Problem mit Proftpd SSH absicherung

ricardo · 28. Mai 2021

Hab meinen Root nach diesen angaben abgesichert (mit), aber das problem was nun existiert (habs erstmal rückgängig gemacht) das TekBase nicht mehr via SSH auf den Root zugreifen kann und somit nichts mehr steuern lässt.

Was kann ich dagegen tun um dennoch die höchste Sicherheit zu gewährleisten?

Zitat von CFrankenstein
SFTP ist klar da musst du SSH komplett für alle anderen User außer root und user-webi sperren siehe

5. SSH Zugang

Wir empfehlen Ihnen zu Absicherung Ihres Server den direkten root Zugriff zu sperren. Dazu müssen Sie sich vorher einen extra User anlegen. Dieser kann dann mittels su zum root Account wechseln. In unserem Beispiel verwenden wir den Usernamen user-webi, welcher auch durch unsere Installskript bereits auf den zu verwaltenden Rootservern angelegt wurde. Zusätzlich werden wir in diesem Beispiel den SSH Port auf 59 setzen. Öffnen Sie dazu bitte die /etc/ssh/sshd_config mit einem Editor Ihrer Wahl und ändern bzw. fügen Sie die folgenden Zeilen hinzu.
Code
Port 59
PermitRootLogin no
PermitEmptyPasswords no
AllowUsers user-webi
Anschließend müssen Sie noch den SSH Daemon mit dem nachstehendem Befehl neustarten und testen, ob Sie sich mit dem user-webi einloggen können. Idealerweise sollten Sie Ihr jetziges Fenster nicht schließen, damit Sie im Notfall die Einstellungen wieder zurücksetzen können.
Code
/etc/init.d/ssh restart
Bei der proftpd.conf bitte noch in den letzten beiden Zeilen mit Auth.... ein # davor bei der AuthOrder das mod_auth_file.c löschen danach:
Code
service xinetd restart
Alles anzeigen

CFrankenstein · 1. Juni 2021

Leider erst jetzt die Antwort. Ganz dumme Frage: Wurde daran gedacht bei der Verbindung z.b. via Putty den neuen SSH Port anzugeben und das root als Login nicht mehr geht, sondern nur noch user-webi?

ricardo · 2. Juni 2021

ja klar, über putty etc. kann ich mich auch einloggen, das problem ist TekBase, da man dort kein PW angeben kann für den SSH Zugang

CFrankenstein · 2. Juni 2021

Bei Server Module - Rootserver kann doch ein Passwort für den Root vergeben werden

ricardo · 2. Juni 2021

Zitat von CFrankenstein

Bei Server Module - Rootserver kann doch ein Passwort für den Root vergeben werden

äh...nö oder meinst du das Daemon Passwort?, weil hab ja per SSH und den Daemon nicht an

CFrankenstein · 2. Juni 2021

Ach stimmt geht ja über SSH Keys. erstell für user-webi SSH Keys und hinterleg diese.

ricardo · 3. Juni 2021

hab ich versucht, nach dieser anleitung: https://support.teklab.de/rootserver_installation#zjhx2q Punkt 2

Server ist dennoch via SSH nicht erreichbar

den command: ssh user-webi@ihre_webserverip musste ich statt user-webi@ mit root@ ausführen, da auf dem webserver (seperater Server) der user-webi nicht existiert

gamerzhost.de · 3. Juni 2021

Zitat

den command: ssh user-webi@ihre_webserverip musste ich statt user-webi@ mit root@ ausführen, da auf dem webserver (seperater Server) der user-webi nicht existiert

das hat nichts mit dem nichtvorhandenen User zu tun.

Zur Absicherung kannst Du auch noch in der SSHD Config auf den Systemen diverse IP Einscränkungen machen

Code

UsePAM yes
AllowUsers root@webserverip user-webi@webserverip root@vpnip usw ............

Problem mit Proftpd SSH absicherung

Zum Hilfreichsten Beitrag springen

Teilen