[Newbie] Root Passwort, Sicherheit des Servers

[seb]

bin grad dabei von meinem alten auf den neuen server die daten rüberzuziehen und... hab einige fragen... hatte bisher noch keinen hacker oder so drauf aber was nochnich is kann ja noch werden... ^^

1. Root Passwort: ich würde gerne das Root Passwort ändern was ich vom provider bekommen habe... kann ich das tuen ohne das irgendwelche programme dann nicht mehr funzen? Confixx 3.0 is drauf, rest is normal... und bis jetzt keine extras, bin ja noch dabei... hab angst wenn ich es änder das irgendwas net mehr funzt desswegen frag ich lieber vorher...

2. MySQL Root Passwort: wenn ich das root passwort änder wird das root passwort vom mysql server auch mitgeändert? ist es ein sicherheitsrisiko in php scripten z.b. bei ner datenbankabfrage den root zu nutzen? oder sollte man wie bei Confixx lieber die benutzernamen nutzen...? hab bisher immer das root genommen weil ich so nicht für jedes projekt die db infos ändern musste... doch wenn einer in den FTP kommt von dem account und saugt sich die config runter und sieht das root pw isses wohl auch fürn arsch... also würde gern hören was ihr da so tut..?

3. Firewall: gibts ne möglichkeit den server so einzurichten das, das einloggen unter dem root nur erlaubt ist von einer bestimmten host? so das man einstellt das es nur möglich is unter dem host vom provider wo man selbst is sich einzuloggen...? IP wäre ja sinnlos da sie sich ja ändert... so könnte man die meisten häcker auschließen die mit Proxys arbeiten...

4. Nochmal Root Passwort: wie empfehlt ihr es von der länge... zeichen... normal um so mehr zeichen mit sonderzeichen und son kram wäres am sichersten... problem is das merken des passwortes... ich hab bisher immer generierte genommen aber ich würd schon gern n eigenes was ich im kopf habe...

glaub das wars... hoffe ihr könnt ihr mir die fragen beantworten...
es gibt haufenweise seiten über sicherheit aber was für mich wie einen newbie fehlt is nen HOWTO wie man seinen webserver am sichersten halten kann... mehrere möglichkeiten die dazu beitragen und wie man sie einrichtet... ich würds ja selbst machen wenn ichs wissen würde ^^

[dodolin]

1. Ich hab meines sofort geändert, keine Probleme. Ich nutze aber auch kein Confixx, kann dazu also nichts sagen. ;)

2. mysql root pw und server root pw sind komplett unabhängig und sollten daher nach Möglichkeit verschieden sein.
Ich handhabe das so, dass ich für jede Applikation einen eigenen mysql user anlege, der genau nur die Rechte hat, die er benötigt. Manchmal sogar 2 User für eine Applikation: Einen User zur Maintenance und zum Daten eintragen und einen separaten readonly-user z.B. für die Präsentation im Web.

3. Root sollte sich überhaupt nicht direkt per ssh auf einem Server einloggen können. Dazu gibt es su. Aber ja, man könnte das z.B. mit pam lösen.

4. Nimm z.B. nen Satz mit Satzzeichen, Sonderzeichen und nimm von jedem Wort nur den Anfangsbuchstaben oder z.B. auch den letzten etc. Groß-/Kleinschreibung, wenn möglich.

[wirsing]

1. Root Passwort: ich würde gerne das Root Passwort ändern was ich vom provider bekommen habe... kann ich das tuen ohne das irgendwelche programme dann nicht mehr funzen? Confixx 3.0 is drauf, rest is normal... und bis jetzt keine extras, bin ja noch dabei... hab angst wenn ich es änder das irgendwas net mehr funzt desswegen frag ich lieber vorher...

Kannst du problemlos machen, solltest du sogar auf jeden Fall tun.

2. MySQL Root Passwort: wenn ich das root passwort änder wird das root passwort vom mysql server auch mitgeändert? ist es ein sicherheitsrisiko in php scripten z.b. bei ner datenbankabfrage den root zu nutzen? oder sollte man wie bei Confixx lieber die benutzernamen nutzen...? hab bisher immer das root genommen weil ich so nicht für jedes projekt die db infos ändern musste... doch wenn einer in den FTP kommt von dem account und saugt sich die config runter und sieht das root pw isses wohl auch fürn arsch... also würde gern hören was ihr da so tut..?

Das root-Passwort solltest du NIE im Normalbetrieb benutzen. Ich weiß nicht ob Confixx den root-Benutzer benutzt, wenn ja müsstest du in der Confixx-Konfiguration das neue Passwort eintragen.

3. Firewall: gibts ne möglichkeit den server so einzurichten das, das einloggen unter dem root nur erlaubt ist von einer bestimmten host? so das man einstellt das es nur möglich is unter dem host vom provider wo man selbst is sich einzuloggen...? IP wäre ja sinnlos da sie sich ja ändert... so könnte man die meisten häcker auschließen die mit Proxys arbeiten...

PermitRootLogin No für sshd, deinen normalen Benutzeraccount in die Gruppe root bzw. wheel (eine von beiden gibt es, gid ist i. d. R. 0) eintragen, dann den su zu root nur für Mitglieder dieser Gruppe erlauben (in /etc/pam.d/su mittels pam_wheel). Wenn du dann zwei verschiedene, gute Passwörter für root und deinen Benutzer hast, ist der Zugang über ssh gesichert (wenn man annehmen könnte, dass Software ohne Sicherheitslücken ist)

4. Nochmal Root Passwort: wie empfehlt ihr es von der länge... zeichen... normal um so mehr zeichen mit sonderzeichen und son kram wäres am sichersten... problem is das merken des passwortes... ich hab bisher immer generierte genommen aber ich würd schon gern n eigenes was ich im kopf habe...

Da weißt du ja schon selber wie es sein sollte - lang, Sonderzeichen, Groß- und Kleinbuchstaben, Ziffern.

[seb]

danke euch beiden erstmal

eines versteh ich allerdings net ganz

PermitRootLogin No für sshd, deinen normalen Benutzeraccount in die Gruppe root bzw. wheel (eine von beiden gibt es, gid ist i. d. R. 0) eintragen, dann den su zu root nur für Mitglieder dieser Gruppe erlauben (in /etc/pam.d/su mittels pam_wheel). Wenn du dann zwei verschiedene, gute Passwörter für root und deinen Benutzer hast, ist der Zugang über ssh gesichert (wenn man annehmen könnte, dass Software ohne Sicherheitslücken ist)

also ich soll das austellen das man aus dem SSH per Root auf den server kommt... und dann einen neuen User erstellen und dem in die gruppe Root setzen das er wie root alle rechte hat... und dann kann man root nur nutzen wenn man mit dem benutzer den ich erstellt hab sich einloggt...
richtig?
hab mal gelesen das Confixx die benutzerdaten überschreibt... bin mir aber net sicher ob das bei 3.0 auch noch so ist... weiß das jemand? wenn ich das mache dann löscht confixx hinterher den user den ich angelegt habe un so komm ich dann net mehr als root drauf ^^

also das muss ich vorher rausfinden...

und was ich garnit peile is

Code: Select all

gid ist i. d. R. 0

weiß nich was das heissen soll ^^

zur benutzerverwaltung nutz ich normal Webmin, zur info... würdest mir nen riesen gefallen tuen wennde mir sagst was ich tuen soll... *ganz lieb gucken tut*

[floschi]

Du hast sowieso bereits mind. einen lokalen Shelluser. Mit dem kannst du dich in Zukunf teinloggen und durch den Befehl "su" root werden. Sinnvollerweise nach das mit wheel/root wie beschrieben.

Hm, du hast aber schon die nötigen Linuxkenntnisse für einen Server??

[seb]

naja, bin kein profi, hab seid 2001 meinen ersten root server... aber auch nur das gelernt was ich brauchte um das zu kriegen was ich wollte ^^

hab das jetzt getestet... Confixx richtet ja standart nen web0 ein bei 3.0 neuerdings und damit komm ich ins root wenn ich su schreibe un dann nochmal mein pw eingebe...

jetzt muss ich nurnoch wissen wie ich das so einstelle das man sich als root nurnoch intern und nich mehr über ssh einloggen kann...???

[floschi]

Steht doch oben, PermitRootLogin in der sshd-Konfiguration ;)

^ ^ Das solltest du aber seit 2001 (besser noch vor 2001) mitgekriegt haben...

[wirsing]

und was ich garnit peile is

Code: Select all

gid ist i. d. R. 0

weiß nich was das heissen soll ^^

Die Group-ID der Gruppe root bzw. wheel ist in der Regel 0 - das war eine Orientierungshilfe für /etc/group.

[seb]

job habs hinbekommen... denk ich ^^

wenn man jetzt unterm SSH als benutzername "root" eingibt un dann ein passwort, egal obs stimmt oder nicht, schliesst es sich gleich...

beim putty zumindest ^^

und beim WinSCP 3 kommt error das es nich erlaubt is..

dankeschööön