Re: ssh-Zugang weiter verschärfen

To: debian-user-german@lists.debian.org
Subject: Re: ssh-Zugang weiter verschärfen
From: Matthias Haegele <mhaegele@linuxrocks.dyndns.org>
Date: Tue, 18 Dec 2007 13:20:48 +0100
Message-id: <4767BB20.1000801@linuxrocks.dyndns.org>
In-reply-to: <20071218114656.GD3971@schubbi-net.local>
References: <200712180906.20226.chris@knorrc.de> <20071218114656.GD3971@schubbi-net.local>

Til Schubbe schrieb:

* Am 18.12. meinte Christian Knorr:

in meinem Intranet habe ich folgende Marotte eingeführt:
root ist überall der Zugang per ssh gesperrt.


Das ist nicht unbedingt Marotte.

Aber mal was anderes: Wo steht der Server? Ist evtl. ein reines
Konsolen-Login eine Lösung?

root-Zugang sperren geht vermutlich so:
# cat /etc/passwd | grep root
root:x:0:0:root:/root:/bin/false

                        ^^^^^^^^^^
Dann bekommt root keine Shell mehr. Dann mußt Du immer über sudo
gehen. Was bringt das für die Sicherheit? Das schränkt doch eher den
Komfort für den Admin (Dich) ein.

ssh Login für Root sperren, sinnvoll, empfohlen allein wg. der ScriptKiddies die immer auf den root account gehen.Über die ssh-config eine Gruppe anlegen der der user (und evtl. weitereangehören) die sich per ssh einloggen können sollen.

Mittels su - auf den root account wechseln nach dem SSH-Login.
sudo habe ich hier auch nicht aktiviert das wär mir auf dauer zu lästig ...

Da sehe ich eher den Sinn darin weiteren usern eben *nicht* dasroot-passwort bekanntzugeben und ihnen trotzdem (evtl. eingeschränkteBefehlsgewalt zu geben).

Aber wie bringe ich dem "welcher_user_auch_immer" bei, nur sudo und exit
ausführen zu dürfen?


Warum möchtest Du das machen?

Idee: Den User aus allen Gruppen (insb. users) rausnehmen und bei
allen ausführbaren Dateien (oder den Verzeichnissen /bin, /usr/bin)
im System die rx-Bits für others löschen...

weil eine Neuinstallation des Servers
ansteht.
Aus debian etch wird c't Server 2.1 (ct special 01/08 vom 17.12.2008).


Wie kann man das "drüberbügeln"?

Warum eine Neuinstallation? Was kann der Server der c't, was etch
nicht kann?

Es ist vielleicht schwierig in Etch das alles so zu konfigurieren,vorzubereiten wie es der ct-Server mitbringt?

Und diesmal mit mehr System von Anfang an, als alles im laufenden
Betrieb zu verändern wie bisher ;-)


Warum war/ist das ein Problem?

Eigentlich ist es nicht so schwer im nachhinein zu korrigieren, wennnicht viel unnötiger Müll/Dienste etc zu bereinigen sind?

Gruß
Til



--
Gruesse/Greetings
MH


Dont send mail to: ubecatcher@linuxrocks.dyndns.org
--

Reply to:

Follow-Ups:
- Re: ssh-Zugang weiter verschärfen
  - From: "M. Houdek" <linux@houdek.de>
- Re: ssh-Zugang weiter verschärfen
  - From: Christian Knorr <chris@knorrc.de>

References:
- ssh-Zugang weiter verschärfen
  - From: Christian Knorr <chris@knorrc.de>
- Re: ssh-Zugang weiter verschärfen
  - From: Til Schubbe <lists@lists.schubbe.org>

Prev by Date: Re: ssh-Zugang weiter verschärfen
Next by Date: UMTS Karte
Previous by thread: Re: ssh-Zugang weiter verschärfen
Next by thread: Re: ssh-Zugang weiter verschärfen
Index(es):
- Date
- Thread