SSH Problem lt. RootKit Hunter

[phpman]

Hallo zusammen,

nachdem ich auf meinem RootServer mit SUSE 9.1 den RootKit Hunter haben laufen lassen erhalte ich folgende "Sicherheitslücke" angezeigt:

In der Forensuche konnte ich das Problem so leider nicht genau finden.

* Check: SSH
Searching for sshd_config...
Found /etc/ssh/sshd_config
Checking for allowed root login... Watch out Root login possible. Possible risk!
info: No 'PermitRootLogin' entry found in file /etc/ssh/sshd_config
Hint: See logfile for more information about this issue
Checking for allowed protocols... [ Warning (SSH v1 allowed) ]

Hmm... meine sshd_config sieht so aus:

--- snip ---
#Port 22
#Protocol 2,1
#ListenAddress 0.0.0.0
#ListenAddress ::

# HostKey for protocol version 1
#HostKey /etc/ssh/ssh_host_key
# HostKeys for protocol version 2
#HostKey /etc/ssh/ssh_host_rsa_key
#HostKey /etc/ssh/ssh_host_dsa_key

#KeyRegenerationInterval 1h
#ServerKeyBits 768

# Logging
#obsoletes QuietMode and FascistLogging
#SyslogFacility AUTH
#LogLevel INFO

# Authentication:

#LoginGraceTime 2m
#PermitRootLogin yes
#StrictModes yes

#RSAAuthentication yes
#PubkeyAuthentication yes
#AuthorizedKeysFile .ssh/authorized_keys


# Change to no to disable s/key passwords
#ChallengeResponseAuthentication yes

# Kerberos options
#KerberosAuthentication no
#KerberosOrLocalPasswd yes
#KerberosTicketCleanup yes
#KerberosGetAFSToken no

# GSSAPI options
#GSSAPIAuthentication no
#GSSAPICleanupCredentials yes

#GSSAPIEnableMITMAttack no

UsePAM yes

#AllowTcpForwarding yes
#GatewayPorts no
X11Forwarding no
#X11DisplayOffset 10
#X11UseLocalhost yes
#PrintMotd yes
#PrintLastLog yes
#TCPKeepAlive yes
#UseLogin no
#UsePrivilegeSeparation yes
#PermitUserEnvironment no
#Compression yes
#ClientAliveInterval 0
#ClientAliveCountMax 3
#UseDNS yes
#PidFile /var/run/sshd.pid
#MaxStartups 10

# no default banner path
#Banner /some/path

# override default of no subsystems
Subsystem sftp /usr/lib/ssh/sftp-server




Wie ich nun gelesen haben soll man das Problem mit Änderung des obigen "fett markiert" eintrages ändern können.

Oder muss ich am "Rot" markierten etwas ändern ?

Nur möcht ich mich nun nicht aussperrren !!
Was muss ich tun um das Problem zu beseitigen ?

Hoffe daher dass Ihr mir weiterhelfen könnt.

Vielen Dank.

Gruß, PHPman

 

[miXus [tm]]

Hallo,

dass Problem ist einfach, dass in der Konfig die Zeile "PermitRootLogin yes" auskommentiert ist. Mit der Option "PermitRootLogin" gibt man an ob sich der User root direkt per SSH anmelden darf oder ob man sich erst mit einem normalen User authentifizieren muss und dann per "su -" zu root wird.

Lösung:
1. normalen Benutzer anlegen
2. Die Zeile "PermitRootLogin no" oder "PermitRootLogin without-password" eintragen
3. SSHD neu starten

 

[phpman]

Hallo,

Hallo,

dass Problem ist einfach, dass in der Konfig die Zeile "PermitRootLogin yes" auskommentiert ist. Mit der Option "PermitRootLogin" gibt man an ob sich der User root direkt per SSH anmelden darf oder ob man sich erst mit einem normalen User authentifizieren muss und dann per "su -" zu root wird.

Lösung:
1. normalen Benutzer anlegen
2. Die Zeile "PermitRootLogin no" oder "PermitRootLogin without-password" eintragen
3. SSHD neu starten

vielen Dank für Deine schnelle Rückantwort.

Eine Frage jedoch noch anbei, selbiger Fehler kommt auf einer Maschine mit Debian 3.1sarge nicht zum Vorschein.
Dort steht dann "Only SSH2 allowed" und das ist "Grün" OK. Wobei dort auch ein Login als Root möglich ist.

Hab´s eben auf ner neuinstallation Debian 3.1 (zuhause) ausprobiert. Das "RootLogin wie oben kommt logischer weisse zum Vorschein.

Wäre es möglich einfach auch den Login an eine IP zu koppen ? Sprich dass ich mich als "root" nur von einem Server aus einloggen darf/kann
wessen IP ich festlege ?

Gruß, PHPman

 

[TheSandman]

Abgesehen davon gibts für dein Suse 9.1 schon seit längerem keine Sicherheitsupdates mehr. Ich würde mir eher über ne Migration Gedanken machen als über ein paar Zeilen.

 

[vmx1]

Deine conf hat diesen Eintrag

#Protocol 2,1

der müssete aber so aussehen

Protocol 2

damit erlaubst du nur die SSH Version 2. Somit verschwindet die Meldung

Checking for allowed protocols... [ Warning (SSH v1 allowed) ]

 

[Mordor]

Wenn du den Rootlogin verbietest, und dich nur noch über einen bestimmten User einloggen willst, solltest du noch die Zeile

AllowUsers MEINNEUERUSER

einfügen. Dem User solltest du ein Passwort vorher gegeben haben, und dann musst du noch SSH sagen, dass der Zugang nur noch mit einem Passwort geht. Sonst kann jemand, der den User herausfindet über SSH und ein Leeres Passwort auf deinen Server zugreifen.

Wenn du auch gerade Dabei bist, die SSHd_config zu ändern, kannst du gleich noch nen anderen Port für SSH vergeben.

 

[nh2]

Ich habe auch den PermitRootLogin auf no gesetzt und mit Putty funktioniert alles wunderbar.

Wie geht es aber mit WinSCP? Wie kann ich da sozusagen ein su machen?

 

[Guin]

Wie geht es aber mit WinSCP? Wie kann ich da sozusagen ein su machen?

Kurz: gar nicht.

root Login zu verbieten ist ja schoen und gut... aber wenn root ein gutes PW (oder einen Schluessel) hat, braucht man sich doch keine Sorgen zu machen, dass da jemand als root einbricht.

 

[nh2]

Es soll doch irgendwie mit PermitRootLogin whithout-password gehen, aber was muss ich da genau machen und wie stell ich das WinSCP ein?