root benutzer rechte entziehen

X

Xserver

Registered User
Hallo erst mal :)

ich habe seit kurzen einen Strato Server mit SuSE 9.3
und bin jetzt dabei, ihn ein wenig sicherer zu machen.
Im Moment laufen zwei Sites auf dem Server, zwei CMS Systeme.

Ich habe Webmin installiert und meinen Port schon mal geändert,
einen neuen Nutzer habe auch bereits angelegt mit allen Rechten die der root
auch hat. Soweit so gut, denke mal das ich was meinen Webmin zugang angeht, dann schon mal auf der sicheren seite bin.
Eine frage habe ich aber noch bevor ich dem root die Rechte entziehe oder lösche?
Muss ich beim neuen User auch irgend welche einstellungen im Global ACL machen?

Meine weiteren schritte sind den Port bei meinem ssh zugang zu ändern und einen neuen User zu erstellen
der dann per su später alle rechte bekommen soll das ich ja auch da den Root entmachten werde.
was ich dan gerade mit diesem howto am erledigen bin:

ssh ohne root...bzw verbieten für root...

Hallo erst mal, nur mal für blöde, aber ich suche schon echt lange danach, viele raten dazu das man einen direkten root login über ssh verhindern sollte so das sich nur noch user per ssh einloggen können und dann per su auf root wechseln. dazu sollte ich mir ja erstmal einen neuen user...
serversupportforum.de serversupportforum.de

Diese schritte habe ich mir jetzt so zurecht gelegt,
nachdem ich mich hier im Forum etwas umgeschaut habe und sonst noch hier und da ein paar Howto's gelesen habe.

Würde mich freuen wenn ihr mir sagen könntet ob ich irgend einen wichtigen Handgriffe vergessen habe, was die grundsicherung eines servers angeht.
Natürlich die machbar wären für einen sagen wir mal Server noob ;)

PS: Ja keine sorge ich weiss was Putty oder Wnscp ist,
und kann auch damit umgehen :) auch SA24 ist nichts neues für mich :)

gruss
XServer
 
Last edited by a moderator:
Xserver said:
neuen Nutzer habe auch bereits angelegt mit allen Rechten die der root auch hat.
Click to expand...
:eek:
Wozu machst du einen User der ALLE Rechte hat? Dann kannst du gleich Root Login wieder erlauben.

Xserver said:
Eine frage habe ich aber noch bevor ich dem root die Rechte entziehe oder lösche?
Click to expand...
:eek::eek::eek:
Was willst du machen? Vergiss das einmal ganz schnell wieder.

Xserver said:
den Root entmachten werde.
Click to expand...
Siehe oben.

Xserver said:
grundsicherung eines servers angeht.
Click to expand...
Siehe Forensuche, es gibt dazu schon sehr sehr viele Threads und auch sehr gute HowTos dazu.
 
hey :)

habe ich da irgend was verpasst :(
ich dachte das man in meinem webmin login dialog genauso
wie beim ssh zugang mit root als standart-user unsicherer ist als mit einen frei wählbaren user, der gleiche rechte hat.
da man ja zu dem pw noch den user-namen herausfinden muss?

reicht es denn überhaupt nur den port zu ändern?

danke & gruss


EDIT: gut das ich es noch nicht gemacht habe und erst mal einkaufen gewesen bin :)
 
Also bei ssh ist das prinzip ganz simpel. Man nehme einen User, den kann man auch gerne von hand anlegen, entzieht dem jegliche Rechte so, dass es gerade zum ssh login reicht und fertig.
Die SSH baust Du dann über diesen User auf und wechselst dann mittels su zum root. In der sshd.conf legst du "PermitRootLogin" auf "no", somit ist sichergestellt dass root sich nicht als erster einloggen kann.

Zu Webmin kann ich nicht sonderlich viel sagen, nur ist des öfteres zu lesen, dass die Software an sich nicht gerade sicher sein soll. Aber da wird Dir ein experte sicher mehr zu sagen können ;)
 
Vielleicht sollte ich über Webmin noch mal was recherchiren :)

beim ssh habe ich mich an diese liste gehalten
Diese Befehle solltest du als "root" per SSH ausführen:
1.) useradd -g users -s /bin/bash benutzer // Legt den User: 'benutzer' an mit "User" (eingeschränkten) Rechten an

2.) passwd benutzer // Passwort für den Benutzer "benutzer" setzen

3.) pico /etc/ssh/sshd_config // öffnet die sshd_config Datei mit einem Texteditor

4.) Dort änderst du: "PermitRootLogin yes" in: "PermitRootLogin no"

5.) STRG + x drücken dann "y" drücken und dann ENTER drücken (steht für: Beenden, Speichern, Bestätigen)

6.) Nun noch SSH neu starten => /etc/init.d/ssh restart

Sollte Punkt 6 nicht funktionieren startet dein SSH wahrscheinlich ausm Xinetd dann sollte das überflüssig sein.
Click to expand...

quelle:

ssh ohne root...bzw verbieten für root...

Hallo erst mal, nur mal für blöde, aber ich suche schon echt lange danach, viele raten dazu das man einen direkten root login über ssh verhindern sollte so das sich nur noch user per ssh einloggen können und dann per su auf root wechseln. dazu sollte ich mir ja erstmal einen neuen user...
serversupportforum.de serversupportforum.de

hat soweit auch alles geklappt bei mir,
habe mir auch noch das fehlende /home verzeichniss angelegt.

das einzigste was ich nicht ganz verstehe, punkt 6 war bei mir auch nicht möglich, habe es dann einfach über server admin 24 gemacht.

aber trotzdem kann ich mich noch über root anmelden.
Muss ich da noch was machen?
 
Sicher, dass die Zeile nicht auskommentiert ist?
/etc/init.d/sshd restart

Wenn du alles richtig gemacht hast, kannst du dich nicht mehr über root einloggen. Vergiss aber nicht, dir noch eine Session offen zu lassen, falls du versehentlich einen Fehler machst!
 
Darkdream said:
Sicher, dass die Zeile nicht auskommentiert ist?
/etc/init.d/sshd restart

Wenn du alles richtig gemacht hast, kannst du dich nicht mehr über root einloggen. Vergiss aber nicht, dir noch eine Session offen zu lassen, falls du versehentlich einen Fehler machst!
Click to expand...

hab den punkt 6 noch mal probiert, die antwort ist
-bash: /etc/init.d/ssh: No such file or director

nach den sichpunkten wie oben im zitat zu urteilen, habe ich damit gerechnet das ich den punkt dan einfach weg lasen kan?

habe die ganze zeit noch eine session als root neben bei laufen. sicher ist sicher :)

PS: PermitRootLogin no, ist richtig gesetzt worden, habe es noch mal kontrolliert.
 
Last edited by a moderator:
BlackPixel said:
Es heisst

/etc/init.d/sshd
Click to expand...

AHA. Danke, und schon geändert und jetzt hat es endlich geklappt :)

Wobei ich mich immer noch als Root einloggen kann.
Muss ich ssh in SA24 neustarten? bleibt meine extra Session auch dabei noch bestehen?
 
Last edited by a moderator:
Hatte doch schon vorher sshd geschrieben.

Nein die Session bleibt erhalten und nein SA24 muss nicht restartet werden, hast du die richtige Config erwischt? Ist die Zeile auskommentiert (# vor der Zeile)?

Schau evtl. einmal in den Chat, dann kann man das schnell lösen ;)
 
Super :)
habe gerade wo du gepostest hast,
es erst kapiert und in der Configdatei # entfernt. :)

Ich glaube jetzt hat es aber auch wirklich Geklappt.
Root kann ich zwar als Benutzer angeben, ist ja klar!!
aber das PW nimmt er nicht an, also verweiger er es, Perfekt :)

Wen ich mich dann mit meinen angelegten Benutzer einlogge,
und mich per su update :) dann bin ich wenn keine fehlermeldung kommt doch 100% mit Rootrechten verbunden oder? wenn ja dann hat alles funktioniert, kann ich oder sollte ich das Sicherheitshalber noch irgend wie kontrollieren?


Danke fürs angebot bzgl. Chat, wo finde ich euch den?
 
Das passt/funktioniert jetzt alles, so wie es soll. Wenn du willst, kannst du ja was machen, was nur root darf.

Xserver said:
Danke fürs angebot bzgl. Chat, wo finde ich euch den?
Click to expand...

Entweder mit dem Java Client.

oder per IRC Client:
Server: irc.german-irc.net
Channel: #ssf
 
Danke :)

Bekomme mein IRC-Client nicht gestartet,
scheint hier geblockt zu werden, (bin nicht an meinem PC)

werde die tage mal rein schauen. :)

gruss XServer
 
Last edited by a moderator:
Bzgl. Webmin absichern: huschi.net - Webmin absichern
Warum das dann reicht? Weil die Script-Kiddies es mit Webmin nur auf dem std. Port und mit dem std. User 'root' versuchen.

Und ja, unter Webmin kann man dem root alle Rechte entziehen. Muß man aber nicht. Einfacher ist es seine "IP-Zugriffskontrolle" auf z.B. "localhost" zu setzten. Schon kann sich niemand von extern einloggen.

BlackPixel said:
Zu Webmin kann ich nicht sonderlich viel sagen, nur ist des öfteres zu lesen, dass die Software an sich nicht gerade sicher sein soll.
Click to expand...
Das tue ich mal als "Halbwissen" ab.

huschi.
 
@Huschi: Das darfst Du in diesem Falle auch, darum noch die Bemerkung, dass sich ein wissender sicher noch melden wird :)
 
Hallo zusammen!

Ich hätte da auch noch eine Frage zu diesem Thema...

Ich bin auch gerade dabei meinen Server (Suse Linux 9.3 / SA24) abzusichern. Webmin ist nach Huschis Vorgaben abgesichert, habe einen User angelegt, der sich per SSH anmelden kann, root-Login per SSH ist nicht mehr drin... alles supi - sollte man meinen - nun bin ich auf ein bizarres Thema gestoßen:

Ich nutze Putty für die SSH-Sessions. Als root war da immer als wunderbar. Wenn ich mich jetzt mit meinem neu erstellten User einlogge, wird Putty allerdings plötzlich auf deutsch dargestellt und entsprechend grausam sieht das aus, weil alle Umlaute beispielsweise völlig kryptisch dargestellt werden :eek:. Daran ändert sich auch nix, wenn ich su anwende. Ändere ich die sshd_config und melde mich wieder als root an, ist alles wieder normal...

Bin mir jetzt nicht sicher, ob das nun nur ein kosmetisches Problem ist und nicht weiter schlimm, allerdings hätte ich doch auch gerne mit dem User, mit dem ich in Zukunft arbeiten soll eine ordentliche Darstellung... :rolleyes:

Irgendjemand hier, der weiß was da los ist :confused:
 
Im ~/.bashrc oder /etc/bash.bashrc (evtl auch .login, usw oder einer Datei, die eingelesen wird) wirst Du sehen, dass verschiedene Umgebungsvariablen gesetzt werden. Für das dargestellte Verhalten ist die Variable "LANG" zuständig. Mach einmal ein
Code: 
echo $LANG
wenn Du als root und als Benutzer angemeldet bist, da siehst Du die Unterschiede (bei su wird die Variable vererbt). Wenn da z.B. "en_US" steht bekommst Du die Meldungen auf Englisch bei "de_DE" eben auf Deutsch. Wenn da z.B. "de_DE.UTF-8" steht, wird zusätzlich noch eine andere Zeichensatzcodierung verwendet, die sich von der in Putty eingestellten Codierung unterscheidet.

Lösung: Ändere entweder die Codierung durch entsprechendes Setzen der Variable LANG oder passe die Codierung in Putty an (bin mir gerade nicht sicher, ob SuSE 9.3 schon UTF8 kann, oder ob Du bei Putty iso8859-15 einstellen musst). Einfach mal ausprobieren!
 
Besten Dank für Deinen Tipp. Habe

Code: 
echo $LANG

ausgeführt und erfahren, das die Kodierung auf UTF-8 eingestellt ist. Putty auf UTF-8 umgestellt -> jetzt sieht es gut aus! Wo die LANG-Variable gesetzt wird konnte ich nicht herausfinden, aber ist ja auch worscht - die Darstellung passt jetzt jedenfalls!
 
Last edited by a moderator:
You must log in or register to reply here.
Back
Top