WinSCP ohne root

D

Dr.Oetker

Registered User
Ich habe,, wie hier öfters empfohlen, den root-Zugang über SSH gesperrt. Klappt auch wunderbar. Mein Problem jetzt:

Wie kann ich mit WinSCP3 trotzdem auf alle Verzeichnise zugreifen?

Über die Konsole hohle ich mir root-Rechte mit su, gibts die Möglichkeit auch bei WinSCP3 oder ist es jetzt nciht mehr möglich, auf alle Verzeichnise zuzugreifen?
 
Also an für sich hast du da keine Möglichkeit, es sei den du erzeugst wieder ein root-ähnlichen User. In wie weit das aber von Vorteil ist stell ich mal in Frage.

Im übrigen, man muss nicht immer alles machen was einem für gut geheißen wird. Vorher Vor- und Nachteile speziel für deine Situation abwägen und dann entscheiden lohnt sichs eine Änderung in dem Maße durchzuführen.

Den Root Login via SSH zu sperren, seh ich eher als Selbstverstümmelung.
Ein verlegen des SSH Ports und gut generiertes Passwort (60, 70 oder mehr Zeichen sind ja kein Problem, entsprechend mit Groß- / Kleinbuchstaben, Zahlen und im Begrenzten Maße auch Sonderzeichen*) mit einer aktzeptablen Verschlüsselung ist eben so sicher.

*Bei Sonderzeichen bleibt zu beachten das nicht alle Sonderzeichen an jeder Stelle aktzeptiert werden, Umlaute zählen auch dazu.
 
Stimmt auch wieder, hast wohl Recht, werde root über SSH wieder zulassen, ein sicheres Passowrt habe ich, Port habe ich auch geändert.

Danke
 
Hallööchen. Was hältst du davon, einen Private-Key zu verwenden, statt einem 'sicheren Passwort'? Den kannst du mit Puttygen anlegen. So kannst du den Login für root mit Passwort deaktivieren. Nicht den root-Acount sondern nur die Möglichkeit, sich einzuloggen.

Denn ein 2048 oder 3072 bits starker Private-Key ist auf jeden fall sicherer wie ein 'normaler' Passwort-Login. Meine ganz persönliche Einschätzung..

Wenn du zusätzlich noch eine Passphrase verwenden möchtest, dann empfehle ich dir noch Pageant, damit man je Windows-Session nur 1x die Passphrase eingeben muss, egal wie oft man sich anmeldet.

Puttygen - http://the.earth.li/~sgtatham/putty/latest/x86/puttygen.exe
Pageant - http://the.earth.li/~sgtatham/putty/latest/x86/pageant.exe

Und hier eine Art 'Anleitung' von mir für die Verwendung von Puttygen, dem Putty Gen Generator. (Mit Bildchen)
http://www.vbulletin-germany.com/forum/showpost.php?p=107728&postcount=5

Die Public-Key (öffentlich) musst du nun, zusammengesetzt wie er in dem oberen Feld erscheint, in die Datei /root/.ssh/authorized_keys oder /root/.ssh/authorized_keys2 eintragen. Und zwar so, das der Schlüssel in einer einzigen Zeile steht. Abspeichern.

Hier ein Beispiel, wo farbig gut zu erkennen ist, das sich der Key aus 3 Teilen besteht.
ssh-dss AAAAB3NzaC1kc3MAAAAhAJJMV0fbpbe5urTwAa7ihglTdaUBzvABmaXB/gHW9n25AAAAFQDm3xcAIvZqwQGmzNNguArNXD0sDwAAACAiKEnobIt8PAAwrfnuGZpSn+DaDwukJiDClBKjJaM9EwAAACArh//0zHnrCLijgCAZBTT53AEbMgwmR23Pmr0SBHJQMQ== H75
Click to expand...
Hier der Beispiel-Public-Key als Datei publickey.txt
http://hollii.de/temp/publickey.txt (der Key hat nur 256 bits, damit das nicht den rahmen sprengt hier. :D)

Und hier auch noch zum Vergleich der Private-Key, der ja in Putty und WinSCP 'verlinkt werden muss'.
http://hollii.de/temp/privatekey.ppk.txt

Hier auch noch 2 Screenshots dazu. Einmal Putty und einmal WinSCP, wo man sehen kann, wo genau man den private-Key angeben muss.

http://hollii.de/temp/winscpppkdatei.jpg
http://hollii.de/temp/puttyppkdatei.jpg

Wenn du dich erfolgreich mit dem Key einloggen kannst, dann kannst du wenn du möchtest, das Passwort für den Root deaktivieren. Aber erst wenn die Anmeldung mit dem Key funktioniert. Am besten, Putty 2- oder 3-x öffnen. ;)
Wenn alles funktioniert (erst dann !!!) in der Datei /etc/shadow die Zeile
Code: 
root:$1$k..:....
in
Code: 
root:*:....
andern, wie z.B. eine Zeile tiefer...
Click to expand...
Falls ich was vergessen habe, einfach fragen..

Vorteil von dem deaktivieren Passwort, das es niemand mehr schafft, das Passwort raus zu finden. ;)

Falls du doch mal wieder den root-Login mit Passwort benötigst, kannst du einfach und schnell ein neues Passwort setzen, in dem du als root passwd eingibst. Schon funktioniert der Login wieder mit dem Passwort. Natürlich kann man auch beides abwechselnd benutzen. Um einen Private-Key zu benutzen, muss man das nicht deaktivieren. Man kann es, wenn man möchte.
 
Ich hab es schon so eingerichtet, das ich mich per Key anmelden muss.

Das klappt auch. Aber wie stelle ich denn das so ein, das root sich nur mit key einloggen kann und nicht mehr mit passwort?


Danke
 
Hat er doch gepostet, das ist der Teil in dem die Änderung in der /etc/shadow File übernommen wird.

Ich nutze die Key Variante auch, allerdings bleibt bei der reinen Key Variante ohne Root Passwort das Problem wenn man sich notgedrungen von unterwegs (Arbeit, Schule, was weiß ich) als root einloggen muss, den private key hat man nicht immer dabei. ;)

Ich verwende beides, also Passwort und Key mit Passphrase, wobei das Passwort eine ewig lange Zeichenkombination ist, womit es unmöglich sein sollte diese mit ner Bruteforce Attacke zu knacken ohne das es auffällt :D
zudem dürfte das auch ne weile dauern ;)
 
oh, sorry, hab ich üübersehn, danke.

Für unterwegs hab ich den key auf meinem MP3 Player und das verschlüsselt ;)
 
StickyBit said:
allerdings bleibt bei der reinen Key Variante ohne Root Passwort das Problem wenn man sich notgedrungen von unterwegs (Arbeit, Schule, was weiß ich) als root einloggen muss, den private key hat man nicht immer dabei. ;)
Click to expand...
Tja, das ist doch einfach zu lösen. :D Ich hab auf meinem USB-Stick immer alles dabei.

USB-Stick:
- WinSCP Standalone application (Version benötigt keine Installation) -> Link
- Putty -> Link
- Private-Key-File
- Alle wichtigen Passwörter -> Link

So komme ich von jedem Rechner unterwegs an meinem Server ran. Und für den Fall, wo es nicht geht, besteht immer noch die Möglichkeit, über eine geheime DynDNS-Adresse via RemoteDesktop / VNC auf meinen Rechner zu Hause zu zugreifen. :D ;)
 
Da fällt mir gerade ein, wenn es denn Passwort sein muss, eignet sich sowas hier immer hervorragend:

AyBaB2U

Is zwar jetze ein wenig kurz, aber so mancher wird jetzt schon erkannt haben, was ich meine. Wenn nicht, hier die Auflösung für das auf den ersten Blick unmerkbare Passwort:

All your Base are Belong to us...

Natürlich ist das Passwort spätestens jetzt unbrauchbar, aber ich habe eigentlich, egal ob bei GMail, diversen Foren (allerdings auch nicht überall, hier müsste ich mir noch ein neues ausdenken), etc. immer solche Passwörter. Die sind relativ einfach zu merken und mittels Wörterbuch nicht wirklich zu knacken... ausser, es macht sich jemand die Mühe, Anfangsbuchstaben von mehreren Sätzen exkl. Interpunktion als Wörter in ein Wörterbuch aufzunehmen...
 
Odeesi said:
AyBaB2U
All your Base are Belong to us...
Click to expand...
Deswegen sollte man ja auch Sätze bilden, die nicht jeder wissen kann. ;)

Wie z.b. bei mir. Mein Master-Passwort ist auch eins nach diesem Prinzip:

BkliidB-Zvhnv.

Beim kacken lese ich immer die Bild-Zeitung von hinten nach vorne.

:D Ist nur ein beispiel. Aber man sollte das Passwort genau so machen, wie man es sich am besten merken kann. Und wenn man sich die nicht merken möchte, nimmt man halt ne Software wie Password Safe oder KeePass. :)
 
You must log in or register to reply here.
Back
Top