Wie setzt man einen Root Server auf?
-
Kellerautomat schrieb:
Regel #1: root deaktivieren und eigenen Account erstellen. In meinem Server-Log befinden sich tausende Einlogversuche in den Root-Account, bloed nur, dass der deaktiviert ist.
Ich lass den root-Account lieber aktiviert und deaktiviere stattdessen die Passwort-Authentifizierung bei ssh. Dann sind Login-Versuche über ssh völlig egal, denn es gibt keine Passwörter mehr, die man erraten könnte.
Dann ist es auch egal, ob man root über ssh zulässt oder nicht, es hängt alles an der Sicherheit des private keys.
-
okay, hab jetzt die /etc/ssh/sshd_config so abgeändert.
Protocol 2 PermitRootLogin no AllowUsers myuserdas mit der passwort authentifizierung werd ich später mal nachlesen, falls ich da auf meinem lokalen rechner ein 'key' file speichern muss, werd ich dass eher nicht verwenden, da ich damit im internet bin und der mir iwie nicht geheuer ist
zusätzlich hab ich noch fail2ban laufen, das sollte eig. für ssh reichen, oder
was mir noch fehlt wären sachen für tcp und evtl. iptables
-
root-Login über ssh deaktivieren bringt dir keinerlei Sicherheit, solange du mindestens einem User beliebige sudo-Befehle erlaubst.
-
kellerassel schrieb:
das mit der passwort authentifizierung werd ich später mal nachlesen, falls ich da auf meinem lokalen rechner ein 'key' file speichern muss, werd ich dass eher nicht verwenden, da ich damit im internet bin und der mir iwie nicht geheuer ist
ssh mit keyfile ist generell sicherer als mit Passwort, würde ich sagen, denn mit Keyfile hast du beides: Etwas, das du wissen musst (das Passwort für den private key) und etwas, das du besitzen musst (den private key).
Wenn du dem Rechner, von dem aus du den ssh-Client startest, nicht mit dem Keyfile traust, dann kanst du dem genausowenig mit Passwort-Login trauen, denn es könnte ein Keylogger laufen.
-
Sofern moeglich ist Key-Auth immer besser als Passwort-Auth. Bei Non-Key-Auth muss man aber natuerlich den SSH-Root-Login unbedingt deaktivieren.
Christoph: Naja, SSH-Key+sudo braucht immerhin ein Passwort mehr als SSH-Key und Root-Login.
Ich meinte mit absichern eigentlich eher deinen selbstgeschriebenen Server. Mit hoher Wahrscheinlichkeit wird der die groeszte Schwachstelle sein, sofern alle Software aktuell ist und du Key-Auth aktiviert hast.
-
nman schrieb:
Ich meinte mit absichern eigentlich eher deinen selbstgeschriebenen Server. Mit hoher Wahrscheinlichkeit wird der die groeszte Schwachstelle sein, sofern alle Software aktuell ist und du Key-Auth aktiviert hast.
damit kannst du recht haben, iwann sieht man die fehler einfach nicht mehr
aber vllt. könnt ihr es euch ja auch verkneifen, solltet ihr mich denn mal besuchen, gleich euere schlimmsten angriffe zu fahren
-
nman schrieb:
Christoph: Naja, SSH-Key+sudo braucht immerhin ein Passwort mehr als SSH-Key und Root-Login.
Oh, hast Recht. Ich hatte nur an ssh-Passwortlogin mit sudo gedacht.
-
nman schrieb:
nman schrieb:
Welche Software?
das ding, was die webseiten generiert und ausliefert? ich hab ihr noch keinen namen gegeben. aber wenn es so weiter geht, steht bitch ganz hoch im kurs
Selbstgeschrieben? Autsch. Wie hast du denn geschafft, das nicht 64bit-tauglich zu bekommen?
also es läuft jetzt (habs noch nicht lang getestet) unter 64bit und ich hab an mind. 50 stellen was ändern müssen und ganz rund läuft es immer noch nicht rolleyes:
-
kellerassel schrieb:
also es läuft jetzt (habs noch nicht lang getestet) unter 64bit und ich hab an mind. 50 stellen was ändern müssen und ganz rund läuft es immer noch nicht rolleyes:
Liest du irgendwo heraus, dass besonders unfähige Menschen nicht auch primitive kleine Progrämmchen 64bit-untauglich bekommen?
Damals hatte ich einen Monat kellerassel-Erfahrung weniger. Nach deinem 64bit-Thread und zahlreichen anderen hätte ich dir hier wohl empfohlen, dir Shared-Hosting zu leisten und nichts anderes als statische HTML-Seiten zu basteln.
-
kellerassel, Dein Tonfall ist nicht willkommen hier. Falls Du Deinen Tonfall nicht abkoppeln kannst, bist auch Du nicht willkommen.
---voriger Beitrag von kellerassel gelöscht