Grüß euch,
ich habe einen Root Server mit Debian 10 gemietet. Mir ist gleich zu Beginn aufgefallen, dass das Paket "sudo" standarmäßig nicht installiert ist. Nachdem ich jedoch den root Zugang sperren will, habe ich dieses nachinstalliert. Bei der Installation kommt dann die Frage, ob ich /etc/sudoers beibehalten will oder die " package maintainer's version" verwenden will. Ich habe hier zu wenig Erfahrung, allerdings denke ich, dass die bestehende vom Hoster (ZAP Hosting) erstellt wurde (um noch Änderung wie zB das Root PW) über das Webinterface machen zu können. Nachdem ich aber den Hoster komplett aussperren möchte, habe ich mir für package maintainer's version entschieden. Das funktioniert allerdings nicht, da er mit
W: Operation was interrupted before it could finish
abschließt und ich habe danach auf keinen Zugriff auf visudo.
Heißt das, dass ich die bestehende Datei nehmen muss?
Wie siehts in diesem Fall sicherheitstechnisch aus? Oder sind meine Bedenken ungerechtfertigt?
Danke im Vorraus
Visudo lässt sich nicht öffnen
Re: Visudo lässt sich nicht öffnen
Ohne, dass ich das nun nachstellen könnte: installier’s so, dass es funktioniert. Die betreffende Datei lässt sich notfalls auch erstmal mit einem normalen Editor bearbeiten. Besser als „ich habe keinen Zugriff“ wäre auch das Pasten der Ein- und Ausgabe beim Versuch, das Programm aufzurufen.
Allerdings möchte auch auf ein paar Sachen aufmerksam machen:
Allerdings möchte auch auf ein paar Sachen aufmerksam machen:
Wer Zugriff auf die Hardware hat, hat Zugriff auf das System. sudo hin oder her.
Sicherheitstechnisch sieht’s so aus: wenn du sudo so konfigurierst, dass dein User mit seinem Passwort ausnahmslos alles als Root ausführen kann, ist sudo eher eine Schwachstelle, als ein Sicherheitsgewinn (sudo su oder auch sudo bash, oder ähnliche) – aus Sicherheitssicht wär’s besser, sudo wegzumachen und das Rootpasswort zu deaktivieren, nachdem für Root ein ssh-Zugang eingerichtet (und getestet!) wurde, der nur mit Schlüssel funktioniert. So kann ein lokaler User nicht zu Root werden, sondern Root muss sich schon einloggen, wozu Schlüssel und Passphrase notwendig sind.
Re: Visudo lässt sich nicht öffnen
Laut der Beschreibung des Hosters hast du lediglich einen vServer mit garantierten Leistungsparametern gemietet.
Das ist unmöglich, weil du dir die Hardware ja ohnehin mit anderen Kunden teilst.motzean hat geschrieben:17.01.2021 16:46:08Nachdem ich aber den Hoster komplett aussperren möchte,
Du darfst dir die Frage nach der Seriösität selbst beantworten, wenn ein Hoster als „Root server“ letztlich nur virtualisierte Maschinen anbietet.motzean hat geschrieben:17.01.2021 16:46:08Wie siehts in diesem Fall sicherheitstechnisch aus? Oder sind meine Bedenken ungerechtfertigt?
Re: Visudo lässt sich nicht öffnen
Vielen Dank für eure Antworten.
Das wäre dann mein nächstes Thema, dass ich mir anschauen möchte - und zwar die Daten am Server zu verschlüsseln. Die Hauptanwendung wird im Bereich des Webservers liegen und zB Nextcloud hat ja die Möglichkeit, die Daten am Server zu verschlüsseln. In wie weit das mit dem restlichen System geht muss ich mir erst durchlesen.
Leider kenn ich mich bei der User/Gruppen Verwaltung noch zu wenig aus. Der Grund warum ich meinem user sudo Rechte gegeben hab war eigentlich nur, dass ich den SSH Zugriff für den Root sperren kann - und somit der Login für dritte erschwert wird - weil Sie ja den verwendeten user nicht kennen (aus dem Grund habe ich auch den Standardport geändert)...
Ich werd mich jetzt einmal mit den Berechtigungen auseinander setzen, vielleicht kann ich ja meinen Benutzer in Zukunft wirklich so definieren, dass keine SU benötigt werden. Das wird sicher ein langer und steiniger Weg, aber der Weg ist das Ziel.
Danke nochmals für eure Rückmeldung!
Das wäre dann mein nächstes Thema, dass ich mir anschauen möchte - und zwar die Daten am Server zu verschlüsseln. Die Hauptanwendung wird im Bereich des Webservers liegen und zB Nextcloud hat ja die Möglichkeit, die Daten am Server zu verschlüsseln. In wie weit das mit dem restlichen System geht muss ich mir erst durchlesen.
Leider kenn ich mich bei der User/Gruppen Verwaltung noch zu wenig aus. Der Grund warum ich meinem user sudo Rechte gegeben hab war eigentlich nur, dass ich den SSH Zugriff für den Root sperren kann - und somit der Login für dritte erschwert wird - weil Sie ja den verwendeten user nicht kennen (aus dem Grund habe ich auch den Standardport geändert)...
Ich werd mich jetzt einmal mit den Berechtigungen auseinander setzen, vielleicht kann ich ja meinen Benutzer in Zukunft wirklich so definieren, dass keine SU benötigt werden. Das wird sicher ein langer und steiniger Weg, aber der Weg ist das Ziel.
Danke nochmals für eure Rückmeldung!