Plesk - root Login möglich

[tobi4]

Hallo,

bei meinem Plesk ist sowohl der Login als "admin" sowie als "root" mit dem SSH-root-Kennwort möglich.
Ich habe gelesen, dass nach dem Setzen des admin-Kennworts der root-Login in Plesk nicht mehr möglich ist. Ist aber bei mir nicht der Fall.

Wie kann ich verhindern, dass der root-User nicht mehr ins Plesk Panel einloggen kann?

Gruß

 

[GwenDragon]

Nein, root hat noch höhere Rechte in Plesk wie admin, das ist nicht änderbar.

Verwende lange komplexe Passwörter für root und admin, das ist sinnvoll.
Lasse bei root einen Login über SSH nur mit Schlüssel zu.

 

[tobi4]

Ok, ich habe es gerade geschafft, den Login per SSH nur mittels Schlüssel zuzulassen. Dazu habe ich zudem in der /etc/ssh/sshd_config "PasswordAuthentication" auf no gesetzt, "ChallengeResponseAuthentication" war anders als wie in meinem Buch beschrieben bereits auf no.

Außerdem habe ich den root-Login wieder aktiviert (Du sagtest das so) und die für den Login zugelassenen User (root, myuser1 z.B.) bei AllowUsers eingetragen.

Btw - könnte ich nicht auch einfach das root/.ssh/authorized_keys in das ~ Verzeichnis meines "myuser1" legen, den root-Login deaktivieren und mich über myuser1 einloggen, danach per su in root umloggen?
Oder stehe ich dann blöd da, weil ich den Passwortlogin deaktiviert habe und der root-User dann ein Passwort verlangt?

Also nochmal zusammengefasst:
Ich habe jetzt durch PasswordAuthentication -> no den Passwortlogin deaktiviert.
Ich habe für den root-User einen Schlüssel erstellt, womit das Einloggen auch funktioniert.
In Plesk kann ich trotzdem noch mit root und meinem root-PW rein. Das ist aber nicht weiter schlimm, da ich ein sicheres PW verwende.
Den SSH-Port habe ich übrigens auch in einen 5-stelligen freien verlegt.
Ich bin somit bestens geschützt. ?!

 

[JaEgErmEistEr]

SSH Port verlegen bringt meiner Meinung nach nicht viel.

Unabhängig davon ist fail2ban noch zu empfehlen.

 

[tobi4]

Hallo,

zu dem SSH-Port: Steht auch in dem Buch. Durch Scannen der Ports könnte man den SSH-Port herausfinden. Die meisten Bots würden es aber mit dem Standardport probieren und wenn der es nicht ist die nächste Maschine aufsuchen.

Eine solche "Software" wollte ich mir auch noch anschauen. Werde mir mal Infos dazu beschaffen.

Sonst ist alles richtig, was ich den ganzen Tag über heute gemacht habe?

 

[JaEgErmEistEr]

Ja sieht gut aus.
Ein fail2ban ist aber sehr fix eingerichtet, da gibts Tutos on mass mit entsprechenden Konfigurationen. Du musst halt schauen welche Dienste du nutzt und dann entsprechende Config Files laden.

Zum SSH: 95% der Bots versuchens auch mir Root also von daher ...

Dennoch ist natürlich ein fail2ban unabdingbar weil es nicht nur dein SSH schützt sondern, bei entsprechender Config, auch andere Dienste wie FTP, Plesk, etc.

 

[GwenDragon]

Btw - könnte ich nicht auch einfach das root/.ssh/authorized_keys in das ~ Verzeichnis meines "myuser1" legen, den root-Login deaktivieren und mich über myuser1 einloggen, danach per su in root umloggen?
Oder stehe ich dann blöd da, weil ich den Passwortlogin deaktiviert habe und der root-User dann ein Passwort verlangt?

Klar kannst du für SSH das root Login verbieten, für bestimmte Nutzer per Key einloggen und mit su oder sudo umschalten.

Ich frage mich nur, was soll das sicherheitstechnisch wirklich bringen root zu verbieten und su oder sudo zu nutzen?
Bei genügend langen Passwörtern und einem Schlüssel dürfte ein root Login auch sicher sein.