Discussion:
root Login
(zu alt für eine Antwort)
Klaus Schuehler
2005-02-25 09:30:17 UTC
Permalink
Hallo,

ich suche verzweifellt nach der Einstellung in etc/login.defs um das
login von root zu verhindern. Es soll nicht Möglich sein das sich
root per ssh direkt einloggen kann. Nur als User und bei Bedarf mit
su.

Wo muss ich drehen das der Rechner das schnallt.

Viele Grüsse Klaus
--
Haeufig gestellte Fragen und Antworten (FAQ):
http://www.de.debian.org/debian-user-german-FAQ/

Zum AUSTRAGEN schicken Sie eine Mail an debian-user-german-***@lists.debian.org
mit dem Subject "unsubscribe". Probleme? Mail an ***@lists.debian.org (engl)
Roland M. Kruggel
2005-02-25 09:40:32 UTC
Permalink
Post by Klaus Schuehler
Hallo,
ich suche verzweifellt nach der Einstellung in etc/login.defs um
das login von root zu verhindern. Es soll nicht Möglich sein das
sich root per ssh direkt einloggen kann. Nur als User und bei
Bedarf mit su.
du bist auf dem falschen Dampfer :)

in der /etc/ssh/sshd_config füge

DenyUsers root

hinzu
--
cu

Roland Kruggel  mailto: rk-***@gmx.de
System: Intel 3.2Ghz, Debian sid, 2.6.7, KDE 3.3.2
Joerg Friedrich
2005-02-25 09:40:37 UTC
Permalink
Post by Klaus Schuehler
login von root zu verhindern. Es soll nicht Möglich sein das sich
root per ssh direkt einloggen kann. Nur als User und bei Bedarf mit
Wo muss ich drehen das der Rechner das schnallt.
man sshd_config:
PermitRootLogin
Specifies whether root can login using ssh(1). The argument must
be ``yes'', ``without-password'', ``forced-commands-only'' or
``no''. The default is ``yes''.

If this option is set to ``without-password'' password authenti-
cation is disabled for root. Note that other authentication
methods (e.g., keyboard-interactive/PAM) may still allow root to
login using a password.

If this option is set to ``forced-commands-only'' root login with
public key authentication will be allowed, but only if the
command option has been specified (which may be useful for taking
remote backups even if root login is normally not allowed). All
other authentication methods are disabled for root.

If this option is set to ``no'' root is not allowed to login.
--
Jörg Friedrich

There are only 10 types of people:
Those who understand binary and those who don't.
--
Haeufig gestellte Fragen und Antworten (FAQ):
http://www.de.debian.org/debian-user-german-FAQ/

Zum AUSTRAGEN schicken Sie eine Mail an debian-user-german-***@lists.debian.org
mit dem Subject "unsubscribe". Probleme? Mail an ***@lists.debian.org (engl)
Gerald Holl
2005-02-25 09:40:39 UTC
Permalink
Post by Klaus Schuehler
ich suche verzweifellt nach der Einstellung in etc/login.defs um das
login von root zu verhindern. Es soll nicht Möglich sein das sich
root per ssh direkt einloggen kann. Nur als User und bei Bedarf mit
su.
In der /etc/ssh/sshd_config

PermitRootLogin no
--
Gerald Holl
http://holl.co.at
Rainer Bendig aka Ny
2005-02-25 10:30:13 UTC
Permalink
Moin Moin Roland M. Kruggel, *,
Post by Martin Mewes
PermitRootLogin no
Nicht wirklich. Das funktioniert nicht. Getestet von Windoof Putty -
ssh login. 'DenyUsers root' funktioniert dagegen.
Seltsam bei mir klappt es.
--
---------------------------------------------------------------------
Rainer Bendig aka "ny" GnuPG-Key 0x41D44F10
--
Haeufig gestellte Fragen und Antworten (FAQ):
http://www.de.debian.org/debian-user-german-FAQ/

Zum AUSTRAGEN schicken Sie eine Mail an debian-user-german-***@lists.debian.org
mit dem Subject "unsubscribe". Probleme? Mail an ***@lists.debian.org (engl)
Roland M. Kruggel
2005-02-25 10:30:16 UTC
Permalink
Post by Gerald Holl
Post by Klaus Schuehler
ich suche verzweifellt nach der Einstellung in etc/login.defs
um das login von root zu verhindern. Es soll nicht Möglich sein
das sich root per ssh direkt einloggen kann. Nur als User und
bei Bedarf mit su.
In der /etc/ssh/sshd_config
PermitRootLogin no
Nicht wirklich. Das funktioniert nicht. Getestet von Windoof Putty -
ssh login. 'DenyUsers root' funktioniert dagegen.
--
cu

Roland Kruggel  mailto: rk-***@gmx.de
System: Intel 3.2Ghz, Debian sid, 2.6.7, KDE 3.3.2
Gerald Holl
2005-02-25 10:40:10 UTC
Permalink
Post by Gerald Holl
Post by Klaus Schuehler
ich suche verzweifellt nach der Einstellung in etc/login.defs
um das login von root zu verhindern. Es soll nicht Möglich sein
das sich root per ssh direkt einloggen kann. Nur als User und
bei Bedarf mit su.
In der /etc/ssh/sshd_config
PermitRootLogin no
Nicht wirklich. Das funktioniert nicht. Getestet von Windoof Putty -
ssh login. 'DenyUsers root' funktioniert dagegen.
Bei mir funktioniert's jedoch, bei fünf verschiedenen Rechnern, egal ob
mit putty unter Win/Linux oder dem Linux ssh client.
--
Gerald Holl
http://holl.co.at
Udo Mueller
2005-02-25 11:50:26 UTC
Permalink
Hallo Roland,
Post by Gerald Holl
Post by Klaus Schuehler
ich suche verzweifellt nach der Einstellung in etc/login.defs
um das login von root zu verhindern. Es soll nicht Möglich sein
das sich root per ssh direkt einloggen kann. Nur als User und
bei Bedarf mit su.
In der /etc/ssh/sshd_config
PermitRootLogin no
Nicht wirklich. Das funktioniert nicht. Getestet von Windoof Putty -
ssh login. 'DenyUsers root' funktioniert dagegen.
sshd auch neu gestartet?

Udo Müller
--
ComputerService Udo Müller Tel.: 0441-36167578
Böversweg 7 Fax.: 0441-36167579
26131 Oldenburg ***@cs-ol.de Mobil: 0162-4365411
--
Haeufig gestellte Fragen und Antworten (FAQ):
http://www.de.debian.org/debian-user-german-FAQ/

Zum AUSTRAGEN schicken Sie eine Mail an debian-user-german-***@lists.debian.org
mit dem Subject "unsubscribe". Probleme? Mail an ***@lists.debian.org (engl)
Roland M. Kruggel
2005-02-25 12:41:54 UTC
Permalink
Post by Udo Mueller
Nicht wirklich. Das funktioniert nicht. Getestet von Windoof
Putty - ssh login. 'DenyUsers root' funktioniert dagegen.
sshd auch neu gestartet?
Ja, aber sicher doch
--
cu

Roland Kruggel  mailto: rk-***@gmx.de
System: Intel 3.2Ghz, Debian sid, 2.6.7, KDE 3.3.2
Martin Mewes
2005-02-25 09:40:39 UTC
Permalink
Hallo KLaus,
Post by Klaus Schuehler
ich suche verzweifellt nach der Einstellung in etc/login.defs um das
login von root zu verhindern. Es soll nicht Möglich sein das sich
root per ssh direkt einloggen kann. Nur als User und bei Bedarf mit
su.
Du suchst an der flaschen Stelle.

/etc/ssh/sshd_config

PermitRootLogin no
AllowGroups $gruppe01 $gruppe02
AllowUsers $user01 $user02


bis dahin/kind regards

Martin Mewes
--
I am on holiday. Your e-mail has been deleted.
Andreas Vögele
2005-02-25 09:50:15 UTC
Permalink
Es soll nicht Möglich sein das sich root per ssh direkt einloggen
kann. [...]
Du musst in /etc/ssh/sshd_config "PermitRootLogin no" eintragen. Wenn
Du zusätzlich nur bestimmten Benutzern die Anmeldung erlauben möchtest,
ist AllowUsers nützlich.
Eduard Bloch
2005-02-25 10:00:27 UTC
Permalink
#include <hallo.h>
Post by Klaus Schuehler
Hallo,
ich suche verzweifellt nach der Einstellung in etc/login.defs um das
login von root zu verhindern. Es soll nicht Möglich sein das sich
root per ssh direkt einloggen kann. Nur als User und bei Bedarf mit
su.
man sshd_config

Ansonsten ist der "Sicherheitsgewinn" durch Restriktion sehr umstritten.
Wer dein System gezielt kompromitieren will, besorgt sich unauffällig
einen User-Account. Idealerweise deinen eigenen "normalen" User-Account.
Und für ungezielte Angriffe sollte das Passwort sowieso gut genug sein.

Eduard.
--
<stockholm> Overfiend: why dont you flame him? you are good at that.
<Overfiend> I have too much else to do.
--
Haeufig gestellte Fragen und Antworten (FAQ):
http://www.de.debian.org/debian-user-german-FAQ/

Zum AUSTRAGEN schicken Sie eine Mail an debian-user-german-***@lists.debian.org
mit dem Subject "unsubscribe". Probleme? Mail an ***@lists.debian.org (engl)
Roland M. Kruggel
2005-02-25 10:10:12 UTC
Permalink
Post by Eduard Bloch
Ansonsten ist der "Sicherheitsgewinn" durch Restriktion sehr
umstritten.
Da muss ich dir aber widersprechen. Restriktionen bringen einen
enormen Sicherheitsgewinn.

In unserem Beispiel:
Der 'Einbrecher' braucht um Zugriff (über ein login) auf einen
rechner zu bekommen immer ein usernamen und ein passwort. Den user
root gibt es immer. Also braucht er nur noch das passwort zu
'erraten'. Wenn root für das login gesperrt ist sind die
möglichkeiten ein login zu erraten wesentlich größer. Wenn er dann
ein normales login hat, steht er noch immer noch vor root.
Post by Eduard Bloch
Wer dein System gezielt kompromitieren will, besorgt
sich unauffällig einen User-Account. Idealerweise deinen eigenen
"normalen" User-Account.
Das ist wohl war. Der größte Angriffspungt und die größt
Sicherheitslücke sitt immer vor der Tastatur.
Post by Eduard Bloch
Und für ungezielte Angriffe sollte das
Passwort sowieso gut genug sein.
Aber so was wie 'AskiI187_$Ssk8' sollte es dann schon sein und nicht
'hertha'. Weil gerade die Frau des Admin so heist.
--
cu

Roland Kruggel  mailto: rk-***@gmx.de
System: Intel 3.2Ghz, Debian sid, 2.6.7, KDE 3.3.2
Klaus Schuehler
2005-02-25 10:20:06 UTC
Permalink
Guten Tag Roland M. Kruggel,
Post by Roland M. Kruggel
Da muss ich dir aber widersprechen. Restriktionen bringen einen
enormen Sicherheitsgewinn.
Denke ich auch.
Post by Roland M. Kruggel
Post by Eduard Bloch
Wer dein System gezielt kompromitieren will, besorgt
sich unauffällig einen User-Account. Idealerweise deinen eigenen
"normalen" User-Account.
Das ist wohl war. Der größte Angriffspungt und die größt
Sicherheitslücke sitt immer vor der Tastatur.
Wie soll sich jemand unauffällig einen Useraccount organisieren.
An dem Rechner ist keine Tastatur.
Ich versuche nun meinen rootie so sicher wie Möglich zu machen.
Bin da sehr aktiv um einen sicheren Rechner zu haben.

Viele Grüsse Klaus
--
Haeufig gestellte Fragen und Antworten (FAQ):
http://www.de.debian.org/debian-user-german-FAQ/

Zum AUSTRAGEN schicken Sie eine Mail an debian-user-german-***@lists.debian.org
mit dem Subject "unsubscribe". Probleme? Mail an ***@lists.debian.org (engl)
Roland M. Kruggel
2005-02-25 10:40:12 UTC
Permalink
[...]
Post by Klaus Schuehler
Post by Roland M. Kruggel
Das ist wohl war. Der größte Angriffspungt und die größt
Sicherheitslücke sitt immer vor der Tastatur.
Wie soll sich jemand unauffällig einen Useraccount organisieren.
An dem Rechner ist keine Tastatur.
Ich versuche nun meinen rootie so sicher wie Möglich zu machen.
Bin da sehr aktiv um einen sicheren Rechner zu haben.
Szenatio:

a) er geht mit die ein Bier trinken, er spendiert natürlich, macht
di sturz besoffen und due verplapperst dich.
b) er fragt deine Freundin/Frau. Die ist sehr geschwätzig und
verplappert sich auch. (Du sprichst ja im schlaf)
c) Du hast das Passwort natürlich deinem Chef gegeben. Der kann sich
solche kryptischen Zeichen nicht merken und hat es sich
aufgeschrieben. Sicher ist Sicher. Damit er es auch immer
wiederfindet liegt der Zettel unter der Schreibtschauflage. Sicher
ist Sicher.

Sicherlich ist das Konstruiert. Aber alles schon vorgekommen, und
gar nicht mal so selten.
--
cu

Roland Kruggel  mailto: rk-***@gmx.de
System: Intel 3.2Ghz, Debian sid, 2.6.7, KDE 3.3.2
Roland M. Kruggel
2005-02-25 10:40:15 UTC
Permalink
[...]
Post by Klaus Schuehler
Wie soll sich jemand unauffällig einen Useraccount organisieren.
An dem Rechner ist keine Tastatur.
Ich versuche nun meinen rootie so sicher wie Möglich zu machen.
^^^^^^^^^^^^^^^^^^^^^

Wenn man das Wörtlich nimmt, musst du sehr viel Geld in die Finger
nehmen.
--
cu

Roland Kruggel  mailto: rk-***@gmx.de
System: Intel 3.2Ghz, Debian sid, 2.6.7, KDE 3.3.2
Andreas B.
2005-02-25 11:10:11 UTC
Permalink
Den user root gibt es immer. Also braucht er nur noch das passwort zu
Wie wäre es mit der Idee root umzubenennen? Bringt vielleicht auch noch
das eine oder ander Minütchen ein? Standardmässig schaut wohl keiner, ob
root auch wirklich root heisst?!?
UID=0 User=blubber


hm


Andreas
Roland M. Kruggel
2005-02-25 11:30:52 UTC
Permalink
Post by Andreas B.
Den user root gibt es immer. Also braucht er nur noch das
passwort zu
Wie wäre es mit der Idee root umzubenennen? Bringt vielleicht
auch noch das eine oder ander Minütchen ein? Standardmässig
schaut wohl keiner, ob root auch wirklich root heisst?!?
UID=0 User=blubber
Bist du sicher das JEDES programm nur die UID abfragt?

Ich halte das für sehr gefährlich. ein Bekannter hat das mal auf
einem Suse-System gemacht. Hinterher hat er neu installiert.
--
cu

Roland Kruggel  mailto: rk-***@gmx.de
System: Intel 3.2Ghz, Debian sid, 2.6.7, KDE 3.3.2
Andreas Vögele
2005-02-25 12:00:19 UTC
Permalink
Post by Andreas B.
Den user root gibt es immer. Also braucht er nur noch das passwort zu
Wie wäre es mit der Idee root umzubenennen? Bringt vielleicht auch noch
das eine oder ander Minütchen ein? Standardmässig schaut wohl keiner, ob
root auch wirklich root heisst?!?
UID=0 User=blubber
Sinnvoller wäre es wohl, das Kennwort des root-Kontos zu deaktivieren
und sudo zu verwenden. Bei Mac OS X ist das zum Beispiel standardmäßig
der Fall.
Matthias Haegele
2005-02-25 12:20:10 UTC
Permalink
Andreas Vögele schrieb:
[...]
Post by Andreas Vögele
Sinnvoller wäre es wohl, das Kennwort des root-Kontos zu deaktivieren
und sudo zu verwenden. Bei Mac OS X ist das zum Beispiel standardmäßig
der Fall.
Ubuntu benutzt sowas wohl auch, evtl. könnte man da ein wenig
"abschauen", gibt es afaik auch als "live-cd"?.
Grüsse
Matthias Hägele
--
Haeufig gestellte Fragen und Antworten (FAQ):
http://www.de.debian.org/debian-user-german-FAQ/

Zum AUSTRAGEN schicken Sie eine Mail an debian-user-german-***@lists.debian.org
mit dem Subject "unsubscribe". Probleme? Mail an ***@lists.debian.org (engl)
Loading...