Hallo zusammen,

ich möchte das Einloggen per Passwortabfrage für root sperren, jedoch soll unser Backup-Prozess unter root weiterhin diese Hosts per Rsync sichern können. Geht das irgendwie?

Kann ich also "permitRootLogin no" verwenden und daran vorbei irgendwie per key mich trotzdem einloggen?

Oder habt ihr eine andere Idee um differenzierter per root sich anmelden zu können?

Grüße, Florian

man sshd_config und dann mit "/PermitRootLogin" suchen.

Specifies whether root can log in using ssh(1). The argument
must be “yes”, “without-password”, “forced-commands-only”, or
“no”. The default is “yes”.

If this option is set to “without-password”, password authentica-
tion is disabled for root.

If this option is set to “forced-commands-only”, root login with
public key authentication will be allowed, but only if the
command option has been specified (which may be useful for taking
remote backups even if root login is normally not allowed). All
other authentication methods are disabled for root.

If this option is set to “no”, root is not allowed to log in.

...das haut so leider nicht hin, weil so die Admins mit der UserID 0 sich nicht mehr einloggen können!

Im Grunde müßte ich sagen können:
userA,userB,userC allow password
userD allow key
allOtherUsersDeny

wobei userA...userD alle die UID 0 haben(!), was das eigentliche Problem ist...?

Grüße, Florian

wobei userA...userD alle die UID 0 haben(!)

Und damit sind sie root....

Ja, das ist gewollt!

Ich möchte mehrere Admins haben, die volle root-Rechte haben, jedoch nicht root heißen um nachvollziehen zu können, wer wann eingeloggt war, usw...

Das ist halt auch das besonders schwierige an dieser Situation:
Ich habe einerseits root, der nicht benutzt werden darf,
dann noch AdminA, AdminB, AdminC (z.B.) die auch uid 0 sind, also volle root-Rechte haben UND sich per ssh einloggen können müssen
und dann noch den Backup-user, der sich nicht per Passwort, aber dafür automatisiert als backup-user oder root einloggen kann, um ein vollständiges Backup zu fahren...?!

Wie mache ich das nur?

Die Krux an der Sache ist halt, das ALLE Admins VOLLE Rechte haben sollen, das geht ja nur als uid=0, oder?

Grüße, Florian

Hallo,

es gibt da die Option "AllowUsers" im Handbuch. Damit kann man angeben, welche Nutzer sich anmelden können. Dort würde ich (root|userD) ausklammern und nur für root die Anmeldung mit Key erlauben.

Die Adminrechte würde ich mittels sudo organisieren.

Grüße, LP

Ok, also so?

AdminA,AdminB,AdminC sind normale user mit normalen User-IDs(>0). Diese bekommen dann per sudo eine Systemfreigabe als root.

Aber wenn diese Admins dann als "sudo-root" etwas machen, dann sehe ich im Log wieder nur root, richtig? Also habe ich wieder nicht eine Unterscheidung der Admins?

Grüße, Florian

sudo tail /var/log/messages
detlef-pc sudo: detlef : TTY=pts/1 ; PWD=/home/detlef ; USER=root ; COMMAND=/usr/bin/tail /var/log/messages

siehst du doch prima, was wer gemacht hat...

Das geht auch mit Keys.

In der sshd_config
RSAAuthentication yes
PubkeyAuthentication yes
AuthorizedKeysFile %h/.ssh/authorized_keys
setzen.

Für jeden Benutzer einen Key generieren und hinterlegen.

Das wars.