PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : sshd und root-account



steph
18.04.03, 01:24
nabend,
2 fragen...
1. ich will nur von 2 ips auf meinen ssh-server connecten können...wie kann man das regeln?
2. kann ich den root-account in blahhh umbenennen, ohne das das system beeinträchtigt wird? und kann ich ich dannach einen normalen nutzer mit dem namen root anlegen? (projekt sicherer router)

danke für eure tipps...

-- steph

geronet
18.04.03, 01:28
1. Per Firewall
2. Nein. Leg dir einen normalen user an und dann kannst du immer noch mit "su" root werden.

steph
18.04.03, 01:38
hm zu 1. ok versuch ich mal...
zu 2. esgeht darum, möglichen angreifern die versuchen mit root zu connecten einen normalen user zuzuweisen und dort verschiedene scripte laufen zu lassen...ip loggen etc...und der root-account solllte einen geheimen namen bekommen...

$kuLL
18.04.03, 10:41
hallo,

mit webmin kann man sowas schön konfigurieren
http://www.webmin.com

gruß
$kuLL

Jasper
18.04.03, 11:17
Original geschrieben von geronet
2. Nein. Leg dir einen normalen user an und dann kannst du immer noch mit "su" root werden.

hmm, warum eigentlich nicht? das system interessiert sich doch eh nicht für den namen sondern nur für die uid.

-j

steph
18.04.03, 11:21
muss ich unbedingt webmin nur für den root-account installen, wollt eigentlich keine weiteren dinste ausser ssh laufen lassen...

Bauchi
18.04.03, 12:04
einige befehle haben den user root hard eingecoded... zum beispiel der fsck der läuft wenn du deine platte geschossen hast ...

wenn du dann keinen root mehr hast kannste dich erstmal auf die suche nach nem rescue system machen ...

wir haben in der firma einen 2ten user angelegt auf dem system und dem dann die uid und gid auf 0 gesetzt ... und dann root den login gesperrt

steph
18.04.03, 12:12
die angepasste /etc/passwd:


root:x:0:0:root:/dev/null:/bin/false
muhmaster:x:0:0:muhmaster:/root:/bin/bash


wenn ich das so änder, müsste sich root nicht mehr einloggen können und muhmaster sollte root-rechte haben?

-- steph

?: gid vergessen zu ändern :)

geronet
18.04.03, 12:34
Mit eurem lokal-root-anmelde-gesperre macht ihr nur grosse Fehler.
Z.B. wenn die Datei /etc/nologin besteht wegen irgendeinem Festplattenfehler, Programmfehler oder sonstwas dann kommt ihr überhaupt nicht mehr rein.
Selbst wenn ein Cracker einen Zugang per user bekommt schaut er halt in die /etc/passwd rein wer noch die uid 0 hat und somit ist das wirklich umsonst.

Nehmt besser ein gescheites Passwort mit Sonderzeichen und versperrt root login von aussen (-> /etc/securetty), beim sshd auch die Option "PermitRootLogin No" setzen dann hat sich die Sache.

Grüsse, Stefan

steph
18.04.03, 12:38
für die normalen ssh user bau ich atm ne chroot umgebung :) jail...
da können se die fles nich angucken imo

-- steph

geronet
18.04.03, 12:45
tja nur leider kann man aus chroots doch immer recht leicht ausbrechen hab ich gelesen..

Jasper
19.04.03, 01:20
Original geschrieben von Bauchi
einige befehle haben den user root hard eingecoded... zum beispiel der fsck der läuft wenn du deine platte geschossen hast ...


wenn dem so ist, ist das ein fehler im design der tools und sollte schleunigst geändert werden.

zumindest im falle von fsck ist dem nicht so. die root-abfrage bei fsck wird mittels geteuid() erledigt, so wie es sein sollte. wie der user heisst ist nicht relevant.

-j

Jasper
19.04.03, 01:25
Original geschrieben von geronet
tja nur leider kann man aus chroots doch immer recht leicht ausbrechen hab ich gelesen..

naja, aus einem ordentlich gebauten chroot auszubrechen ist sehr schwierig.
am wichtigsten ist: keine setuid-root binaries mit in die chroot packen.

-j