Hi,
ich lege schön brav für jedes Programm, dass läuft, immer einen neuen SSH User an, damit möglichst wenig als root läuft.
Nun ist es aber soo, dass man mit der Zeit sehr viele ssh User hat, mit denen man sich bei allen einloggen könnte.
Dann ist mir folgende Idee gekommen:
Ich richte einen User ein, installiere alles, was ich brauch, starte den Prozess, der für diesen User laufen soll, und, nachdem alles läuft, mach ich per root usermod -s /bin/false user, die Prozesse laufen weiter, einloggen als dieser User ist aber nicht mehr möglich.
Ich wollte euch einfach mal fragen, was ihr von dieser Idee haltet. Erfolgreich getestet habe ich das ganze bisher mit hlds und psybnc.
Muss man den Prozess manuell restarten, muss man natürlich erst ein usermod -s /bin/bash user machen, aber ist ja nicht so der Aufwand...
ssh und security...
-
drsnuggles
- Posts: 9
- Joined: 2002-11-04 20:52
Re: ssh und security...
die shell auf /bin/false setzen is schon eine gute idee,allerdings musste sie spaeter nicht wieder zuruecksetzen,um programme starten zu wollen :) dann reicht naemlich lediglich ein
"su -l <benutzer> -s /bin/bash"
und du hast deine ganz normale shell
"su -l <benutzer> -s /bin/bash"
und du hast deine ganz normale shell
Re: ssh und security...
cool, noch besser...
dh, wenn man den root Login verbietet, und bei den Usern, die Prozesse haben, /bin/false macht, dann kann man das Login tatsächlich auf einen ganz normalen User beschränken, und wenn man dort noch einen ausgefallenen nimmt, dann ist das ganze doch sehr sehr sicher...
WIe ist das eigentlich mit den Usern mysql, www-data usw ?
Von denen kenn ich ja gar kein Passswort, aber mit su www-data kann ich mich zum www-data machen...
dh, wenn man den root Login verbietet, und bei den Usern, die Prozesse haben, /bin/false macht, dann kann man das Login tatsächlich auf einen ganz normalen User beschränken, und wenn man dort noch einen ausgefallenen nimmt, dann ist das ganze doch sehr sehr sicher...
WIe ist das eigentlich mit den Usern mysql, www-data usw ?
Von denen kenn ich ja gar kein Passswort, aber mit su www-data kann ich mich zum www-data machen...
Re: ssh und security...
ich würde nicht nur die Shell af /bin/false setzen, sondern auch - wie bei den anderen Systembenutzern - das Passwortfeld in /etc/passwd (bzw. /etc/shadow) durch "*" ersetzen. Sonst könnte es vorkommen, dass man sich mit ftp einloggen kann (oder nicht? aber trotzdem besser!)
Re: ssh und security...
nein, wenn /bin/false nicht als gültige Shell in /etc/shells steht, kann ein User mit /bin/false gar nix.
Aber theoretisch hast du recht, wenn man sich 100 % aicher sein will, dann könnte man das PW Feld noch durch * ersetzen, denke aber, dass das keine zusätzliche Sicherheit bringt, aber ihr könnt mich gerne eines besseren belehren :D
Aber theoretisch hast du recht, wenn man sich 100 % aicher sein will, dann könnte man das PW Feld noch durch * ersetzen, denke aber, dass das keine zusätzliche Sicherheit bringt, aber ihr könnt mich gerne eines besseren belehren :D