On Fri, 16 Sep 2005 00:50:37 +0200, Christian Boltz <suse@cboltz.de> wrote:
Hallo Kay, hallo Leute,
Am Donnerstag, 15. September 2005 10:01 schrieb Kay Patzwald:
Nun habe ich in /var/log/messages gesehen, dass sich da jemand einloggen wollte.
Du redest von SSH-Login(versuchen)? Die gibt es in letzter Zeit massig. Auf dem von mir betreuten Server habe ich inzwischen SSH so eingestellt, dass der Login ausschließlich mit SSH-Key möglich ist. Ich glaube kaum, dass jemand einen 1024-bit-Key "zufällig" knackt ;-)
Das habe ich jetzt auch so eingerichtet. Man kann sich nur noch per Zertifikat einloggen. Passwort-Authentifizierung habe ich komplett deaktiviert, und auch root darf sich nicht mehr einloggen. Damit ich als normaler Nutzer aber noch su verwenden kann, habe ich die Dateirechte wieder auf "Sicher" gestellt. :-)
Ich habe nichtmal den direkten Root-Login per SSH (Key!) verboten, allerdings mit command=... in der authorized_keys (-> man sshd) auf rsync-Aufrufe fürs Backup beschränkt.
Lesetipp: 9.7. Wie kann ich den Login ausschließlich mit SSH-Keys erlauben? http://suse-linux-faq.koehntopp.de/q/q-ssh-keyonly.html (die anderen Texte im SSH-Kapitel sind evtl. auch für Dich interessant.)
Wie sichert man so einen Server richtig ab? Bisher habe ich nur die nötigsten Pakete installiert, und es sind nur drei Ports offen (80, 22, 8080).
Wofür 8080? Ist das ein Zweitport für Apache oder irgendein Proxy?
Ist für den Tomcat.
Dann wollte ich einen weiteren User mit root-Rechten anlegen, aber in die Gruppe "root" aufnehmen, reicht wohl nicht, damit man den Benutzer root deaktivieren kann.
Wie Du inzwischen erfahren hast, muss der andere User auch die UID 0 haben. Ich sehe in dieser Maßnahme allerdings keinen rechten Sinn - nicht der Username sollte die Hürde sein, sondern das Passwort.
Den Usernamen kann übrigens jeder mit einem lokalen Account selbst rausbekommen: getent passwd |grep :0:
OK, darauf habe ich jetzt sowieso verzichtet.
Weiterhin habe ich in sshd_config "PermitRootLogin no" eingetragen. Nun kann ich mich jedoch nicht mehr mit root einloggen,
Klar, das ist der gewünschte Effekt ;-))
Gruß
Christian Boltz