Die Sache mit dem ShellScript hört sich ja schonmal oki an
dabei kann ich ja auch den Usernamen via variabel eintragen
zu dem ich werden möchte. Somit hatt der User ja garkeine Shell in dem Sinne
sondern beim Login würd nen ShellScript ausgefürt was dan von vornerein su
ausfürt und dem User nicht mal die Change gibt was anderres zu machen habe ich das so richtich verstanden?
Es ist halt nur so:
Ich hab was Server angeht ne kleine Paraneuea! Der SSH Ist schon folgendermassen abgesichert.
.- SSH Port auf 9986 verschoben
.- Root Login am SSH Verboten
.- AllowUser angepast auf den SSH User
.- AllowGroup angepast auf den SSH User / seine group.
.- SSH Key Auth. benutzt anstelle einer eingabe von nem Passwort
.- SSH Key mit ner langen Passfarse abgesichert.
.- SSH mittels IPTable Regel an einen DynDNS Hostnamen gebunden
(Um so nur zugriff zu bekommen von einem ganz bestimpten Ort)!
(Würd aber bald ersetzt durch eine art Portnoking bez eine Anwendung
die nach erfolgreicher auth. von einem selbstgeschriebennen Client
den SSH Port Aufmacht und wenn nicht anderster eingestelt nach yy:xx:mm ihn wieder Schließst und die Verbindung zwischen Client und SSH trent. Die Application hat auch noch andere Vorteile ich kann so bsp ein Backup der wichtigsten Files aufem Server mittels eines ShellScriptes das angestoßen würd sichern ohne dabei aufem Server Aktiv Angemeldet zu sein gibt da viele aufgaben die das ding erfüllen würd!
Ich hab mal vorl langem ein Howto gelesen wo genau das gemacht wurde ein user angelegt der am ande
nur su ausfüren durfte um SSH halt abzusichern. ich hab nur vergessen wie der user angelegt wurde
mit dieser beschneidung seiner rechte im system.
Und nun möchte ich den unwarscheinlichen fall noch abdecken:
Ein Angreiffer hat allen ernstes zugriff auf mein Rechner bekommen wärend mein USB Stick mit der SSH Keyfile drauf ist und sich diese gedownloaded.
noch einen keylogger installiert um die passfarse rauszubekommen und meine ip gespoffed. bez nochbesser ohne das ich es merke eine verbindung über mich zum Server aufgebaut. nun muss er auch wenn er eigendlich alles nötige hat ja noch das passwort für Root bekommen
und das würd er nicht xDD
Weil ich Root Administrations Arbeiten immer von meinem Host System mache! Alles andere aus ner VM die ich extra dafür eingerichtet habe ^^ somit könte ein keylogger auf der VM zwahr laufen aber nicht auf meinem Host !
Desweiteren sitzt ne Debian FW vor meiner Kiste die alle Verbindungen nach ausen und innen regelt und bis auf port 80 sind diese alle fest defeniert via iptables regel.
Reicht das an sicherheit eigendlich aus? oder kann man da noch mehr tuhen? bezüglich SSH Absichern,
dar SSH der einzigste Zugangspunkt zum Server bei mir ist um ihn zu Administieren.
Axo der SSH Zugriff ist auf 3x faillogins getrimpt sprich: 3x Falsches PW oder Passfarse und die
IP des Clienten würd für 1Stunde gespert.
