Hallo,

ich habe zwar schon länger verschiedene Root-Server gehabt aber mich nie so wirklich um Sicherheit und Co. gekümmert. Hört sich komisch an, is aber so. Nach einem Zwischenfall

http://forum.ubuntuusers.de/topic/ssh-zugriff-ploetzlich-nicht-mehr-moeglich/#post-4335872

muss ich nun etwas umdenken. Habe mich viel belesen um meinem Server etwas mehr Sicherheit zu bieten. Die GUI verwende ich nun nicht mehr, meinen SSH-Port habe ich geändert, Versionsnummern werden nicht mehr angezeigt und der vorerst letzte Schritt soll das deaktivieren des Root-Users sein.

Dazu habe ich nun 1-2 Frage.

Ich habe mir nun einen neuen User angelegt und diesen der Gruppe sudo und adm zugewiesen. Mit diesem User möchte ich nun also mein System verwalten. Die Frage ist ob ich dem User nun auch noch www-data zuweisen sollte um halt auch die Websites zu verwalten oder ob ich dafür einen eigenständigen User anlegen sollte der lediglich zur Gruppe www-data gehört?

Mein www-Verzeichnis würde ich dann auf 750 setzen also ich darf alles und die Gruppe www-data darf ausführen und lesen. Sollte doch was die Sicherheit angeht soweit OK sein oder?

Reicht es in hinsicht auf die Sicherheit eigentlich in der sshd_config PermitRootLogin no zu setzen um den Root zu "deaktivieren" oder sollte man das vielleicht doch etwas anderes angehen?

Bin jetzt nicht so fit in dem Bereich aber habe den Ehrgeiz daran etwas zu ändern. Darum wären sinnvolle Informationen sehr nett.

Vielen Dank !!

Filter-0815 schrieb:

ich habe zwar schon länger verschiedene Root-Server gehabt aber mich nie so wirklich um Sicherheit und Co. gekümmert.

Ist natürliche eine tolle Voraussetzung, um einen Root-Server zu betreiben...

Mit diesem User möchte ich nun also mein System verwalten. Die Frage ist ob ich dem User nun auch noch www-data zuweisen sollte um halt auch die Websites zu verwalten oder ob ich dafür einen eigenständigen User anlegen sollte der lediglich zur Gruppe www-data gehört?

Das ist deine Entscheidung.

Recht es in hinsicht auf die Sicherheit eigentlich in der sshd_config PermitRootLogin no zu setzen um den Root zu "deaktivieren" oder sollte man das vielleicht doch etwas anderes angehen?

sudo passwd -l

und du sperrst den Root-Account komplett.

Außerdem solltest du möglichst nicht per Passwort, sondern per Key zugreifen.

Danke für die fixe Antwort. Und sorry wegen dem falschen Forum.

Die Frage ist ob ich den Root wirklich komplett sperren will. Hab z.B. eben die Standardgruppe meines neuen Users auf www-data geändert damit meine Daten beim hochladen unter der Gruppe www-data ankommen und nicht als Sudo. Dann sagte mir mein liebes System, dass ich nicht als Sudo eingetragen wäre. Musste dann also per Root erst wieder meinem neuen User die Standardgruppe Sudo zuweisen. Ohne Root hätte ich dann sicher ein Problem gehabt.

Ist es eigentlich wichtig als welcher User ich z.B. den Apache-Server, PHP, SQL oder phpMyAdmin installiere? Kann oder muss ich sogar alles unter dem neuen User installieren wenn ich ganz auf Root verzichten will?

Die PWs gegen Keys zu tauschen wäre eh der nächste Schritt gewesen. Netter Link!

Gruß

filter

EDIT: Habe gerade ein kleines Problem. Meine phpMyAdmin habe ich ja mit einem htaccess gesichert was auch ohne Probleme funktionierte. Nach ein paar Rechteeinstellungen des www-Verzeichnis bekomme ich immer einern Fehler. Die htaccess-Abfrage kommt und nach eingabe der richtigen Daten kommt

Internal Server Error

The server encountered an internal error or misconfiguration and was unable to complete your request.

Please contact the server administrator, webmaster@localhost and inform them of the time the error occurred, and anything you might have done that may have caused the error.

More information about this error may be available in the server error log.

Die Logs sagen

May 21 13:46:08 meinservername kernel: grsec: From meineserverip: denied hardlink of /usr/share/phpmyadmin/.htaccess (owned by 0.0) to /usr/share/phpmyadmin/.htacces for /usr/lib/openssh/sftp-server[sftp-server:20771] uid/euid:1000/1000 gid/egid:33/33, parent /usr/sbin/sshd[sshd:20770] uid/euid:1000/1000 gid/egid:33/33

Wer ne Idee? Wenn ich nun die .htaccess umbenenne oder lösche kommt ganz normal die phpMyAdmin Anmeldung und funzt auch ohne Probleme. Hab an den Rechten des www-Verzeichnisses etwas geändert und einen neuen User angelegt. Mehr nicht. Root-User ist noch aktiv!

Filter-0815 schrieb:

Die Frage ist ob ich den Root wirklich komplett sperren will.

Warum nicht?

Hab z.B. eben die Standardgruppe meines neuen Users auf www-data geändert damit meine Daten beim hochladen unter der Gruppe www-data ankommen und nicht als Sudo.

Okay, du hast nicht mal die Grundlagen verstanden. Schlechte Voraussetzungen, um einen Server zu betreiben.

sudo

Dann sagte mir mein liebes System, dass ich nicht als Sudo eingetragen wäre. Musste dann also per Root erst wieder meinem neuen User die Standardgruppe Sudo zuweisen.

Das muss man natürlich machen, bevor man Root deaktiviert. Außerdem sollte man wissen, wie man visudo benutzt.

Ist es eigentlich wichtig als welcher User ich z.B. den Apache-Server, PHP, SQL oder phpMyAdmin installiere?

Nein. Wie gesagt, dir mangelt es an den einfachsten Grundlagen. Du solltest keinen Server betreiben. Erstrecht keinen mit PHP.

Kann oder muss ich sogar alles unter dem neuen User installieren wenn ich ganz auf Root verzichten will?

Siehe letzte Zeile.

EDIT: Habe gerade ein kleines Problem.

Hat mit diesem Thread nichts zu tun.

Richtig fragen

Gehört in einen separaten Thread.

OK. Danke für die Infos. Nett von dir.

Ich gebe ja zu, dass es mir sicher an etwas bzw. viel Wissen diesbezüglich mangelt aber es deswegen gleich zu lassen ist nicht so mein Ding. Man wächst ja bekanntlich mit seinen Aufgaben.

Ich denke schon, dass ich sudo zumindest etwas verstanden habe (habe den Link schon gelesen). Dachte eben, dass die Gruppen die ich einem User zuweise gleichberechtigt behandelt werden. Mein User war ja nicht nur www-data sonder zudem auch sudo. Naja.

Werde meinen Server nun neu installieren und mit einem "Sys-User" der Gruppe sudo alles was mir wichtig ist installieren. Zudem werde ich einen "Web-User" der Gruppe www-data zuweisen und damit die Websites verwalten. Gibt es eigentlich die Möglichkeit per FileZilla oder WinSCP als "Nichtroot" also via sudo zu arbeiten? So das ich auch über diese Software Systemdatein anpassen kann und dies nicht zwingent per Terminal machen muss.

Mir ist klar, dass fitte Leute von euch denken was ich für n Eierkopf bin und mir ma lieber n nettes Share-Hosting buchen sollte. Finde es trotzdem oder gerade deswegen aber auch sehr nett, dass ihr mir helft.

Vielen Dank !!

Filter-0815 schrieb:

Man wächst ja bekanntlich mit seinen Aufgaben.

Ja. Deshalb testet man sowas ausführlich in einer VM oder im Heimnetzwerk, bevor man sich an einen richtigen Server macht.

Dachte eben, dass die Gruppen die ich einem User zuweise gleichberechtigt behandelt werden. Mein User war ja nicht nur www-data sonder zudem auch sudo.

*seufz* Auch das zeigt, dass du nicht die Grundlagen der Rechteverwaltung und von sudo verstanden hast. Ein User in der Gruppe sudo hat natürlich nicht immer Rootrechte, nur weil er in dieser Gruppe ist. Er darf aber sudo nutzen.

Gibt es eigentlich die Möglichkeit per FileZilla oder WinSCP als "Nichtroot" also via sudo zu arbeiten?

Keine, die mir bekannt ist. Könnte auch daran liegen, dass ich beide Programme für recht sinnfrei halte. Ich wüsste auch nicht, wofür dies notwendig sein sollte.

So das ich auch über diese Software Systemdatein anpassen kann und dies nicht zwingent per Terminal machen muss.

Wo jetzt der Unterschied ist, ob man dafür einen CLI-Editor oder einen GUI-Editor benutzt ist mir auch etwas schleierhaft.

Naja. Ob nu im Heimnetz oder auf nem Server ist doch denke ich egal solange keine essentiellen Daten drauf sind und das Teil nicht 100,- Euro im Monat kostet. FileZilla und Co. lassen mich halt einfach mein Notepad++ verwenden was zumindest für meine Begriffe bzw. noch deutlich komfortabler ist. Wie es scheint kommt man ja um einen CLI-Editor nicht so wirklich rum. Ist ja auch ok.

Auch wenn du zu einer meiner Fragen aus Thread 1 schon geantwortet hattest noch mal etwas genauer gefragt. Wenn ich per PermitRootLogin no dem root den Zugriff per SSH verbieten würde und diesen aber per SFTP weiter nutzen möchte würde mir das etwas bringen oder würdest du dann denken, dass ich geistig etwas neben der Spur bin? Was du ja vielleicht eh schon die ganze Zeit denkst .

Sicher ist es besser ihn ganz zu deaktivieren aber angenommen ich wollte es so. Wäre es besser als auf beiden Wegen den root-User zu verwenden oder nimmt sich das nichts?

Sry, dass ich zum Ende die vielleicht dümmste Frage stellen musste aber interessiert mich halt da ich diesbezüglich etwas in einem andere Forum gelesen habe.

Nochmal danke für deine Zeit. Sehr nett!!

Filter-0815 schrieb:

Naja. Ob nu im Heimnetz oder auf nem Server ist doch denke ich egal solange keine essentiellen Daten drauf sind und das Teil nicht 100,- Euro im Monat kostet.

Nein. Völlig falsch. In deinem Heimnetz bist du nicht mit mehreren MB/s ans Netz angeschlossen. Von deinem Heimnetz aus ist es nicht halbwegs so interessant, dein System zu kapern und als Spamschleuder und/oder für ein Bot-Netzwerk zu verwenden.

Auch wenn du zu einer meiner Fragen aus Thread 1 schon geantwortet hattest noch mal etwas genauer gefragt. Wenn ich per PermitRootLogin no dem root den Zugriff per SSH verbieten würde und diesen aber per SFTP weiter nutzen möchte würde mir das etwas bringen oder würdest du dann denken, dass ich geistig etwas neben der Spur bin?

Mags du dir mal anlesen, wofür das S in SFTP steht?

SSH_File_Transfer_Protocol

Sicher ist es besser ihn ganz zu deaktivieren aber angenommen ich wollte es so. Wäre es besser als auf beiden Wegen den root-User zu verwenden oder nimmt sich das nichts?

Solange der Root-User aktiv ist und man sich per Passwort einloggen kann ist das immer ein potentielles Risiko.

OK OK ... verstanden . Wenn ich nun nicht auf den Komfort meiner Programme (FileZilla etc..) verzichten will, wäre dann vielleicht die Verwendung von SSH-Keys ein guter Mittelweg zwischen Sicherheit und Usability?

Oi, tomtomtom jetzt weißt du wie es mir immer geht wenn ich mich durch die Mail-Server-Threads wühle

Wo ist dein Problem. FileZilla funktiniert auch tadellos mit SSH-Keys anstatt Passwort.....

Wobei ich bezweilfe das ein Server für dich das richtige ist.

Ich sage doch nichts gegen FileZilla in Kombination mit SSH-Keys. Meine Frage bezog sich mehr auf die Situation wenn ich root bleiben möchte um eben Programme wie FileZilla zu nutzen da ich diese ja nicht per bzw. mit sudo verwenden kann. Wollte also wissen ob es OK ist den root-User zu verwenden wenn man eben kein PW sondern Keys nutzt und den Rootlogin dann per PW deaktiviert. Habe das mit den Keys auch gerade hinbekommen. Putty und FileZilla laufen nun per Key. Gestern hatte ich diesbezüglich noch ein fettes Fragezeichenim Gesicht. Wieder was gelernt. Bekommt man schon alles hin. Gerade wenn man nette Menschen hat die einem etwas helfen. Dafür sind Foren doch da. Wenn schon alle alles wüssten wäre in Foren wie diesem siche nicht viel los.

Du scheinst FileZilla ja auch per Key zu nutzen. Geht das nur per Pageant?

Danke und Gruß

filter

Ja, geht nur per Pageant, da FileZilla sonst nicht an den Key rankommt...

Naja. Hatte mcih nur gewundert, dass es da nichts in FileZilla integriertes gibt. Is ja aber auch nicht so das Problem mit Pageant.

Server steht nun und eingerichtet ist auch alles.

- Putty und FileZilla laufen jetzt zwar noch über den root-User aber per SSH-Key

- root-Login per Passwort ist deaktiviert (habe mir zur Sicherheit noch einen sudo angelegt)

- phpMyAdmin is per .htaccess geschützt

- Apache und PHP zeigen keine Versionsnummern

- SSH-Port ist geändert

- updates werden gemacht

Eine letzte Frage zum zur Sicherheit angelegten sudo-User. Ich habe jetzt ja nur dem root den Zugriff per Passwort verboten (PermitRootLogin without-password). PasswordAuthentication steht ja noch auf yes wegen dem sudo-User. Der sudo-User hat ja ein eigenen Username und Passwort. Somit ok oder sollte ich den Passwortlogin unbedingt 100% verbieten?

Natürlich sollte das mit den Keys ja immer und ohne Probleme funktionieren wie es ja gerade auch der Fall ist aber irgendwie möchte ich jetzt doch noch ein kleines Hintertürchen für mich haben. Werde es denke ich eh ganz verbieten in den nächsten Tagen aber nur mal interessehalber die Frage.

Bitte tadelt mich nicht gleich wieder .

Danke

Passwortlogin generell verbieten!