[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: ssh-Zugang weiter verschärfen

Am Dienstag 18 Dezember 2007 12:46:56 schrieb Til Schubbe:

> Aber mal was anderes: Wo steht der Server? Ist evtl. ein reines
> Konsolen-Login eine Lösung?
Nein. Er steht im Serverraum, dort, wo meinem Lebensgefährtin unsere Wäsche 
wäscht :-P
Obwohl er kurz davor steht in's Wohnzimmer zu ziehen (wenn mir eine passable 
Lösung zur Geräuschdämmung eingefallen ist) möchte ich trotzdem per ssh 
drauf.

> Dann bekommt root keine Shell mehr. Dann mußt Du immer über sudo
> gehen. Was bringt das für die Sicherheit? Das schränkt doch eher den
> Komfort für den Admin (Dich) ein.
>
> > Aber wie bringe ich dem "welcher_user_auch_immer" bei, nur sudo und exit
> > ausführen zu dürfen?
>
> Warum möchtest Du das machen?
Weil ich es sicherer finde. Zum Einen gegen Angreifer, die kein root-Zugriff 
bekommen können, und wenn doch, sich durch den 2. Benutzernamen mit insg. 2 
Passwörter knacken mussten.
Zum Zweiten wegen Osi Layer 8 (Meinereiner) der ja nun doch ganz selten mal 
mist gebaut hat weil er zu viel durfte. Hier wäre die von Suse genutzte 
Möglichkeit der farblichen Trennung von User und root aber schon mal Gold 
wert.

> Idee: Den User aus allen Gruppen (insb. users) rausnehmen und bei
> allen ausführbaren Dateien (oder den Verzeichnissen /bin, /usr/bin)
> im System die rx-Bits für others löschen...
Hmm, das erhöht aber auch den Wartungsaufwand zumindest am Anfang, wenn noch 
Programme hinzu kommen. Aber es wäre eine Möglichkeit.

> Warum eine Neuinstallation? Was kann der Server der c't, was etch
> nicht kann?
Das wird sich zeigen. Bisher ist die Erstellung der VM's positiv aufgefallen.
Der Hauptgrund ist aber eher eine Distribution zu haben (auf etch basierend) 
die genau das macht was ich verlange, und nicht erst nach 
Installationskämpfen.
Bedenke: mein erster Server hatte Suse 10.0 mit KDE und Dektopfreigabe 
drauf ;-)

> > Und diesmal mit mehr System von Anfang an, als alles im laufenden
> > Betrieb zu verändern wie bisher ;-)
>
> Warum war/ist das ein Problem?
Weil ich teilweise an Start- und Systemdateien rumgefummelt habe damit es 
lief. Und ich langsam aber sicher den Überblick verloren habe.

> Gruß
> Til
MfG, Chris...
Reply to: