vServer Sicherheitsfrage / root

[vincentx]

Hallo,
Ich habe mir vor ein paar Tagen ein vserver von Strato gemietet
Der Server läuft auf Ubuntu mit plesk 12.5, ich habe eine Frage zur ssh und zum sFTP bzw FTP.

Es wird ja allgemein empfohlen den root Benutzer vom ssh Login auszusperren sich mit einem anderen Benutzer einloggen und dann via

su root

auf den root Account wechseln. Dies habe ich gemacht klappt auch wunderbar. Allerdings werde ich dadurch auch vom SFTP ausgesperrt und der Benutzer den ich für ssh angelegt habe, kann auch nur über FTP Port 21 zugreifen und hat keine root Rechte.

Meine Frage: kann mann das anders lösen und dennoch mit root rechten auf den FTP zugreifen aber gleichzeitig für ssh den root Zugriff sperren?

Grüße
Vincent

 

[mr_brain]

Was hat FTP mit SSH zu tun? Bei haben unterschiedliche Konfigs. Somit kannst auch für SSH den Root-Zugang deaktivieren und bei FTP den Root-Zugang aktivieren. Ob das nun sinnvoll/sicher ist, ist eine andere Sache.

 

[vincentx]

Ich habe in der sshd_config die im Vererzeichnis /etc/ssh/sehr_config liegt sie Zeile:

PermitRootLogin

von on zu off gewechselt den ssh neu gestartet und seid dem komme ich mir diesen Nutzerdaten nicht mehr auf den FTP.

 

[reccon]

Du meinst du kommst dann nicht mehr per sFTP rein, oder?

 

[PitbullOL]

So wie ich das lese willst du mit einem erstellten Benutzer per sFTP auf dem Server zugreifen richtig ?

Dann musst du deinem Server sagen das nehmen wir mal an user xy auch gestattet ist den Zugang zu benutzen das wäre realisierbar mit :

AllowUsers xy

in der sshd.conf

Wenn du aber eine bessere Sicherheit haben willst würde ich mal dieses hier empfehlen: https://www.howtoforge.de/anleitung/key-basierte-ssh-logins-mit-putty/

dazu noch den ssh port ändern.

Und bitte kein sFTP benutzen wozu denn ? geh einfach auf das Terminal und alles was du hochladen willst kannst du lieber per wget runterladen.

P.S.

Falls die Profis hier andere Meinung sind bitte um Ergänzung man lernt nie aus.

LG
Pitbull

 

[ThomasChr]

Hallo vincentx,

SSH und (s)FTP sind das gleiche. Wenn du den root-Login im SSH verbietest, verbietest du auch den root-Login im (s)FTP.

Der Unterschied ist:
FTP ist ein unverschlüsseltes Dateiübertragungsprotokoll auf Port 21
sFTP ist ein Dateiübertragungsrotokoll welches das SSH-Protokoll zum authentifizieren und verschlüsseln nutzt.
Somit läuft SSH und sFTP auf Port 22.

Thomas

 

[vincentx]

Hallo,
Vielen dank für die zahlreichen Antworten.

Würdet ihr mir empfehlen nur mit SSH zu arbeiten, da es doch sicherer ist den SSH root Zugang zu verbieten?

Weil auch durch den Eintrag

AllowUsers NICKNAME

kann ich mich nicht als root auf den FTP aufschalten.


Gruß
Vincent

 

[nexus]

...da es doch sicherer ist den SSH root Zugang zu verbieten?

Das ist ein weit verbreiteter Aberglauben, der sich leider hartnäckig hält.
Es gibt viel anfälligere Angriffsvektoren als den SSH root-Zugang und wer sich wirklich root-Rechte auf deinem Server verschaffen will, der hat noch viele andere Optionen als SSH.

Wie schon weiter oben gesagt...Stelle deinen SSH auf schlüsselbasierte Authentifikation um. Wenn du den privaten Schlüssel sicher verwahrst, kann da nix passieren.

 

[PHP-Friends]

Key mit Passphrase + 2-Factor-Auth

 

[ThomasChr]

Ich würde behaupten die meisten Server werden durch eine Sicherheitslücke in irgendeiner PHP-Applikation geknackt.
Wenn ich da an Contao oder Joomla denke, da gibts einige Sicherheitslücken.
Ob derjenige dann root-Access bekommt ist wieder eine andere Frage, aber meistens braucht er das garnicht.

Spam-Mails verteilen geht auch mit einem normalen Web-Account sehr gut.