
* login-Versuch auf port 22 (sollte nicht funktionieren)

[WarrenFaith]

Ok zugegebenermaßen weiß ich nicht, ob das nur für Gentoo gilt oder für Linux im Allgemeinen, aber wenn ein User nicht in der Gruppe wheel ist, dann kann dieser nicht den Befehl su aufrufen. Das hätte zur Folge, dass du über SSH nach Root-Login-Sperre nicht mal mehr zum root werden kannst durch su.

[Jann Hendrik]

okay - ich verstehe was du meinst.
Nur von der Gruppe wheel habe ich bisher nichts gehört..


btw: Nachtrag:
http://debianhowto.de/doku.php/de:ho..._einschraenken
gerade gefunden...

[WarrenFaith]

Dann scheint es eine Gentoo-Einführung zu sein
Nur als Zusatzinfo dazu: http://www.gentoo.org/doc/de/handboo...part=1&chap=11

[Sclot]

Die Gruppe wheel war mir persönlich jetzt nur von BSD her bekannt - ich wusste nicht das es diese auch unter Gentoo gibt - aber ist interessant

[MrNiceGuy]

Eine weitere Alternative wäre vielleicht auch noch die Verwendung eines Schlüsselpaares. Man kann dann nurnoch mit dem richtigen Schlüssel zum Server connecten. Habe ich bei meinem Server auch so gemacht.

Wenn ich mich noch recht erinnere musste man dafür lediglich mit dem Key-Gen von Putty (Extra-Tool) einen "SSH-2 DSA"-Schlüssel generieren. Wahlweise kann man den Schlüssel auch noch mit einem "passphrase" (Kennwort) versehen. Den privaten Schlüssel speichert man dann lokal auf seinem Rechner ab und der öffentliche Schlüssel wird unter "/root/.ssh/authorized_keys2" eingefügt. Die Datei hat bei mir den Zugriff 744 root:root. Eine Verbindung ist nun also nurnoch möglich, wenn man den richtigen Port kennt, den richtigen passphrase weiß und den privaten Schlüssel hat.

Vielleicht nutzt das ja noch jemand so!?

[Sclot]

jup - ich bei unseren Firmen-Servern

Hab mein Howto dazu noch nicht wirklich vollständig, aber auf der Serverseite hab ich das so gemacht:

Code:

ssh-keygen -t rsa
cd .ssh/
cat id_rsa.pub >> authorized_keys

Wie die Cient-Seite mit Putty aussieht, hab ich grad nicht genau im Kopf, werd ich aber nochmal nachschauen


PS: Diesen Link hatte ich mir dazu noch weg gespeichert:
http://page.mi.fu-berlin.de/kutz/sshkey.html

[Jann Hendrik]

das mit den Schlüsseln wird hier doch auch erwähnt:

Zitat:

Zitat von Jann Hendrik

btw: Nachtrag:
http://debianhowto.de/doku.php/de:ho..._einschraenken
gerade gefunden...

konkret:
http://debianhowto.de/doku.php/de:ho...che_schluessel

[MrNiceGuy]

OK, sorry, hatte den Link nicht beachtet. Asche auf mein Haupt!