würde gern den user root verbieten über sshd, für den ftp hab ich da mal nen eintrag gefunden, wo ich den user root verbieten konnte und die user auf ihr homeverzeichnis zu verbannen.
btw. ist ein neuer user blabla in der gruppe root automatisch ein voller root oder nur so ein halber?
würde nämlich gerne den ssh root user verlegen, weil wenn ich ssh public laufen habe, will ich mir kein ewig langes root pw ausdenken wegen sicher zahlreichen bruteforce kiddies, dass ich womöglich noch vergesse. alternative wre natürlich die failed logins zu begrenzen, sagen wir 3ma falsches pw binnen einer stunde -> 1 stunde IP ban. 10 failed logins an einem tag. perm ip ban (nur manuel zu entfernen) und 1std komplett sperre für account oder sowas in die richtung halt... kA ob es möglich un wieweit differenzierbar.
user root bei sshd verbieten/schützen
- De Kus
- Beiträge: 167
- Registriert: 27.08.2002 14:32:24
- Lizenz eigener Beiträge: MIT Lizenz
- Wohnort: Pfalz
user root bei sshd verbieten/schützen
De Kus der Fehlerminator
Copyright (c) 2002-2005 De Kus
Love hurts, love strengthens ...
Copyright (c) 2002-2005 De Kus
Love hurts, love strengthens ...
- feltel
- Webmaster
- Beiträge: 10368
- Registriert: 20.12.2001 13:08:23
- Lizenz eigener Beiträge: MIT Lizenz
- Wohnort: Leipzig, Germany
-
Kontaktdaten:
root-Logins über ssh verhinderst Du mit "PermitRootLogin no" in der /etc/ssh/sshd_config.
Um doch als root remote arbeiten zu können kannst Du dich als normaler User einloggen und dann per "su" root werden. Um die Möglichkeit per su root zu werden auf wenige User zu begrenzen gibts das PAM-Modul pam_wheel. Damit kannst Du eine Gruppe definieren, deren Mitglied du sein musst, um su ausführen zu können.
Hier mal ein Schnipsel aus meiner /etc/pam.d/su
Damit simulierst Du das Verhalten von su unter BSD und den anderen Unixen. Unter Linux ist das mit wheel nicht implementiert, weils "damals" Streit gab und man dem Administrator nicht "die absolute Macht geben wollte".
Um doch als root remote arbeiten zu können kannst Du dich als normaler User einloggen und dann per "su" root werden. Um die Möglichkeit per su root zu werden auf wenige User zu begrenzen gibts das PAM-Modul pam_wheel. Damit kannst Du eine Gruppe definieren, deren Mitglied du sein musst, um su ausführen zu können.
Hier mal ein Schnipsel aus meiner /etc/pam.d/su
Code: Alles auswählen
# Uncomment this to force users to be a member of group root
# before than can use `su'. You can also add "group=foo" to
# to the end of this line if you want to use a group other
# than the default "root".
# (Replaces the `SU_WHEEL_ONLY' option from login.defs)
auth required pam_wheel.so group=wheel
debianforum.de unterstützen? Hier! | debianforum.de Verhaltensregeln | Bitte keine Supportanfragen per PM
- De Kus
- Beiträge: 167
- Registriert: 27.08.2002 14:32:24
- Lizenz eigener Beiträge: MIT Lizenz
- Wohnort: Pfalz
thx
das mit dem sshd hätt ich ja eigentlich selbst drauf kommen müssen, naja, egal ^-^.
das mit dem sh funzt auch prima... ähh, funzte. kann das irgendwas damit zu tun haben, dass sich mein home directory nach einem neustart verdünnisiert hatte? hatte eigentlich gad nen paar verzeichnisse für shells angelegt und ein paar files per ftp drauf.
also vom prinzip funz sh ja noch, aber ich werd dann einfach nicht mehr root. config hat sich nichts zurückgestellt, wie ichs vom sehen her beurteilen konnte und fehlermeldungen gibts auch keine. wenn ich nochmal adduser dekus root mache kommt, dass der user schon in der gruppe root wäre. da hat sich also auch nix in luft aufgelöst.
anm. zum home dir, das ist per fstab eintrag auf ne andere partition verlinkt, denke, dass sich da irgendwie nen fehler einschlichen hat, aber gehört nicht hierher, dachte nur ich erwähns, dass sich da einiges verstellt hat. ach ja, neustart hab ich gemacht, weil es mir sehr spanisch vorkam, dass er zwar die ppp verbindung offen hatte, aber nichtmal den gateway pingen konnte, obwohl die route eigentlich richtig war .
*ma ne idee für ne neue signatur hat*
EDIT: es lag wohl daran, dass ich wohl in ext3 net einfach
schreiben durfte, hab dann eben ma das /tmp auskommentiert und siehe da home leert sich nimmer beim reboot und su werd ich auch wieder root .
das mit dem sh funzt auch prima... ähh, funzte. kann das irgendwas damit zu tun haben, dass sich mein home directory nach einem neustart verdünnisiert hatte? hatte eigentlich gad nen paar verzeichnisse für shells angelegt und ein paar files per ftp drauf.
also vom prinzip funz sh ja noch, aber ich werd dann einfach nicht mehr root. config hat sich nichts zurückgestellt, wie ichs vom sehen her beurteilen konnte und fehlermeldungen gibts auch keine. wenn ich nochmal adduser dekus root mache kommt, dass der user schon in der gruppe root wäre. da hat sich also auch nix in luft aufgelöst.
anm. zum home dir, das ist per fstab eintrag auf ne andere partition verlinkt, denke, dass sich da irgendwie nen fehler einschlichen hat, aber gehört nicht hierher, dachte nur ich erwähns, dass sich da einiges verstellt hat. ach ja, neustart hab ich gemacht, weil es mir sehr spanisch vorkam, dass er zwar die ppp verbindung offen hatte, aber nichtmal den gateway pingen konnte, obwohl die route eigentlich richtig war .
*ma ne idee für ne neue signatur hat*
EDIT: es lag wohl daran, dass ich wohl in ext3 net einfach
Code: Alles auswählen
/dev/hda1 /home ext3 defaults 0 2
/dev/hda1 /tmp ext3 defaults 0 2
De Kus der Fehlerminator
Copyright (c) 2002-2005 De Kus
Love hurts, love strengthens ...
Copyright (c) 2002-2005 De Kus
Love hurts, love strengthens ...