MySql Zugang SSH

[xFrankx]

Hallo bin der neue und komme jetzt öfters

Ich habe einen root server mit Debian aufgesetzt. Mit Putty logge ich mich über port44431 ein.
Auch habe ich ein key mit puttykeygen erstellt was ein Passwort braucht.

Mein plink starte ich mit
Plink -ssh -P 44431 -i C:\private.ppk -pw [passwort] -L 3306:127.0.0.1:3306 root@serverip -batch

Von mein Delphi Programm habe ich vollen Zugriff auf die Datenbank MySql
Ein Kumpel für dem ich das Delhi Programm schreibe würde dann halt mein root pass die private.ppk und auch noch das passwort
bekommen, das ist sehr schlecht.!!!

Wie mache ich es das ich einen neuen Benutzer an legen kann aber keine vollen root rechte hat ?
Kann man eine 2te private.ppk erstellen für einen neuen Benutzer ? mit puttykeygen ?

wäre dankbar für Tipps von euch

Gruß Frank

[schwedenmann]

Hallo

Wie mache ich es das ich einen neuen Benutzer an legen kann aber keine vollen root rechte hat ?

https://www.digitalocean.com/community/ ... s-in-mysql

Kann man eine 2te private.ppk erstellen für einen neuen Benutzer ? mit puttykeygen ?

sollte möglich sein, mal die docu gelesen ?

Auf einem Linux-server mit ssh ist der rootzugang per default abgedreht, aus gutem Grund.

mfg
schwedenmann

P.S.
Wieso fragst du in einem debian-Forum anch Fragen zu MS

[xFrankx]

P.S.
Wieso fragst du in einem debian-Forum anch Fragen zu MS

Das ist so nicht ganz richtig, mein Delphi Programm funzt gut, meine Frage war
wie ich es verhindern könnte das ich mein root Zugang weggeben müsste
nur um auf die MySql Datenbank zu kommen.


Gruß Frank

[eggy]

Normalen Useraccount einrichten: adduser, Details in "man adduser".
Dann dem User auch noch nen mysqlaccount einrichten (siehe MySql Doku), Dein Kumpel wird ja nur die Anwendungsdaten sehen/ändern sollen und nicht am Server rumspielen dürfen.
Keypaar für den User generieren, ssh-keygen als entsprechender User ausführen und nur diesen Privatekey dem Kumpel geben oder besser: Kumpel bitten Dir seinen PublicKey zu geben.
Publickey (hat.pub Endung) in die /home/username/.ssh/authorized_keys eintragen.
Damit sollte er User Rechte auf der Kiste haben und Datenbankrechte je nachdem wie Du es konfiguriert hast.

[habakug]

Hallo,

ich glaube es geht ihm um das Protforwarding ( [...] -L 3306:127.0.0.1:3306 [...] ).
Man könnte es einem User erlauben:

Code: Alles auswählen

[...]
Match User notroot
   AllowTcpForwarding yes
   PermitOpen localhost:3306
[...]

Gruss, habakug

[xFrankx]

Hallo,
es geht mir nicht um das Protforwarding es geht mir alleine darum das ich im mom nur mit mein
root zugang auf die MySql Datenbank komme. Wie gesagt ich müsste mein persönlichen
private.ppk weg geben und auch das passwort für meine private.ppk

Was eggy geschrieben hat das hört sich gut an, ich habe schon mal einen neuen Benutzer angelegt,
auch neue Keys und private.ppk erstellt, diese in /home/username/.ssh/authorized_keys gelegt
und mit Putty versucht mit dem neuen benutzer mich ein zu loggen. Ich habe aber den verdacht das
der zugang nicht den key aus /home/username/.ssh/authorized_keys nimmt sondern mein eigenen
als root überprüft und bin nicht rein gekommen.

Mein authorized_keys für mein root liegt in /root/.ssh/authorized_keys

müsste ich in sshd noch ein verzeichniss eingeben ?

Gruß Frank

[xFrankx]

Genau das habe ich gefunden in sshd_config hier wird gleich in /root/.ssh/authorized_keys geschaut und nicht in mein Benutzer Pfad.

RSAAuthentication yes
PubkeyAuthentication yes
AuthorizedKeysFile /root/.ssh/authorized_keys


Ob ich noch enen zweiten Pfad angeben könnte ? also 2 mal ? so zb.
AuthorizedKeysFile /root/.ssh/authorized_keys
AuthorizedKeysFile /home/benutzername/.ssh/authorized_keys ????


Gruß FRank

[eggy]

kommt drauf an, was da bereits drinsteht/default ist

Code: Alles auswählen

AuthorizedKeysFile      %h/.ssh/authorized_keys 

das %h steht fürs homedirectory des anfragenden Users

[xFrankx]

in der sshd_config steht das drin


RSAAuthentication yes
PubkeyAuthentication yes
AuthorizedKeysFile /root/.ssh/authorized_keys



Gruß Frank

[eggy]

dann die entsprechende Zeile ändern, %h statt /root

[xFrankx]

Und da habe ich ein bissel Angst das ich mich aussperre, weil in home gibt es kein /root verzeichniss in dem ich
meine Haupt authorized_keys für root rein legen könnte.



Gruß Frank

[MSfree]

Und da habe ich ein bissel Angst das ich mich aussperre

Das ist völlig unbegründet. Das Homeverzeichnis jedes Nutzers ist in der Datei /etc/passwd abgelegt und dort steht für root /root als Homeverzeichnis.

Ausserdem ist die Defaulteinstellung in der /etc/ssh/sshd_config nicht ohne Grund

Code: Alles auswählen

#AuthorizedKeysFile     %h/.ssh/authorized_keys

und auskommentiert. Die Zeille sollte man auch auskommentiert lassen.

[xFrankx]

eggy ich habe es geschafft, das musste ich ändern

#AuthorizedKeysFile /root/.ssh/authorized_keys
AuthorizedKeysFile %h/.ssh/authorized_keys


melde ich mich als root an gehts hier rein /root/.ssh/
melde ich mich mit benutzer an wird hier geschaut /home/benutzer/.ssh

halt durch das %h = home


Ich Danke dir.
Jetzt muss ich mich nur schlau machen was ich alles an Rechte einen neuen Benutzer geben kann.
Er soll nur auf die MySql kommen, na ja und in seinen Pfad halt


Gruß Frank

[xFrankx]

Genau msfree man konnte gar nicht in das home verzeichniss schauen, weil ich einen direkten pfad
angebenen habe, aber jetzt gehts.

# AuthorizedKeysFile /root/.ssh/authorized_keys
AuthorizedKeysFile %h/.ssh/authorized_keys



Gruß Frank

[xFrankx]

Vllt könnt ihr mir noch eine Frage beantworten
mein neu erstellter Benutzer Frank kommt aus seinen Home raus und sieht alles wie auch der root mit dem
adduser --shell /bin/bash --disabled-password --ingroup 'ssh' Frank

wie kann ich verhindern das er aus seinen Verzeichniss raus kommt ?

Gruß Frank

[MSfree]

wie kann ich verhindern das er aus seinen Verzeichniss raus kommt ?

Gar nicht, und das ist auch gut so, denn auf die Systemresourcen wie ausführbare Programme, Man-Pages, Dokumente unter /usr/share/doc sollte jeder Zugriff haben.

Viel wichtiger ist, daß "frank" nicht den Inhalt der Homeverzeichnisse anderer Nutzer durchstöbern kann. Das wird vom System auch zuverlässig verhindert. Versuch mal als "frank" ein ls /root.

Normale Benutzer haben auch kein Recht, systemrelevante Dateien zu verändern, aber lesen darf man die meisten Dateien.

[xFrankx]

xxxx/$ cd /root
-bash: cd: /root: Permission denied
xxxx/$ ls /root
ls: cannot open directory /root: Permission denied
xxxx:/$


Ich komme nicht in root rein... Sauber

Gruß Frank