SSH Root login sperren + su von user ohne pw

[m18]

Garned leicht dafür ein Topic zu finden.

Also ich hab mich grad langsam verrückt gesucht gestern und heut, hab auch schon selber rumprobiert, bekomms aber ned hin.
Was ich möchte:

Ich möchte root login über ssh verweigern. Ist auch kein Problem, sshd_config -> permitrootlogin...

Das eigentlich was ich ned hinbekomm ist, ich log mich ja mit nem normalen user ein sagen wir mal user1. Wenn ich bei dem jetzt su eingeb um root rechte zu erlangen wird natürlich das PW von root verlangt. Wie bekomme ich es hin, das ich von dem einen speziellen user kein pw brauche. Außerdem soll su -l root NUR von diesem einen user1 möglich sein.

Bitte gebt mir ein kleines step by step, ich bekomms nämlich ned hin.

Hab gestern schon nach dem howto (mit den key files das man von extern kein pw braucht sondern eben das key file) rumgespielt, kann das aber scheinbar nicht übertragen auf mein problem :( pls help

[giffi]

Wenn ich bei dem jetzt su eingeb um root rechte zu erlangen wird natürlich das PW von root verlangt. Wie bekomme ich es hin, das ich von dem einen speziellen user kein pw brauche. Außerdem soll su -l root NUR von diesem einen user1 möglich sein.

Wo ist der Sin des ganzen??
Wenn jemand erstmal den einen Useraccount geknackt hat ist er somit auch schon direkt root weil er kein Passwort mehr eingeben müsste.
Da könnteste genausogut den root-Login per SSH wieder erlauben und dort mit nen Key arbeiten. (Was aber auch nicht zu empfhelen ist)
Das beste wäre echt:

ssh ---> user1 (key/PW) ---->su - --->(PW) --->root

Giffi

[m18]

Das was du sagtest ist mit sicherheit die sichere lösung

Aber. Nen root account kann man im prinzip durch bruteforce knacken (auch wenn das PW so sicher sein sollte das es zu lange dauern würde)

Den Useraccount per bruteforce zu knacken is schwer, weil man schlicht den Useraccount nicht kennt. Und man ja eben auch ned weiß das der per su auf root kann. Gibt ja viele user im system

Ich erachte die Lösung deshalb als nicht wirklich unsicher. Natürlich vorausgesetzt der user der dann auf su wechseln kann hat ein sehr sicheres pw.

Gibt es eine Lösung dafür, oder ist davon tatsächlich extrem abzuraten?

[floschi]

Sorry, aber ich würde in deinem paranoiden Fall einen extrem langen Key erzeugen und den Rootlogin erlauben. Wer einen Rechnercluster auf deinen Rootie ansetzt, um in 250 Jahren den Key zu knacken, sollte in der Zwischenzeit bereits auffallen beim Loglesen.

[captaincrunch]

Den Useraccount per bruteforce zu knacken is schwer, weil man schlicht den Useraccount nicht kennt.

Je nach Konfiguration deines Servers ist es ein sehr leichtes, an existierende Usernamen zu kommen ...

Wa du suchst ist im übrigen nicht su, sondern sudo. ;)

[m18]

Da ihr beiden mit sicherheit mehr erfahrung hab werde ich selbiges dann unterlassen, ich lass mich ja gern belehren, ich sah darin nur allerdings echt kein sicherheitsproblem.

Die aussage von olfi versteh ich allerdings leider nicht :(

[captaincrunch]

Die aussage von olfi versteh ich allerdings leider nicht

Na ja, ein extrem langer Key ist besser als jedes Passwort, so dass man damit theoretisch auch ein direktes Root-Login zulassen könnte. Aufgrund der Tatsache, dass keine Software sicher ist (und ein Angriff nicht zwangsläufig durch ein gesnifftes Passowrt oder einen gecrackten Key erfolgen muss), würde ich das trotzdem unterlassen. ;)

[m18]

Aso, dann hat mich die aussage nur bissel verwirrt. Im Prinzip könnte ich ja den login per PW allgemein verbieten, das man sich nur noch per key file authentifizieren kann, wie sicher wäre das?

die authentifizieren wäre über SSH ja auch gesicht, also sollte der schlüssel ned zu sniffern gehen?

unmöglich kommt natürlich nirgends vor wenns um sicherheit geht :)

[dodolin]

Um zur ursprünglichen Frage zurückzukommen:

Mit PAM, völlig simpel.

Code: Select all

dominik@trinity:~$ cat /etc/pam.d/su
#
# The PAM configuration file for the Shadow `su' service
#
 
# Uncomment this to force users to be a member of group root
# before than can use `su'. You can also add "group=foo" to
# to the end of this line if you want to use a group other
# than the default "root".
# (Replaces the `SU_WHEEL_ONLY' option from login.defs)
# auth       required   pam_wheel.so
 
auth    required        pam_wheel.so group=wheel debug
 
# Uncomment this if you want wheel members to be able to
# su without a password.
# auth       sufficient pam_wheel.so trust
 
# Uncomment this if you want members of a specific group to not
# be allowed to use su at all.
# auth       required   pam_wheel.so deny group=nosu
 
# This allows root to su without passwords (normal operation)
auth       sufficient pam_rootok.so
 
# Uncomment and edit /etc/security/time.conf if you need to set
# time restrainst on su usage.
# (Replaces the `PORTTIME_CHECKS_ENAB' option from login.defs
# as well as /etc/porttime)
# account    requisite  pam_time.so
 
# The standard Unix authentication modules, used with
# NIS (man nsswitch) as well as normal /etc/passwd and
# /etc/shadow entries.
auth       required   pam_unix.so
account    required   pam_unix.so
session    required   pam_unix.so
 
# Sets up user limits, please uncomment and read /etc/security/limits.conf
# to enable this functionality.
# (Replaces the use of /etc/limits in old login)
# session    required   pam_limits.so

su auf bestimme User/Gruppen einzuschränken halte ich ja durchaus für sinnvoll, das aber ohne Passwort zu machen sicher nicht - wie auch von anderen bereits erwähnt.

[bmp]

Um zur ursprünglichen Frage zurückzukommen:

Mit PAM, völlig simpel.

Code: Select all

dominik@trinity:~$ cat /etc/pam.d/su
# Uncomment this to force users to be a member of group root
# before than can use `su'. You can also add "group=foo" to
# to the end of this line if you want to use a group other
# than the default "root".
# (Replaces the `SU_WHEEL_ONLY' option from login.defs)
# auth       required   pam_wheel.so
 
auth    required        pam_wheel.so group=wheel debug
 
# This allows root to su without passwords (normal operation)
auth       sufficient pam_rootok.so
 

Kannst du mir dazu mal was sagen ?
So wie ich es hier Verstehe, wird nur den Usern der Groups "wheel" und "debug" der SU zugang erlaubt. Ist das richtig ?

Kann ich das auch auf einen USER beschränken ? (Ich weiß könnte ne neue Group für den User machen)

Wofür ist bei dir diese Zeile ?

Code: Select all

# This allows root to su without passwords (normal operation)
auth       sufficient pam_rootok.so

Laut dem Kommentar erhält genau dadurch doch der root den SU OHNE Pw.

[m18]

Der ersten Frage meines vorredners schließe ich mich an :)

[t0x1c]

Das eigentlich was ich ned hinbekomm ist, ich log mich ja mit nem normalen user ein sagen wir mal user1. Wenn ich bei dem jetzt su eingeb um root rechte zu erlangen wird natürlich das PW von root verlangt. Wie bekomme ich es hin, das ich von dem einen speziellen user kein pw brauche.

Du willst sudo?

Code: Select all

man sudo

Außerdem soll su -l root NUR von diesem einen user1 möglich sein.

Normalerweise Gibt es ne Gruppe "wheel", dessen User sich per su zum root machen dürfen.
Schieb halt nur user1 in diese Gruppe, und die anderen nicht.

[m18]

man sudo kann ich leider erst daheim ausführen, was macht das denn kurz zusammengefasst? :)

Die zweite Frage von mir wäre mit t0x1cs antwort beantwortet, thx

[t0x1c]

http://www.starnetok.net/~jallen/howtos/sudo-howto.html ;)

[m18]

Dann hab ich doch richtig gedacht, ist halt wie unter windows "ausführen als" Nur das es da nur als root ausgeführt wird und kein PW benötigt wird hab ich auch gelesen. Nur is das ned wirklich das was ich will, weil dafür müsst ich vor jedes command sudo schreiben :) auch ned das gelbe vom ei :(

[t0x1c]

..ein "sudo su -" sollte auch funktionieren IMHO.. ;)

[dodolin]

So wie ich es hier Verstehe, wird nur den Usern der Groups "wheel" und "debug" der SU zugang erlaubt. Ist das richtig ?

Nein. Nur der Gruppe wheel. Das debug ist dazu da, dass mehr geloggt wird bzw. überhaupt geloggt wird, wenn dieser Fall eintritt, d.h. wenn sich jemand aus der Gruppe wheel per su zu root macht. Doku dazu siehe: http://www.kernel.org/pub/linux/libs/pa ... tml#ss6.29

Kann ich das auch auf einen USER beschränken ? (Ich weiß könnte ne neue Group für den User machen)

Per Default ist die Gruppe wheel entweder gar nicht vorhanden oder leer. Füge nur den einen User hinzu und du hast, was du suchst. BTW: Auf meinem System ist auch nur ein einziger User in der Gruppe wheel.

Wofür ist bei dir diese Zeile ?
Code:
# This allows root to su without passwords (normal operation)
auth sufficient pam_rootok.so

Laut dem Kommentar erhält genau dadurch doch der root den SU OHNE Pw.

Nö. Das bezieht sich darauf, wenn man bereits root ist und als root zu einem anderen User per su wechseln will. Dann braucht man kein Passwort einzugeben. Das ist das Standardverhalten.

[bmp]

Danke dodolin,

werde ich heute Abend gleich mal ausprobieren.

[unique]

:oops:
is wohl das dämlichste was einem passieren kann, aber ich hab das mal ausprobiert und die zeile:

Code: Select all

auth    required        pam_wheel.so group=wheel debug 

in su eingefügt
(vorher: auth required pam_unix.so nullok #set_secrpc)
und jetzt kann ich mich nicht mehr als root einloggen:

Code: Select all

su: incorrect password

meinem standard-user hab ich vorher per yast die group wheel zugewiesen.

wie kann ich die aktion jetzt wieder rückgängig machen??

bitte helft mir, da ich zur zeit keinen rat weiss...

[bmp]

Im Rescue Booten und rückgängig machen.

[unique]

hmm - mal wieder nich zu ende gedacht... hätte man auch selbst drauf kommen können... :oops:

naja - ich hatte das rescue-system halt noch nie verwendet... jetzt läuft alles wieder..

vielen dank..

gruss unique

[m18]

Wollte nur als ergänzung noch sagen weil ich grad drüber gestolpert bin, beim root login sperren in der gleichen datei kann man den usern der gruppe wheel im beispiel su ohne pw erlauben mit der zeile:

Code: Select all

# auth       sufficient pam_wheel.so trust

natürlich ohne kommentar zeichen

Ich habs jetzt nicht aktiviert da ihr mir ja davon abgeraten habt. Wollte es nur erwähnen weils ja sicher leute gibt die sowas sucher für zb. daheim