Server absichern und ( konto root deaktivieren -->gelöst)

[extra0815]

Hallo,

1. Ich will aus sicherheitsgründen den Root deaktivieren.
2. Einen anderen User die Rechte des Root´s übergeben.

Wie macht man das auf der Konsole ?

Wo liegt die date in der die User-namen und Usergroups verwaltet werden ?

Gruß
Alexander..

[towo]

1. Ich will aus sicherheitsgründen den Root deaktivieren.

Wozu?

2. Einen anderen User die Rechte des Root´s übergeben.

Schwachfug³

[LessWire]

Du willst eigentlich root nur einen anderen Namen geben, Deaktivierung wäre Unsinn.
Ganz so verkehrt ist die Idee nicht, so geht doch jeder Hacker davon aus, daß root auch so heisst.
Machbar ist's sicher, fragt sich nur, mit welchem Aufwand !?

vg, L.W.

[storm]

1. Ich will aus sicherheitsgründen den Root deaktivieren.
...
Wo liegt die date in der die User-namen und Usergroups verwaltet werden ?

Du möchtest dich unbedingt mit den Grundlagen von Linux vertraut machen! Es muss halt ein Account vorhanden sein, der höhere Rechte besitzt als der normale User. Welcher Username das ist, spielt keine Rolle, für einen Fachmann ist es aber auch kein Problem rauszufinden, welcher Useraccount diese Rechte besitzt. Dein Vorgehen oder deine Idee ist außerdem security by obscurity, und dass geht im Ernstfall immer nach hinten los.
Sicher, das verwendete Konzept ist nicht mehr wirklich zeitgemäß, aber eine saubere Konfiguration des Systems lässt solche Fragen eigentlich nicht auftauchen. Du solltest dir vllt. eher um die verwendeten Progamme, die laufenden Dienste, den Herkunftsort von geladenen Libs Sorgen machen, oder ob die User auf deinem System nicht vielleicht zu viel Freiheiten haben.
Die typischen Dateien für die Accountverwaltung liegen natürlich unter /etc. Das hätte dir aber auch ein kurzer Blick in eine beliebige manpage gesagt.

ciao, storm

[nil]

1. Ich will aus sicherheitsgründen den Root deaktivieren.

Du solltest einfach nicht als "root" direkt selbst arbeiten. Dafür solltest Du einen normalen Benutzer anlegen und mit dem arbeiten. Das System benötigt weiter root-Rechte, mach doch mal "top" oder "ps aux" oder "lsof" (alles als root). Selbst die Nicht-root-Prozesse brauchen "root", da sie nur über "root" zu diesen Benutzern wechseln können.

2. Einen anderen User die Rechte des Root´s übergeben.

Schwachsinn. Ein Angreifer wird immer den Benutzer mit der UID=0 als Systemadministrator erkennen. Ob er nun "root" oder "Wurzel" heisst ist vollkommen egal.

[dieres]

Könnte extra0815 nicht der Ubuntuweg weiterhelfen? Kein rootlogin, alle notwendigen Programme per sudo ausführen ?

[nil]

Oh ja. Einfach nur die /etc/sudoers per "visudo" entsprechend übernehmen. Leider habe ich gerade kein Ubuntu am laufen und kann daher nicht schauen. Erhöht aber auch nicht wirklich die Sicherheit.

[extra0815]

Danke,

eure Tipps haben mir schon weitergeholfen.
Hab eigentlich vergessen zu sagen warum ich den Aufwand betreiben will. Hab bei Strato nen Server hängen und möchte hald nicht daß man versucht sich da als root einzuloggen. Werd einfach ein anständiges Passwort vergeben und alle Progs und Dienste mit den akt. updates versorgen.

Gruß
Alexander.

[towo]

Hab bei Strato nen Server hängen und möchte hald nicht daß man versucht sich da als root einzuloggen.

Dazu verbietet man einfach in der ssh-config das root-login!
Aber ich hab so das Gefühl, ein Root-Server ist nicht das richtige "Spielzeug" für Dich.

[meandtheshell]

@towo
Kannst du bitte deine animierten Tiere woanders laufen lassen - danke! Verwende statische Images fuer den Avatar.

Markus

[goecke]

...
[ssh Brute Force vermeiden]

- verbietet passwort Authentifizierung und verwendt Publik-keys
- schreibt alle User die SSH dürfen in eine Gruppe und in sshd.conf "allowGroups sshuser"

...
und liest Doku (z.B. man 5 sshd.config)
und versteht was die Optionen bewirken, bzw testet das Verhalten
im einem "Sandkasten" aus

HTH
Johannes

[HZB]

Und um es noch sicherer zu machen kannst Du Deinem ssh auch sagen von wo aus er Zugriffe erlauben soll:

Code: Alles auswählen

AllowUsers username@deineIP

bei wechselnder IP schau Dir dyndns an und konfiguriere folgendermaßen:

Code: Alles auswählen

AllowUsers username@foo.dyndns.org

greez

HZB

[storm]

Nach rund ner Woche ist mir beim Lesen des Artikels über den Einbruch bei den ubuntu-Servern [1] deutlich(er) geworden, was du meinst. Ubuntu selbst wird wohl auch mit deaktiviertem root ausgeliefert (das hätten die mal mit ihren eigenen Servern machen sollen!). Das richtige, besser eine mögliche Variante, Vorgehen in deinem Fall könnte also sein, root-login per login.conf zu deaktivieren und Administrationsaufgaben komplett über sudo zu realisieren. Da sind auch die Rechte, die ein bestimmter User haben kann, deutlich mehr abstufbar. D.h. aber nicht, dass kein root mehr zu sehen ist, viele Prozess laufen deswegen trotzdem noch mit dessen Rechten. Auch würde das Übertragen von root-Rechten auf einen anderen User wenig Sinn machen, dann hättest du das Problem nur auf einen anderen User übertragen, bist es aber nicht los. Allerdings hat die Lösung per login.conf auch den Haken, dass sich der sicherheitsbewusste User damit selbst aussperren kann.
Aber du hast ja schon ne Menge Tips oben bekommen, versuch erstmal die Einfacheren, zB kein root-login per ssh. Und dann lies dir bitte mehr Wissen zur Absicherung von Linux-Servern (und zu den Grundlagen selbst) an. Mit deinem derzeitigem Wissensstand ist dein Server eher ein Risiko für dich und für andere.

ciao, storm

[1] http://lwn.net/Articles/245843/

[KBDCALLS]

Bei Ubuntu hat aber auch die Software einige Macken gehabt. Die den Einbruch dann wohl auch relativ leicht gemacht hat. In dem Zusammhang fällt mir auch ein Artikel iim letzten Linuxmagazin ein. Da hat man mal den Samsung Druckertreiber auseinandergenommen . Genauer die Installationsroutine. Der Artikel hat bei mir Brechreiz ausgelößt. Bei gut 350 Dateien wurde die Rechte neu gesetzt. Viele waren wohl unkritisch einige erhielten aber das SUID Bit. Ghostscript sane openoffice.org Und die Krönung war dann das ein Firefox mit Rootrechten gestartet wurde

[storm]

<OT>

Bei Ubuntu hat aber auch die Software einige Macken gehabt. Die den Einbruch dann wohl auch relativ leicht gemacht hat.

Wenn die nicht mal BruteForce mit den sshd-Bordmitteln verhindern oder die notwendigen updates nicht einspielen, ist das nur fahrlässig. Ich würde dem Admin erstmal 10x Vista-Installation auf veralteter Hardware verordnen. *g

Und die Krönung war dann das ein Firefox mit Rootrechten gestartet wurde

Argh, bisher waren mir Samsung ganz sympathisch. Vielleicht müssen die einfach noch lernen, das Linux was anderes ist als Windows.

ciao, storm

[habakug]

Hallo!

Es ist einfacher als es hier bisher geschildert wurde und sollte einem Server-Admin geläufig sein.
Zunächst gibt der Admin einem besonders vertrauenswürdigen User die Möglichkeit den Befehl "passwd" auszuführen. Hierzu sollte man die Manpages "man sudo" und "man sudoers" lesen oder hier im Forum suchen.
Jetzt kann dieser User mit

Code: Alles auswählen

passwd -l root

z.B. beim Beenden der ssh-Sitzung den root-Account deaktivieren.

Code: Alles auswählen

passwd -u root

aktiviert den Account wieder. Nachzulesen in der Manpage von "passwd":

Wartung der Konten
Nutzerkonten können mit den Flags -l und -u gesperrt und freigegeben
werden. Die Option -l schaltet ein Konto ab, indem es ein Passwort
zuweist, das mit keinem möglichen verschlüsselten Wert übereinstimmen
kann. Die Option -u reaktiviert ein Konto wieder, indem das Passwort
auf seinen alten Wert zurückgesetzt wird.

Gruß, habakug
... der sich etwas wundert, das diese Vorgehensweise in diesem Forum nahezu unbekannt ist oder die, die es wissen keinen Bock haben andere an ihrem Wissen teilhaben zu lassen

[extra0815]

Danke erstmal,

hab jetzt per ssh.conf dem root das einloggen untersagt. Verbinde mich als User0815 per ssh mit dem Server und arbeite dann per su - als root.
Jetzt hab ich ein dist-upgrade gemacht und die wichtigsten Dienste installiert und am laufen. Nur MyPhpadmin will und will nicht laufen. Es kommt immer folgender Fehler:
phpMyAdmin - Fehler
Die Erweiterung mysql kann nicht geladen werden. Bitte �berpr�fen Sie Ihre PHP-Konfiguration. - Dokumentation
Im Dokumentations-Link steht dann was von:

To connect to a MySQL server, PHP needs a set of MySQL functions called "MySQL extension". This extension may be part of the PHP distribution (compiled-in), otherwise it needs to be loaded dynamically. Its name is probably mysql.so or php_mysql.dll. phpMyAdmin tried to load the extension but failed.

Usually, the problem is solved by installing a software package called "PHP-MySQL" or something similar.
Werd da nich schlau draus.

Apache2 läuft. Mysql läuft. PhP läuft (jedenfalls erscheint im Browser bei einer Testseite mit dem Inhalt :
<?
Phpinfo();
?>
daß ich PHP Version 5.2.0-8+etch7 am laufen habe
Außerdem muß ich noch alle Dienste deaktivieren, welche nicht gebraucht werden. Reicht hier ein stoppen aus oder würdet ihr per apt-get remove die Dienste deinstallieren?
Möchte den Server als Fileserver via FTP nutzen. Auch ein kleines Forum von phpbb2 könnte ich mir vorstellen.
Welche Dienste würdet ihr runterschmeißen ?

Gruß
Alex....

[herrchen]

To connect to a MySQL server, PHP needs a set of MySQL functions called "MySQL extension".

Code: Alles auswählen

aptitude install php5-mysql

herrchen