Hallo,
wie sicher haltet Ihr den root login per Passwort über SSH wenn:
das Passwort 20-stellig ist
Fail2ban mit 5 Versuchen eingestellt ist (Sperre 10 Minuten)
der Port umgestellt wurde
Da kann doch eigentlich nichts passieren oder?
Anmeldungsdatum: Beiträge: 133 |
Hallo, wie sicher haltet Ihr den root login per Passwort über SSH wenn:
Da kann doch eigentlich nichts passieren oder? |
Anmeldungsdatum: Beiträge: 13931 |
|
(Themenstarter)
Anmeldungsdatum: Beiträge: 133 |
Es gibt ein paar Leute die Zur Not auch darauf zugreifen müssen (über Internet), deshalb per Passwort. |
Supporter, Wikiteam
Anmeldungsdatum: Beiträge: 17651 Wohnort: in deinem Browser, hier auf dem Bildschirm |
Ich würde den Zugang nur über IPv6 ermöglichen und auf eine 2. IP legen, die nicht für die anderen Serverdienste genutzt wird. Dann sind fremde Login-Versuche praktisch nicht mehr vorhanden. Zudem könntest du nur noch public-Key-Authentifizierung erlauben, dann darf man aber seinen Schlüssel nicht verlieren. |
Anmeldungsdatum: Beiträge: 13931 |
|
Anmeldungsdatum: Beiträge: 7657 |
Ein richtig gutes Passwort kann man nicht erraten. Soweit ist das sicher Aber Passwort einmal abschauen und jeder kommt drauf. Den Key musst du wenigstens kopieren. Der umgestellte Port schützt dich vor so was nicht, der filtert allenfalls nur das allgemeine Hintergrundrauschen raus. Wenn alle das gleiche Passwort haben, dann weisst du auch nicht, wer sich da eingeloggt hat oder wer das Passwort weitergegeben hat. Bei einem Key kann jeder seinen eigenen bekommen und du kannst dann auch einzelne Keys bei Verlust & Co. sperren. Daß jeder seinen eigenen Benutzer haben soll und dann nur bestimmte Root-Aktionen per sudo ausführen kann, geht auch in diese Richtung aus den gleichen Gründen. |
Ehemaliger
Anmeldungsdatum: Beiträge: 17447 |
Passwort beim root Account mit SSH: Dumme Idee, mach das nicht. Im Zweifel besser wenn ein normaler User ein Password hat, und nur per su (nicht sudo) mit extra Passwort zu root werden kann. Das reicht als Fallback mehr als genug. |
(Themenstarter)
Anmeldungsdatum: Beiträge: 133 |
Warum würdest du davon abraten? Also wo wäre deiner Ansicht nach das Einfallstor? |
Supporter, Wikiteam
Anmeldungsdatum: Beiträge: 17651 Wohnort: in deinem Browser, hier auf dem Bildschirm |
Weil es auf den root-Account mehr Angriffe gibt. |
Anmeldungsdatum: Beiträge: 47 |
Was würde ich machen:
|
Ehemaliger
Anmeldungsdatum: Beiträge: 17447 |
Linux Systeme auf denen es einen User mit dem Namen "root" gibt: 100% Linux Systeme auf denen es einen User mit dem Namen "unwichtig1" gibt: <0.1% Den Namen vom Admin zu ändern, oder aber ein direktes Remote Login zu unterbinden gilt als Best Practice im Bereich Information Security. |
Supporter, Wikiteam
Anmeldungsdatum: Beiträge: 17651 Wohnort: in deinem Browser, hier auf dem Bildschirm |
Dann hat sich aber nichts an meiner Aussage geändert: Man will vermeiden, dass dem Angreifer gleich ein passender Benutzername bekannt ist. |