Hi folks, hab ein Netzwerk zu fernadministrieren, log mich dabei immer über die Firewall ein und dann auf den Server (natürlich per ssh). Gibt es eine Möglichkeit ssh-logins als root zu unterbinden? Oder hat wer einen Tipp wie man die G'schicht grundsätzlich sicherer machen kann (HIntergrund: anscheinend mehrere Einbruchsversuche in den letzten Wochen)? Gruss Michael
Hallo, Am Fr, 2003-10-17 um 19.25 schrieb Michael Karges:
hab ein Netzwerk zu fernadministrieren, log mich dabei immer über die Firewall ein und dann auf den Server (natürlich per ssh). Gibt es eine Möglichkeit ssh-logins als root zu unterbinden? Oder hat wer einen Tipp wie man die G'schicht grundsätzlich sicherer machen kann (HIntergrund: anscheinend mehrere Einbruchsversuche in den letzten Wochen)?
Wobei sich mir grundsätzlich die Frage stellt, ob das Einloggen als $user mit anschliessendem "su -" sicherer ist, als direkt mit root einzuloggen. Egal. /etc/ssh/sshd_config [...] # Authentication: #PermitRootLogin yes Das ist es wohl, was Du willst. bis dahin Martin -- http://webmin.mamemu.de/ WebMin-Mirror http://webmin.mamemu.de/download.html WebMin Translations Official Webmin/Usermin Translation Co-Ordinator 2003/2004 http://www.webmin.com/mailing-trans.html
Servus Martin, Am Freitag, 17. Oktober 2003 20:00 schrieb Martin Mewes:
Hallo,
Am Fr, 2003-10-17 um 19.25 schrieb Michael Karges:
hab ein Netzwerk zu fernadministrieren, log mich dabei immer über die Firewall ein und dann auf den Server (natürlich per ssh). Gibt es eine Möglichkeit ssh-logins als root zu unterbinden? Oder hat wer einen Tipp wie man die G'schicht grundsätzlich sicherer machen kann (HIntergrund: anscheinend mehrere Einbruchsversuche in den letzten Wochen)?
Wobei sich mir grundsätzlich die Frage stellt, ob das Einloggen als $user mit anschliessendem "su -" sicherer ist, als direkt mit root einzuloggen.
Hmm, DIE Diskussion würd ich wirklich gern führen. Vielleicht kann ja jemand etwas dazu beisteuern.
Egal.
/etc/ssh/sshd_config [...] # Authentication: #PermitRootLogin yes
Das ist es wohl, was Du willst.
Thx, genau das wars, danke. Hab leider die Optionen von /etc/ssh/ssh_config studiert :-(.
bis dahin
Martin
Gruss Michael
Hallo, Am Fr, 2003-10-17 um 20.15 schrieb Michael Karges:
Wobei sich mir grundsätzlich die Frage stellt, ob das Einloggen als $user mit anschliessendem "su -" sicherer ist, als direkt mit root einzuloggen.
Hmm, DIE Diskussion würd ich wirklich gern führen. Vielleicht kann ja jemand etwas dazu beisteuern.
Nö ;-) Die Postings der anderen haben mich überzeugt :-D
Das ist es wohl, was Du willst.
Thx, genau das wars, danke. Hab leider die Optionen von /etc/ssh/ssh_config studiert :-(.
Bitte, gern geschehen. bis dahin Martin -- http://webmin.mamemu.de/ WebMin-Mirror http://webmin.mamemu.de/download.html WebMin Translations Official Webmin/Usermin Translation Co-Ordinator 2003/2004 http://www.webmin.com/mailing-trans.html
Hallo, Am Freitag, 17. Oktober 2003 20:00 schrieb Martin Mewes:
Hallo,
Am Fr, 2003-10-17 um 19.25 schrieb Michael Karges:
hab ein Netzwerk zu fernadministrieren, log mich dabei immer über die Firewall ein und dann auf den Server (natürlich per ssh). Gibt es eine Möglichkeit ssh-logins als root zu unterbinden? Oder hat wer einen Tipp wie man die G'schicht grundsätzlich sicherer machen kann (HIntergrund: anscheinend mehrere Einbruchsversuche in den letzten Wochen)?
Wobei sich mir grundsätzlich die Frage stellt, ob das Einloggen als $user mit anschliessendem "su -" sicherer ist, als direkt mit root einzuloggen.
Prinzipiell ja. Du brauchst erst das Password von dem User und dann dass Passwort von root. Ein Passwort mehr zum knobeln... (=>john?) Gruß Wolfgang
Am Fr, den 17.10.2003 schrieb Martin Mewes um 20:00:
Wobei sich mir grundsätzlich die Frage stellt, ob das Einloggen als $user mit anschliessendem "su -" sicherer ist, als direkt mit root einzuloggen.
Vier Argumente für diese Variante sind offensichtlich: (1) Eine Brute-Force-Attacke, um überhaupt einen Account einzunehmen ist schwieriger, weil nicht nur ein Kennwort zu einem bekannten existierenden Account, sondern auch ein gültiger Benutzername erraten werden muss. (2) Für einen Angreifer ohne Account sind zwei Hürden bis zum Root-Account zu nehmen. (3) Falls mit dem Root-Account Mist gebaut wird, können die Logs einen Hinweis darauf geben, wer per "su" zu dem entsprechenden Zeitpunkt root geworden ist. Aber natürlich könnte man als Root diese Logs fälschen, so dass dieses Argument nicht bei böser Absicht oder Vertuschungsver- suchen ins Gewicht fällt. (4) Bei einem groben Fehler in OpenSSH wären ersteinmal nur die normalen Accounts gefährdet. Den SSH-Login für Root zu verbieten, ist sicher kein Wundermittel, aber es macht ein paar Angriffsszenarios schwieriger. MfG, Dennis
Servus Dennis, Am Freitag, 17. Oktober 2003 20:47 schrieb Dennis Stosberg:
Am Fr, den 17.10.2003 schrieb Martin Mewes um 20:00:
Wobei sich mir grundsätzlich die Frage stellt, ob das Einloggen als $user mit anschliessendem "su -" sicherer ist, als direkt mit root einzuloggen.
Vier Argumente für diese Variante sind offensichtlich:
(1) Eine Brute-Force-Attacke, um überhaupt einen Account einzunehmen ist schwieriger, weil nicht nur ein Kennwort zu einem bekannten existierenden Account, sondern auch ein gültiger Benutzername erraten werden muss.
Stimmt natürlich, muss zuerst den User "xyz" erraten, zusätzlich das passwort!
(2) Für einen Angreifer ohne Account sind zwei Hürden bis zum Root-Account zu nehmen.
Zwei? Drei: einen Usernamen erraten, dessen Passwort und das root-Passwort! [snip]
(4) Bei einem groben Fehler in OpenSSH wären ersteinmal nur die normalen Accounts gefährdet.
Na, und bei OpenSSh waren wir in letzter Zeit ja gesegnet mit Updates ;-).
Den SSH-Login für Root zu verbieten, ist sicher kein Wundermittel, aber es macht ein paar Angriffsszenarios schwieriger.
Ja, das war auch meine Überlegung. Die für einen Hack a la "Brute Force" benötigte Zeit müsste sich ja quadrieren -> grosse Chance durch Auswerten der logfiles was zu bemerken und den Rechner vom Netz zu nehmen.
MfG, Dennis
Gruss Michael
Hallo Michael, Am Freitag Oktober 17 2003 19:25 schrieb Michael Karges:
hab ein Netzwerk zu fernadministrieren, log mich dabei immer über die Firewall ein und dann auf den Server (natürlich per ssh). Gibt es eine Möglichkeit ssh-logins als root zu unterbinden? Oder hat wer einen Tipp wie man die G'schicht grundsätzlich sicherer machen kann (HIntergrund: anscheinend mehrere Einbruchsversuche in den letzten Wochen)?
Benutz doch einen ssh-Tunnel, sprich, Du generierst Dir ein Schlüsselpaar PrivatKey/PublicKey und packst den PublicKey auf die Maschine, auf der Du Dich einloggen willst (scp verwenden!) und wirst zukünftig über den PrivateKey authentifiziert, der wiederum durch eine Passphrase geschützt ist. Alle anderen sind ausgesperrt, wenn Du alle anderen Logins verbietest. Auf Deinen PrivateKey mußt Du natürlich aufpassen. In der neuesten IX, Novemberheft, gibt's einen interessanten Artikel zum Thema. Dieser Link erklärt es ausführlicher: http://www.schlittermann.de/ssh Helga -- ## Content Developer OpenOffice.org: lang/DE ## Office-Suite für Linux, Mac, Windows -- http://de.openoffice.org/ ## Werkstatt & Information zu OpenSource -- http://www.eschkitai.de/ ## Etikette, nein Danke? -- http://www.suse-etikette.de.vu/
Am Freitag, 17. Oktober 2003 20:25 schrieb Helga Fischer:
Hallo Michael,
Am Freitag Oktober 17 2003 19:25 schrieb Michael Karges:
hab ein Netzwerk zu fernadministrieren, log mich dabei immer über die Firewall ein und dann auf den Server (natürlich per ssh). Gibt es eine Möglichkeit ssh-logins als root zu unterbinden? Oder hat wer einen Tipp wie man die G'schicht grundsätzlich sicherer machen kann (HIntergrund: anscheinend mehrere Einbruchsversuche in den letzten Wochen)?
Benutz doch einen ssh-Tunnel, sprich, Du generierst Dir ein Schlüsselpaar PrivatKey/PublicKey und packst den PublicKey auf die Maschine, auf der Du Dich einloggen willst (scp verwenden!) und wirst zukünftig über den PrivateKey authentifiziert, der wiederum durch eine Passphrase geschützt ist.
Yes M'am, is natürlich noch besser als mit Usern rumtun!
Alle anderen sind ausgesperrt, wenn Du alle anderen Logins verbietest. Auf Deinen PrivateKey mußt Du natürlich aufpassen. In der neuesten IX, Novemberheft, gibt's einen interessanten Artikel zum Thema.
Dieser Link erklärt es ausführlicher: http://www.schlittermann.de/ssh
Hmmmm, ein Schmankerl!!! Dank Dir schön, Helga.
Helga
Gruss Michael
----- Original Message -----
From: "Michael Karges"
Hi folks, hab ein Netzwerk zu fernadministrieren, log mich dabei immer über die Firewall ein und dann auf den Server (natürlich per ssh). Gibt es eine Möglichkeit ssh-logins als root zu unterbinden? Oder hat wer einen Tipp wie man die G'schicht grundsätzlich sicherer machen kann (HIntergrund: anscheinend mehrere Einbruchsversuche in den letzten Wochen)?
setz mal in der sshd_config die option PermitRootLogin auf no. Wenn da Einbruchsversuche waren, werden die Leute in Zukunft wahrscheinlich über Ihren eigenen sshd oder ähnliches reinkommen. Scan mal den Rechner auf offene Ports, die nicht offen sein sollten und lass mal chkrootkit durchlaufen. Mfg, Thomas
participants (6)
-
Dennis Stosberg
-
Helga Fischer
-
Martin Mewes
-
Michael Karges
-
thomas Gräber
-
Wolfgang Erlenkötter