Versuche Root-Rechte zu erlangen limitieren

dobse

Registered User
Servus liebe Community,

ich habe auf meinem Server den Root-Login verboten. Für den unwahrscheinlichen Fall, dass nun doch ein Zugriff über den Loginuser klappt (warum auch immer), würde ich gerne die Anzahl der su-Versuche limitieren.

Gibt es da ein Script?

Vielen Dank für eure Hilfe.

Ty dobse
 

d4f

Kaffee? Wo?
Du könntest einfach einen zweiten Account mit Root-Rechten (UID/GID 0) anlegen um die security by obscurity von aussen zu erhöhen. Funktioniert zumindest viel besser mit automatisierten Tools als su/sudo Gefrickel.

Throttling wird übrigens generell nicht von su sondern dem Login-Backend übernommen. Für Sicherheitsfanatiker ist das hier ein sehr interessanter Startpunkt (kann auch Throttling)
http://www.howtogeek.com/121650/how...gle-authenticators-two-factor-authentication/
 

DeaD_EyE

Blog Benutzer
Der Login ist hoffentlich auch key-only?
...und der genutzte Privatekey auch Passwortgeschützt.

Was macht die Authorisieung mit einem Privatekey sicherer, wenn der Pc des Admins mit einem Rootkit/Trojaner verseucht ist? Das Passwort für den Privatkey muss man doch irgendwann einmal eingeben.
 

dotme

New Member
pam_tally2 dient dazu fehlerhafte Versuche zu zählen und erneute Versuche für eine konfigurierbare Zeitspanne zu unterbinden.
 

tomasini

New Member
...und der genutzte Privatekey auch Passwortgeschützt.

Natürlich. Für automatisierte Backups brauche ich u.U. aber auch einen Key(s) ohne Passwort. Zum Szenario mit Rootkit/Trojaner. Wenn ich so etwas auf meinem Rechner habe, dann ist da mit hoher Wahrscheinlichkeit auch ein Keylogger mit bei. Ein Passwort (auf den Keys) bietet da also kaum zusätzlichen Schutz. Das Passwort schützt primär bei (physischem) Verlust der Keys.
 

DeaD_EyE

Blog Benutzer
Zum automatisierten Backup mit Autentifizierung über private keys, hab ich letztens noch eine interessante Option gesehen: http://stackoverflow.com/questions/...s-to-a-predefined-set-of-commands-after-login

Mit keychain könnte man noch einen Schlüssel mit Passwort verwenden. Erfordert aber die einmalige Eingabe, wenn der Server neugestartet wird.

Ob das erste Verfahren jetzt wirklich sicherer ist, kann ich nicht sagen. Aber immerhin hat man dem Angreifer noch ein paar Steine in den Weg gelegt. Beim zweiten Verfahren wäre es noch möglich das Passwort aus dem Speicher auszulesen. Steht glaube ich auch im Artikel.
 
Last edited by a moderator:

dobse

Registered User
pam_tally2 dient dazu fehlerhafte Versuche zu zählen und erneute Versuche für eine konfigurierbare Zeitspanne zu unterbinden.
Genau das hab ich doch gesucht. Zumindest so wie du es beschreibst. Werde es mir am Wochenende einmal ansehen.

Der Login ist hoffentlich auch key-only?
Was das ;) *kidding*

...und der genutzte Privatekey auch Passwortgeschützt.
Ja. Sehe es ähnlich wie du.

Danke für die Antworten.

Mfg,
 
Top