Re: [PUG] Debian: Root User ändern
Denny Schierz schrieb: und ebenfalls: finger weg vom Root Account umbenennen. Ich frage mich, wer dieses Schwachsinn damals publiziert hat. Hat das je überhaupt einen Sinn ergeben? Ist doch ganz einfach. Root-Account umbenennen, auf was anderes, das dann ja keiner kennt. Dann kann man dem neuen Root-User ein leeres Kennwort geben und sich die Logins mit nervigen SSH-Keys sparen. -martin -- Martin Schmitt / Schmitt Systemberatung / www.scsy.de -- http://www.pug.org/index.php/Benutzer:Martin -- signature.asc Description: OpenPGP digital signature -- PUG - Penguin User Group Wiesbaden - http://www.pug.org
Re: [PUG] Debian: Root User ändern
Am Mittwoch 16 Juni 2010 schrieb Stephan Schaffner: Am 16. Juni 2010 18:26 schrieb michael mich...@4lin.net: Am Mittwoch 16 Juni 2010 17:49:49 schrieb Stephan Schaffner: Hallo alle miteinander, glaube kaum dass sich jemand noch an mich erinnern kann, ist aber auch noch halb so wild ;) Bist Du wahnsinnig? So ein nerviges Kind wie Du damals eines warst vergißt Niemand! Aber auf unserem damaligen Anfängerseminar konnten wir selbst Dich integrieren - daran erinnere ich mich sehr genau. ;-) Gruß, Michael Bischof -- - --- PUG - Penguin User Group Wiesbaden - http://www.pug.org Ich weis dass ich nerven kann *g* aber ich bin inzwischen 19 ;) und somit ein bisschen Reifer, hoffe ich. Also, was machen wir jetzt wegen meinem Root Problemchen? ;) Moin, den root User umbenennen halte ich für keine besonders gute Idee. Es ist nicht abzuschätzen, wo und wie der Name root in Scripten verbaut wurde. Das kann eigentlich nur in Chaos und Problemen enden. Ausserdem ist Security by Obscurity schon immer keine besonders gute Wahl beim Thema Sicherheit gewesen. Deswegen halte ich auch nichts vom austausch des SSH Ports. Der lässt sich einfachst mittels eines Portscanns ermitteln. Wenn du SSH etwas besser absichern möchtest, dann schau dir z.B. mal sshguard an. Das Tool sperrt nach mehreren Fehlversuchen auf SSH die entsprechende IP Adresse für einige Zeit aus. Zusätzlich wäre evtl. Port Knocking ein Instrument, um einfache Postscans scheitern zu lassen. Wenn du einige Dienste besser absichern möchtest, dann mache dich mal mit chroot vertraut. Noch eine Variante wäre eine Virtuelle Maschine mit Minimaler Installation speziell für den benötigten Dienst. Ausserdem noch die ganz normalen kleinen TODOs, um ein System sicherer zu machen, wie abschalten aller nicht benötigter Dienste, Minimal Installation des Systems, verwendung von tcpwrapper, Lokale Firewall usw. Gruß Mario Schmidt -- Es ist nie zu spaet, eine glueckliche Kindheit zu haben. -- PUG - Penguin User Group Wiesbaden - http://www.pug.org
Re: [PUG] Debian: Root User ändern
On 06/17/2010 11:09 AM, Mario Schmidt wrote: Am Mittwoch 16 Juni 2010 schrieb Stephan Schaffner: Am 16. Juni 2010 18:26 schrieb michael mich...@4lin.net: Am Mittwoch 16 Juni 2010 17:49:49 schrieb Stephan Schaffner: [..] aber ich bin inzwischen 19 ;) und somit ein bisschen Reifer, hoffe ich. Also, was machen wir jetzt wegen meinem Root Problemchen? ;) Programme wie z.B. su überprüfen nicht den Usernamen sondern die User-ID: /* ...Return true without asking for a password if run by UID 0 ... */ if (getuid () == 0 ... Welcher User dir UID 0 hat lässt sich ganz einfach feststellen, den User root umzubenennen ist also keine allzu hohe Hürde; eigenlich gar keine... Falls du also dein System sicherer machen möchtest solltest du dir mal SELinux anschauen. Gruß Laurence signature.asc Description: OpenPGP digital signature -- PUG - Penguin User Group Wiesbaden - http://www.pug.org
Re: [PUG] Debian: Root User ändern
-BEGIN PGP SIGNED MESSAGE- Hash: SHA1 Laurence Tonke schrieb: Falls du also dein System sicherer machen möchtest solltest du dir mal SELinux anschauen. Bleibt noch zu bemerken, dass zusätzliche Sicherheit nicht allein durch `magische' Werkzeuge, sondern vor allem durch das Verständnis derselben erreicht wird. Will sagen, wenn Du von SELinux noch nichts gehört hast, solltest Du darauf verzichten, es ohne längere Beschäftigung mit der Materie einzusetzen. Immerhin ist ein aktuelles Linux auch ohne Modifikationen vergleichsweise sicher. Max -BEGIN PGP SIGNATURE- Version: GnuPG v1.4.9 (GNU/Linux) Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org iEYEARECAAYFAkwaAB8ACgkQoTde7ktvwIry0wCgi/sIvVdZDCW0mXBcHsSuo6oT G+AAn0BJFQu1VojdwbHGVA5O1JdjHfcd =DoWm -END PGP SIGNATURE- -- PUG - Penguin User Group Wiesbaden - http://www.pug.org
Re: [PUG] Debian: Root User ändern
Am Donnerstag 17 Juni 2010 schrieb Laurence Tonke: On 06/17/2010 11:09 AM, Mario Schmidt wrote: Am Mittwoch 16 Juni 2010 schrieb Stephan Schaffner: Am 16. Juni 2010 18:26 schrieb michael mich...@4lin.net: Am Mittwoch 16 Juni 2010 17:49:49 schrieb Stephan Schaffner: [..] aber ich bin inzwischen 19 ;) und somit ein bisschen Reifer, hoffe ich. Also, was machen wir jetzt wegen meinem Root Problemchen? ;) Programme wie z.B. su überprüfen nicht den Usernamen sondern die User-ID: /* ...Return true without asking for a password if run by UID 0 ... */ if (getuid () == 0 ... Welcher User dir UID 0 hat lässt sich ganz einfach feststellen, den User root umzubenennen ist also keine allzu hohe Hürde; eigenlich gar keine... Falls du also dein System sicherer machen möchtest solltest du dir mal SELinux anschauen. Gruß Laurence Noch eine einfache Möglichkeit: root Logins verbieten und nur noch über su oder sudo UID 0 Operationen zulassen. Dann braucht man sich auch keine Gedanken über externe Login Versuche auf root mehr machen. Gruß Mario Schmidt -- Es ist nie zu spaet, eine glueckliche Kindheit zu haben. -- PUG - Penguin User Group Wiesbaden - http://www.pug.org
Re: [PUG] Debian: Root User ändern
Am Donnerstag, den 17.06.2010, 11:09 +0200 schrieb Mario Schmidt: Wenn du SSH etwas besser absichern möchtest, dann schau dir z.B. mal sshguard an. Das Tool sperrt nach mehreren Fehlversuchen auf SSH die entsprechende IP # aptitude install fail2ban einfach geht es nicht und gilt nicht nur für ssh (nach erweiterte Konfiguration) und ebenfalls: finger weg vom Root Account umbenennen. Ich frage mich, wer dieses Schwachsinn damals publiziert hat. Hat das je überhaupt einen Sinn ergeben? cu denny signature.asc Description: Dies ist ein digital signierter Nachrichtenteil -- PUG - Penguin User Group Wiesbaden - http://www.pug.org
Re: [PUG] Debian: Root User ändern
Am 17.06.2010 18:09, schrieb Denny Schierz: Am Donnerstag, den 17.06.2010, 11:09 +0200 schrieb Mario Schmidt: Wenn du SSH etwas besser absichern möchtest, dann schau dir z.B. mal sshguard an. Das Tool sperrt nach mehreren Fehlversuchen auf SSH die entsprechende IP # aptitude install fail2ban einfach geht es nicht und gilt nicht nur für ssh (nach erweiterte Konfiguration) und ebenfalls: finger weg vom Root Account umbenennen. Ich frage mich, wer dieses Schwachsinn damals publiziert hat. Hat das je überhaupt einen Sinn ergeben? cu denny -- PUG - Penguin User Group Wiesbaden - http://www.pug.org -- PUG - Penguin User Group Wiesbaden - http://www.pug.org
Re: [PUG] Debian: Root User ändern
Am 17.06.2010 18:09, schrieb Denny Schierz: Am Donnerstag, den 17.06.2010, 11:09 +0200 schrieb Mario Schmidt: Wenn du SSH etwas besser absichern möchtest, dann schau dir z.B. mal sshguard an. Das Tool sperrt nach mehreren Fehlversuchen auf SSH die entsprechende IP # aptitude install fail2ban einfach geht es nicht und gilt nicht nur für ssh (nach erweiterte Konfiguration) und ebenfalls: finger weg vom Root Account umbenennen. Ich frage mich, wer dieses Schwachsinn damals publiziert hat. Hat das je überhaupt einen Sinn ergeben? Ähm, sorry, ich habe eben eine Nachricht beantwortet, die ich nicht bearbeitet hatte. Ich glaube, das kommt von der Unsitte diverser Zeitschriften oder auch einer Computer-Boulevardzeitung, die einem mal wieder die 100 besten Tipps versprechen, seinen PC schneller booten zu lassen (und sei es insg. nur 1 Zehntel Sekunde). Dabei wird dann vergessen, die Funktionsweise dazu zu schreiben oder zu lesen, was das größte Problem daran ist. Außerdem glaube ich es in M$ Trainings gelesen zu haben (bin mir aber nicht sicher, es waren schon ein paar Bücher). Gruß Silvério -- PUG - Penguin User Group Wiesbaden - http://www.pug.org
[PUG] Debian: Root User ändern
Hallo alle miteinander, glaube kaum dass sich jemand noch an mich erinnern kann, ist aber auch noch halb so wild ;) Nach langer Zeit bin ich mal wieder besitzer eines Linux V-Server gekommen (freu freu) Jedoch ist es schon eine Weile her dass ich mit Linux zutun hatte, vorallem wunderte es mich, dass es Debian 5 gibt O.o Das ist jetzt aber nicht meine Frage. Logischerweise muss man einen Root absichern, da der doch eine Gefahrenquelle sein kann wenn nicht genug sicherungsvorkehrungen getroffen wurden. Unter anderem habe ich dies vor: SSH Port ändern unnötige Module und Prozesse beenden Root User ändern - da bezieht sich auch schon meine Frage es geht um folgendes: Ein etwas erfahrender Hacker weis dass alles über den User Root geht. Deshalb möchte ich ihm den Weg etwas erschweren ;) Ein Kumpel meinte man könnte nach der User ID z. B. gucken (Root hat glaub ich die 0 oder 1) Jetzt möchte ich dem User Root seine Rechte entziehen und sie einem anderen User geben, doch wie stelle ich das an? (Um konkret zu werden: Ich möchte dem User Gamienator alle Root rechte geben, dem user Server nur soviele Rechte um die Perl skripte sowie Gameserver zum laufen zu lassen und dem User Root alles mögliche entziehen) Wie stelle ich dass jetzt an? Ich danke euch im Vorraus :) Mit freundlichen Grüßen Stephan Schaffner -- PUG - Penguin User Group Wiesbaden - http://www.pug.org
Re: [PUG] Debian: Root User ändern
Am Mittwoch 16 Juni 2010 17:49:49 schrieb Stephan Schaffner: Hallo alle miteinander, glaube kaum dass sich jemand noch an mich erinnern kann, ist aber auch noch halb so wild ;) Bist Du wahnsinnig? So ein nerviges Kind wie Du damals eines warst vergißt Niemand! Aber auf unserem damaligen Anfängerseminar konnten wir selbst Dich integrieren - daran erinnere ich mich sehr genau. ;-) Gruß, Michael Bischof -- PUG - Penguin User Group Wiesbaden - http://www.pug.org
Re: [PUG] Debian: Root User ändern
Am 16. Juni 2010 18:26 schrieb michael mich...@4lin.net: Am Mittwoch 16 Juni 2010 17:49:49 schrieb Stephan Schaffner: Hallo alle miteinander, glaube kaum dass sich jemand noch an mich erinnern kann, ist aber auch noch halb so wild ;) Bist Du wahnsinnig? So ein nerviges Kind wie Du damals eines warst vergißt Niemand! Aber auf unserem damaligen Anfängerseminar konnten wir selbst Dich integrieren - daran erinnere ich mich sehr genau. ;-) Gruß, Michael Bischof -- PUG - Penguin User Group Wiesbaden - http://www.pug.org Ich weis dass ich nerven kann *g* aber ich bin inzwischen 19 ;) und somit ein bisschen Reifer, hoffe ich. Also, was machen wir jetzt wegen meinem Root Problemchen? ;) -- PUG - Penguin User Group Wiesbaden - http://www.pug.org
Re: [PUG] Debian: Root User ändern
Hallo, das ist doch ein guter Zeitpunkt, dass ich, der ich wahrscheinlich genauso lange wie du nicht auf der Liste geshrieben habe, mal antworte. Ich bin zwar kein ausgewiesener Sicherheitsspezialist, aber ich meine: Logischerweise muss man einen Root absichern, da der doch eine Gefahrenquelle sein kann wenn nicht genug sicherungsvorkehrungen getroffen wurden. Unter anderem habe ich dies vor: SSH Port ändern das spart höchstens traffic - auf den standard-port laufen die Wörterbuchattacken, das root-Passwort (und alle anderen) sollten aber durch sowas sowieso nicht knackbar sein. unnötige Module und Prozesse beenden das klingt gut ;-) Root User ändern - da bezieht sich auch schon meine Frage es geht um folgendes: Ein etwas erfahrender Hacker weis dass alles über den User Root geht. Deshalb möchte ich ihm den Weg etwas erschweren ;) Ein Kumpel meinte man könnte nach der User ID z. B. gucken (Root hat glaub ich die 0 oder 1) Er hat die 0. Jetzt möchte ich dem User Root seine Rechte entziehen und sie einem anderen User geben, doch wie stelle ich das an? (Um konkret zu werden: Ich möchte dem User Gamienator alle Root rechte geben, dem user Server nur soviele Rechte um die Perl skripte sowie Gameserver zum laufen zu lassen und dem User Root alles mögliche entziehen) aber ich verstehe noch nicht, was du dir davon versprichst? Was du vorhast klingt ein bisschen, als wolltest du mit SELinux spielen - aber ich glaub das ist etwas Overkill für deinen Anwendungsfall. Ansonsten sehe ich noch nicht die Vorteile, den Admin oder eben root nur umzubennen? Der befürchtete erfahrene Hacker wird sich doch von umbennungen kaum aufhalten lassen... gruß maximilian -- PUG - Penguin User Group Wiesbaden - http://www.pug.org