Sicher ist Sicher

Eigentlich sollte es Standard sein. Aber eigentlich gibt es das Wort eigentlich nicht.

Worum es mir bei diesem Beitrag geht, ist folgendes. Man soll einen root Server übernehmen aus welchen Gründen auch immer. Kurze Mail-Korrespondenz:

IS: schickst mir noch schnell die Zugangsdaten und Status?
AW: Version glaube Debian Lenny. Der läuft seit X Jahren stabil.
IS: SSH Zugang?
AW: Benutzer root ip xx.xx.xx.xx Passwort server32007

Was mich jetzt schon stört ist:

  • Das Wort glaube (Passt in die Kirche aber nicht auf einen Server)
  • Das Passwort …  (selbst Standard pwgen -s gibt sicherere Passwörter aus)
  • Port?? … Standard

Also legen wir los und verbinden uns mit dem Server.

Als nächstes ein Update und wenn es sein muss ein Upgrade. Ich habe Glück und es reicht ein update. (Ich habe natürlich vorher alle Abhängigkeiten, laufende Dienste, Anwendungen und die Logs begutachtet! Dies lasse ich bei diesem Beitrag einmal außer acht!) Es geht schlicht und einfach um eine Server Grundsicherung!

Nach einem Kaffee (2 Etagen höher) und einer Zigarette (4 Etagen tiefer) ist auch dieses Update durch. Wahnsinn. Ich starte einen Linux Server neu. Vorher noch kurz einen Blick auf die Uptime

Und einen Jahreswert in den „Highlightkalender“ einpflegen. Danach Grundlagen schaffen ;)
Netzzeit kannte der Server auch noch nicht.

Einen Benutzer anlegen der Standard keine root Rechte hat

Danach das ganze Prozedere wie Name, Telefonnummer und Passwort. Zum Thema Passwort, dass Tool pwgen ist super falls einem die Ideen ausgehen. Sichere Zufallspasswörter lassen sich schon mit

erstellen. Wer Paranoia hat kann auch den Schalter -y verwenden

Die Zahl am Ende gibt die Anzahl der Zeichen an. Genaueres bringt pwgen –help oder man pwgen zu Tage.
Jetzt verpassen wir dem neuen Benutzer einen „sudo“ Zugang.

Und fügen folgende markierte Zeile ein

Somit hat der Benutzer benutzername nach einem sudo alle Rechte die root auch hat. Wer mehr über sudoers erfahren möchte, man sudo schafft Abhilfe :)

WICHTIG
Als nächstes teste ich auf einer anderen Konsole von meinem Client aus die Verbindung mit dem neuen Benutzer und das sudo! Erst DANACH stelle ich die sshd_config um! Nicht das man sich komplett vom Server aussperrt !!!
WICHTIG

Als nächstes nehme ich mir die sshd_config vor.

Darin passe ich folgende stellen an

Und ändere diese in

Damit habe ich den SSH Port vom Standard 22 entfernt und root das komplette anmelden (direkt) am Server via SSH untersagt. Daran denken, DYNAMIC PORTS verwenden!

Jetzt noch ein Neustart des Dienstes

Und der Server ist ein wenig sichererer. Ab diesem Zeitpunkt erreicht man den Server mittels

Versucht man sich mit dem Benutzer root direkt anzumelden erscheint
Permission denied, please try again.
oder
ssh: connect to host xx.xx.xx.xx port 22: Connection refused
Je nach dem ob man ein Port angegeben hatte oder nicht.

WICHTIG
Als nächstes teste ich auf einer anderen Konsole von meinem Client aus die Verbindung mit dem neuen Port und neuen Benutzer und das sudo! Erst DANACH logge ich mich mit dem root Benutzer aus! Nicht das man sich erneut komplett vom Server aussperrt !!!
WICHTIG

 

One thought on “Sicher ist Sicher

  1. Pingback: Alzheimer Passwort | Linux Welten

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.