user root bei sshd verbieten/schützen

[De Kus]

würde gern den user root verbieten über sshd, für den ftp hab ich da mal nen eintrag gefunden, wo ich den user root verbieten konnte und die user auf ihr homeverzeichnis zu verbannen.

btw. ist ein neuer user blabla in der gruppe root automatisch ein voller root oder nur so ein halber?
würde nämlich gerne den ssh root user verlegen, weil wenn ich ssh public laufen habe, will ich mir kein ewig langes root pw ausdenken wegen sicher zahlreichen bruteforce kiddies, dass ich womöglich noch vergesse. alternative wre natürlich die failed logins zu begrenzen, sagen wir 3ma falsches pw binnen einer stunde -> 1 stunde IP ban. 10 failed logins an einem tag. perm ip ban (nur manuel zu entfernen) und 1std komplett sperre für account oder sowas in die richtung halt... kA ob es möglich un wieweit differenzierbar.

[feltel]

root-Logins über ssh verhinderst Du mit "PermitRootLogin no" in der /etc/ssh/sshd_config.

Um doch als root remote arbeiten zu können kannst Du dich als normaler User einloggen und dann per "su" root werden. Um die Möglichkeit per su root zu werden auf wenige User zu begrenzen gibts das PAM-Modul pam_wheel. Damit kannst Du eine Gruppe definieren, deren Mitglied du sein musst, um su ausführen zu können.

Hier mal ein Schnipsel aus meiner /etc/pam.d/su

Code: Alles auswählen

# Uncomment this to force users to be a member of group root
# before than can use `su'. You can also add "group=foo" to
# to the end of this line if you want to use a group other
# than the default "root".
# (Replaces the `SU_WHEEL_ONLY' option from login.defs)
auth       required   pam_wheel.so group=wheel

Damit simulierst Du das Verhalten von su unter BSD und den anderen Unixen. Unter Linux ist das mit wheel nicht implementiert, weils "damals" Streit gab und man dem Administrator nicht "die absolute Macht geben wollte".

[De Kus]

das mit dem sshd hätt ich ja eigentlich selbst drauf kommen müssen, naja, egal ^-^.

das mit dem sh funzt auch prima... ähh, funzte. kann das irgendwas damit zu tun haben, dass sich mein home directory nach einem neustart verdünnisiert hatte? hatte eigentlich gad nen paar verzeichnisse für shells angelegt und ein paar files per ftp drauf.
also vom prinzip funz sh ja noch, aber ich werd dann einfach nicht mehr root. config hat sich nichts zurückgestellt, wie ichs vom sehen her beurteilen konnte und fehlermeldungen gibts auch keine. wenn ich nochmal adduser dekus root mache kommt, dass der user schon in der gruppe root wäre. da hat sich also auch nix in luft aufgelöst.

anm. zum home dir, das ist per fstab eintrag auf ne andere partition verlinkt, denke, dass sich da irgendwie nen fehler einschlichen hat, aber gehört nicht hierher, dachte nur ich erwähns, dass sich da einiges verstellt hat. ach ja, neustart hab ich gemacht, weil es mir sehr spanisch vorkam, dass er zwar die ppp verbindung offen hatte, aber nichtmal den gateway pingen konnte, obwohl die route eigentlich richtig war .

*ma ne idee für ne neue signatur hat*

EDIT: es lag wohl daran, dass ich wohl in ext3 net einfach

Code: Alles auswählen

/dev/hda1       /home           ext3    defaults                0       2
/dev/hda1       /tmp            ext3    defaults                0       2

schreiben durfte, hab dann eben ma das /tmp auskommentiert und siehe da home leert sich nimmer beim reboot und su werd ich auch wieder root .