Gentoo Forums
Gentoo Forums
Gentoo Forums
Quick Search: in
Sicherheit: NonRootLogin SSH
View unanswered posts
View posts from last 24 hours
View posts from last 7 days

 
Reply to topic    Gentoo Forums Forum Index Deutsches Forum (German)
View previous topic :: View next topic  
Author Message
trickykannix
n00b
n00b


Joined: 19 Nov 2010
Posts: 21

PostPosted: Sat Nov 20, 2010 10:27 pm    Post subject: Sicherheit: NonRootLogin SSH Reply with quote

Hallo Zusammen,
Der Nutzer wurde hiernach (Threat - In diesem Forum: NonRootLogin SSH) der Gruppe wheel zugeordnet.
nach der schweren Geburt des NonRootLogin per ssh, frage ich mich wie es um weitere Sicherheitsmodifikationen bestellt ist.

Was der User dürfen darf(Rechtezuweisung):
---------------------------------------------------
Wie erteilt man dem Nutzer !ausschließlich! das Recht
1)sich in die shell einzuloggen und
2)sich als su anmelden zu dürfen.
D.h. der Nutzer soll nichts lesen oder schreiben können, auch nicht in andere Verzeichnisse wechseln, diese ansehen dürfen(cat, vi, ls, usw.) oder sonstiges(er soll einfach nur "da" sein, wie ein Baum :) )
-->kann es sein dass es "chmod 000 bzw. chmod u-rwx,g-rwx,o-rwx" ist?
NUR der su Befehl soll ausgeführt werden dürfen.
--------------------------------------------------
Der Nutzer wurde folgendermaßen erstellt:
useradd -m -G wheel -s /bin/bash user
passwd user

Fragen... über Fragen:
Kann man bedenkenlos den Nutzer dieser Gruppe wheel zuorden oder bestehen irgendwelche "versteckten" Risiken?
Wäre es vielleicht besser dem Nutzer eine eigene "wheel"-Gruppe für den Zugang zu erstellen/zuzuordnen?-> Wäre das ein Stück mehr Sicherheit, ein Stück weniger oder einfach irrelevant?

Gibt es eine "bessere" Lösung als die oben benannte Möglichkeit bezüglich der speziellen Wünsche zu erstellen?

Hatte es bereits so probiert:
--------------------------------------
usseradd user -p pw
mkdir /home/userdir
mkdir /home/userdir/.ssh
chown -R user /home/userdir
groupadd usergroup
usermod -G user usergroup (wäre usermod -U geeigneter?)
--------------------------------------
- hat aber so nicht funktioniert, kann es sein dass da noch was mit chmod gemacht werden müsste?


Im Falle den user tatsächlich nur auf diesem Weg "useradd -m -G wheel -s /bin/bash user" erstellen zu können;
kann der cgi-bin Ordner unter /home/user bedenkenlos gelöscht werden wenn der Zugriff über http, https, ftp, usw. ports unerwünscht ist? Bzw. was kann gelöscht werden? Bis auf .ssh alles, oder?
Es ist ausschliesslich der ssh Zugang mit diesem user wünschenswert(als Baum:)).


Mir fällt grad auf wievele Fragen das sind... tschuldigung. Wäre schön hierauf Antworten erhalte.


MfG
dennis

________________________________________
Optimismus ist Mangel an Information
Back to top
View user's profile Send private message
cryptosteve
Veteran
Veteran


Joined: 04 Jan 2004
Posts: 1169
Location: Buchholz/GER

PostPosted: Sun Nov 21, 2010 5:49 am    Post subject: Re: Sicherheit: NonRootLogin SSH Reply with quote

trickykannix wrote:
Kann man bedenkenlos den Nutzer dieser Gruppe wheel zuorden oder bestehen irgendwelche "versteckten" Risiken?

Es gibt keine versteckten Risiken. Systemkritische Dateien solltest Du vorher rechtzeitig für normale User unlesbar gemacht haben (derer gibt es nicht ganz so viele). Homeverzeichnisse kannst Du mit chmod 0700 für alle, ausser den User selbst sperren. Aber spätestens, wenn ein User zu root wechseln kann, ist das alles hinfällig.

Ansonsten dürfte es für User ziemlich langweilig sein, normale Konfigurationsdateien in /etc/ zu lesen. Bitte nenne doch mal Deine genaue Befürchtung oder Deine genaue Absicht, vielleicht kann Dir dann besser geholfen werden.

Vielleicht auch interessant: http://www.gentoo.de/doc/de/security/security-handbook.xml?part=1&chap=11
_________________
- born to create drama -
cryptosteve - gpg: 0x9B6C7E15
CS Virtual Travel Bug: VF6G5D
Back to top
View user's profile Send private message
trickykannix
n00b
n00b


Joined: 19 Nov 2010
Posts: 21

PostPosted: Sun Nov 21, 2010 2:06 pm    Post subject: Reply with quote

Ich möchte einfach nur den ssh Zugriff für Hacker erschweren. Sollte tatsächlich mal jemand unberechtigter Weise Zugriff erlangen soll es ihm so schwer wie "mir" möglich gemacht werden um weiter Einsicht ins Sytem und in die Ordner der anderen Nutzer mit diesem Nutzer zu erhalten.

Welches wären denn bsw. diese etwas "sensibleren" Dateien?


MfG
dennis
Back to top
View user's profile Send private message
STiGMaTa_ch
Veteran
Veteran


Joined: 28 Dec 2004
Posts: 1686
Location: Rüti ZH / Schweiz

PostPosted: Sun Nov 21, 2010 7:02 pm    Post subject: Re: Sicherheit: NonRootLogin SSH Reply with quote

Quote:
Wie erteilt man dem Nutzer !ausschließlich! das Recht
1)sich in die shell einzuloggen und
2)sich als su anmelden zu dürfen.
D.h. der Nutzer soll nichts lesen oder schreiben können, auch nicht in andere Verzeichnisse wechseln, diese ansehen dürfen(cat, vi, ls, usw.) oder sonstiges(er soll einfach nur "da" sein, wie ein Baum :) )
-->kann es sein dass es "chmod 000 bzw. chmod u-rwx,g-rwx,o-rwx" ist?
NUR der su Befehl soll ausgeführt werden dürfen.


Naja, da gibt es eigentlich nur zwei Möglichkeiten das zu tun.

1.) Du verwendest RBAC (Role Based Access Control). Unter Linux wären da die Stichworte wie SELinux und grsecurity zu nennen.

2.) Du lässt ssh in einer chroot Umgebung laufen und hast sonst keine weiteren Befehle drinn (ausser vielleicht ein ssh um aus der chroot raus ins "echte" System zu gelangen.

Lieber Gruss
STiGMaTa
_________________
Ich bin Schuldknappe. Das bedeutet ich bin immer an allem Schuld. Und das nicht zu knapp! | Der alltägliche Familienwahnsinn auf meinem BLOG
Back to top
View user's profile Send private message
trickykannix
n00b
n00b


Joined: 19 Nov 2010
Posts: 21

PostPosted: Mon Nov 22, 2010 3:17 pm    Post subject: Re: Sicherheit: NonRootLogin SSH Reply with quote

STiGMaTa_ch wrote:

1.) Du verwendest RBAC (Role Based Access Control). Unter Linux wären da die Stichworte wie SELinux und grsecurity zu nennen.

2.) Du lässt ssh in einer chroot Umgebung laufen und hast sonst keine weiteren Befehle drinn (ausser vielleicht ein ssh um aus der chroot raus ins "echte" System zu gelangen.


Danke für die "Mühe" der Links. Da ich an den Anfängen stehe fällt mir das schwer einzuschätzen was für mich besser ist. Welche der beiden Varianten wird die generell sicherere bzw. die empfehelenswertere Lösung sein?

Habe mir gerade nochmal chmod angeschaut:
und zwar soll sich der Nutzer, wie oben Beschriben,
1.in "/" einoggen können,
2.in KEIN anderes Verzeichnis wechseln, sich andere Ordner odeer Dateien(vi, cat, etc.) anschauen(ls, sonst.) oder gar irgendwas bearbeiten dürfen
2.NUR der su Befehl soll ausgeführt werden dürfen

Wäre hier,
chmod 0400 user /home/userdir
richtig?

Mir ist klar dass damit erstmal nur Schreiben und Lesen ausgegrenzt würde. Wenn ich das richtig verstanden habe sollten in diesem Fall sämtliche Befehle von dem Nutzer ausgeführt werden. Bitte, Bitte um Korrektur wenn falsch - hätte gerne Feedback.

Wie verbietet man dem Nutzer die Ausführung spezieller Befehle?
Back to top
View user's profile Send private message
Display posts from previous:   
Reply to topic    Gentoo Forums Forum Index Deutsches Forum (German) All times are GMT
Page 1 of 1

 
Jump to:  
You cannot post new topics in this forum
You cannot reply to topics in this forum
You cannot edit your posts in this forum
You cannot delete your posts in this forum
You cannot vote in polls in this forum