Page 1 of 1
support hat root zugriff auf rootserver?
Posted: 2006-10-09 18:39
by Anonymous
hallo zusammen. ich habe einen rootserver bei keyweb und musste heute etwas seltsames feststellen:
hatte das ein oder andere problem mit dem server und habe einen fehler an den support gemeldet.
als ich mich später auf dem server einloggte habe ich gesehen dass sich jemand von keyweb auf den server als root eingeloggt hatte. meine frage: können sie das einfach so? sprich ohne das sie mein root passwort haben?
mfg der pils
Re: support hat root zugriff auf rootserver?
Posted: 2006-10-09 18:41
by blnsnoopy26
Wenn du noch das Standard PW was du bekommen hast benutzen, dann ja oder 2. Möglichkeit über ne Remote Konsole bei denen.
Re: support hat root zugriff auf rootserver?
Posted: 2006-10-09 18:54
by Anonymous
sprich der support kann bei sich einfach ne konsole mit root rechten auf meinen server aufmachen? gut zu wissen
Re: support hat root zugriff auf rootserver?
Posted: 2006-10-09 19:01
by cat
schau mal nach, ob Dein Provider nen Key fuers root login bei Dir hinterlegt hat.
Dann schau bitte nach, ob es einen weiteren User mit root Rechten gibt (UID 0)
nachsehen, ob NIS(+) oder aehnliches abgefragt wird ...
und ansonsten, wenn Du da was gefunden hast, entfernen!
dann _duerfen_ sie nicht mehr auf Deine Maschine. Da obiges eventuell nach der Basis Installation schon vorhanden war, durften die es, ebenso, wenn Du anderweitgigen Zugang offen hast. Mal eben Zugang verschaffen, dagegen nicht
greetz
Cat
Re: support hat root zugriff auf rootserver?
Posted: 2006-10-09 19:49
by Anonymous
jo vielen dank für die verdammt schnelle antwort. habe tatsächlich 3 root keys im ssh-authorized gefunden...
ne andere frage: darf ich die dinger wirklich löschen?
mfg der pils
Re: support hat root zugriff auf rootserver?
Posted: 2006-10-09 19:50
by timeless2
Schau am besten mal in deinen Vertrag, ob du da was findest. Wenn Sie standardmäßig so einen Zugang einrichten, sollte darüber was erwähnt sein.
Re: support hat root zugriff auf rootserver?
Posted: 2006-10-09 20:12
by Joe User
Es gab/gibt Anbieter die solche Dinge in ihren AGB stehen hatten/haben...
Re: support hat root zugriff auf rootserver?
Posted: 2006-10-12 02:44
by lucki2
agb ... datenschutz .... phuuuhh.
Wenn ich am Server etwas bastel dann reicht es, wenn ich einen Auftrag habe und muß das Passwort aber danach wieder "vergessen". Da hätte ich Angst davor ohne Auftrag an einem Server was zu machen.
Bei Fernwartung haben die Firstlevels die gesetzliche Auflage immer die Erlaubnis der User einzuholen. Das muß explizit sein. Das heißt beim Kunden anrufen, Bescheid sagen, bitten Dokumente zu schließen, und dann Kontrolle nur solange übernehmen, solange der User am Telefon ist, danach sofort abbrechen. Ich muß auch sagen, das hat seine Berechtigung - ich will das auch nicht, daß mir jemand beim Mail schreiben zu sieht.
Ich meine, die Frage ist nicht, ob die da drauf gehen, sondern, ob die das ohne Dein Wissen tun(und Du das wegen AGB zulassen mußt - bezweifel ich ganz stark).
Da würden mich auch Erfahrungen interessieren - wenn es so was gibt.
Re: support hat root zugriff auf rootserver?
Posted: 2006-10-20 15:16
by nn4l
man kann den Key zwar löschen, nach 24 Std. ist er aber wieder da (war bei mir zumindest so). Vermutlich wird der Key automatisch von den cron-jobs installiert, die zum Web-Interface gehören.
Im Grunde ist es auch egal. Wenn jemand vom Rechenzentrum auf den Server will, kann er das in jedem Fall tun - notfalls bootet er ihn über's Netz.
Re: support hat root zugriff auf rootserver?
Posted: 2006-10-20 16:11
by lucki2
Also mein Lieber hier irren sie sich aber ganz gewaltig. So etwas kann extrem teuer werden.
Erkundigen Sie sich über "Nicht Listenmäßig erfaßte Persönliche Daten" u/o "besonders schützenswerte Persönliche Daten" ... Es ist hier schon die Frage ob AGB eine explizite Einverständniserklärung darstellen oder nicht ... ich bezweifle das.
Re: support hat root zugriff auf rootserver?
Posted: 2006-10-20 17:57
by Joe User
AGB sind bindende Vertragsbestandteile und vor Vertragsabschluss zu lesen/verstehen/prüfen...
Re: support hat root zugriff auf rootserver?
Posted: 2006-10-20 19:17
by lucki2
Schon, schon ... bei Datenschutz ist explizit gefordert. Was das heiß wurde gerade erst wieder in einem Urteil gezeigt. Handyanbieter hatten in dem Vertrag eine Klausel, nach der sie pauschal Daten verwenden dürfen: ungültig weil nicht explizit und in dem Falle auch noch weil ein gewisser Zwang ausgeübt wird wenn der Vertrag daran gekoppelt ist.
Das Datenschutzteil ist nicht ohne - vorallem weil es auch noch dauernd geändert wird.
Ich habs BDSG auch noch rausgesuch(aber IANAL):
§ 4a Einwilligung
(1) Die Einwilligung des Betroffenen ist nur wirksam, wenn sie auf dessen freier Entscheidung beruht. Er ist auf den vorgesehenen Zweck der Erhebung, Verarbeitung oder Nutzung sowie, soweit nach den Umständen des Einzelfalles erforderlich oder auf Verlangen, auf die Folgen der Verweigerung der Einwilligung hinzuweisen. Die Einwilligung bedarf der Schriftform, soweit nicht wegen besonderer Umstände eine andere Form angemessen ist. Soll die Einwilligung zusammen mit anderen Erklärungen schriftlich erteilt werden, ist sie besonders hervorzuheben.
(2) Im Bereich der wissenschaftlichen Forschung liegt ein besonderer Umstand im Sinne von Absatz 1 Satz 3 auch dann vor, wenn durch die Schriftform der bestimmte Forschungszweck erheblich beeinträchtigt würde. In diesem Fall sind der Hinweis nach Absatz 1 Satz 2 und die Gründe, aus denen sich die erhebliche Beeinträchtigung des bestimmten Forschungszwecks ergibt, schriftlich festzuhalten.
(3) Soweit besondere Arten personenbezogener Daten (§ 3 Abs. 9) erhoben, verarbeitet oder genutzt werden, muss sich die Einwilligung darüber hinaus ausdrücklich auf diese Daten beziehen.
Re: support hat root zugriff auf rootserver?
Posted: 2006-10-20 19:20
by Joe User
Login via SSH-Key fällt nicht unter Datenschutz...
Re: support hat root zugriff auf rootserver?
Posted: 2006-10-20 19:27
by lucki2
Interessant - Warum nicht?
Ich sage die Konsequenz: Du darfst keinen Shop auf so einen Server betreiben....
Re: support hat root zugriff auf rootserver?
Posted: 2006-10-20 19:34
by Joe User
Welche personenbezogene Daten werden denn beim Login via SSH verwertbar? Bedenke, dass es nur um den Loginvorgang geht...
Re: support hat root zugriff auf rootserver?
Posted: 2006-10-20 19:51
by lucki2
Mir geht es nun nicht nur um den Logingvorgang alleine sondern der Logingvorgang als Schlüssel um sich Zugang zu Daten ohne Einwilligung zu verschaffen.
[Damit wir uns nicht falsch verstehen: vielleicht hast Du recht - ich finde es höchst brisant wie das mit so was aussieht, weil da stehe ich mit einem Bein im Gefängnis ]