Virtual Server: Installation von ISPConfig - Seite 2

xm22 · 16.06.2010, 18:38

Zitat:

Und dem root den Zugang zu verwehren ist ebenso unsinnig.

sudo bzw. su

EDIT:

Zitat:

Hilfe ist also ganz stark erwünscht!

Das, was Du hier willst, ist doch sinnlos. Die Sicherheit kannst Du Dir nicht mit ein paar "Anleitungen" erkaufen. Wenn Du es nicht mal von selbst schaffst, den Root-User für ssh (nehme ich an) zu sperren, dann ist das - zumindest im Moment - das absolut falsche und gefährliche für Dich.

Manko10 · 16.06.2010, 18:44

sudo ja, su nein. Mit su nimmt man die Identität eines anderen Nutzers an, um administrative Aufgaben durchzuführen, also die des roots. Das ist ein anderes Prinzip als sudo.
Dennoch halte ich es für unsinnig, den root zu sperren. Es ist sinnvoll, in der Regel einen anderen Benutzer zu nutzen, aber eine Login-Sperre für root halte ich für nicht sinnvoll.

ragtek · 16.06.2010, 19:44

Zitat:

Zitat von Manko10

Und dem root den Zugang zu verwehren ist ebenso unsinnig. Der Zugang sollte durch starke Kennwörter oder vernünftige Zertifikate gut abgesichert werden, aber wie willst du den Server warten, wenn root keinen Zugang hat? Nur Benutzer der Gruppe root können Systemdienste starten und beenden, Systemdateien editieren usw.

Ähm, man kann dem Roor den Zugang verwehren und sich zB nur mit Manko10 und dem dazugehörigen Key einloggen.

Für 0815 arbeiten würde ich auch den Manko10 verwenden und für den Rest gibt es sudo bzw su.

My 0.02$

Manko10 · 16.06.2010, 22:57

Ja, das ist richtig und wie ich schon schrieb, ist es sinnvoll nicht mit dem root unterwegs zu sein. Ihn mit einer generellen Login-Sperre zu versehen, halte ich aber dennoch nicht (zumindest nicht in allen Situationen) für sinnvoll. Hat man Zugriff über das interne Netzwerk, sollte man ihn nach außen sperren, das ist klar. Hat man jedoch nur externen SSH-Zugriff, halte ich es für sinnvoller, den Login auf Keys zu beschränken anstatt ihn ganz zu unterbinden. Das mögen diverse Serveradministratoren anders sehen, aber meiner Meinung nach bringt ein generelles Login-Verbot nichts. Man stelle sich nur das Szenario vor, dass man den root per SSH sperrt und sich in Sicherheit wähnt, weil man nur einen anderen Account in Verbindung mit sudo nutzt. Wird jedoch dieser Account geknackt, stehen dennoch alle (und ich sage: alle) Türen offen. Ein schlichtes

Code:

$ sudo passwd root
$ su

und schon lässt sich wirklich jeder Unfug auf dem System anstellen. Deshalb halte ich ein Sperren des root-Logins für ein Placebo. Sinnvoller ist es, Key-Auth zu nutzen und SSH auf einen anderen Port zu legen.

xm22 · 17.06.2010, 09:11

Zitat:

Ihn mit einer generellen Login-Sperre zu versehen

Ich meinte das nur auf ssh bezogen.

Manko10 · 17.06.2010, 16:47

Ich auch.

Es ist für einen wheel-Nutzer auch keine Schwierigkeit, die /etc/ssh/sshd_config zu ändern. Allerdings ist das gar nicht nötig, wie du an meinem obigen Beispiel sehen kannst.
Aber dem root die Shell zu nehmen, um su zu verhindern bringt genauso wenig Sicherheit, wenn du die Möglichkeit hast, per sudo administrative Rechte zu erlangen, denn dann kannst du dem root auch einfach wieder eine Shell zuweisen.

SvenLittkowski · 18.06.2010, 03:29

So, wenn ich alle Postings hier lese, gibt es viele PROs und viele CONTRAs. Was sind denn nun aber die Dinge, die jemand wirklich am Server einstellen sollte, um Sicherheit zu haben auf dem System?

Für mich ist dies wirklich das erste Mal, daß ich mit so einer Umgebung arbeite, und ich will nicht irgendwelche "anderen" (Experten) damit beauftragen, sondern ich ziehe es vor, mich selbst daran zu setzen. Ich will diese Dinge erlernen. Deswegen frage ich Euch ja in diesem Forum. Wenn mich jemand fragt in den Gebieten, wo ich gar nicht mal so schlecht bin, gebe ich sehr gerne eine gute Hilfe, und erkläre auch.

Ich sehe hier Kommandos wie SU und SUDO, und werde im Internet danach recherchieren. Aber was mir und vielen tausend anderen fehlt, ist so etwas wie ein Mehrstufenplan, welche Dinge zuallererst gecheckt und gesichert wrrden müssen, und welche anderen Dinge danach. Auch Informationen, wie diese Dinge geändert werden können, würden mir und all den anderen weiterhelfen. Auch wenn ich hier in diesem Forum frage, recherchiere ich natürlich auch selber im Internet, nur fehlt mir manchmal die Zeit dafür, denn ich kann nur Abends für eine oder zwei Stunden recherchieren, wenn ich von der Arbeit komme und bevor ich todmüde ins Bett falle.

Ich habe weitere Fragen, die ich in einem anderen Thread posten werde, aber laßt uns gerne mit diesem thread und diesen Fragen hier weitermachen.

nikosch · 18.06.2010, 03:44

Du willst ehrlich sagen, Du kennst nicht mal su und sudo und willst selbst nen Server administrieren? Was passiert, wenn Du mal in das erste Problem läufst? Willst Du dann erst im Forum posten und für nen Tag läuft erstmal alles ausser Kontrolle? Lass die Finger davon, das ist wirklich keine Idee!

Dass Checklisten hier sinnfrei sind, wurde schon gesagt. Serveradministration ist nunmal kein Photoshop..

SvenLittkowski · 18.06.2010, 06:08

Nun, ich habe mir den virtuellen Server besorgt, um praktisch lernen zu können. Ich will in die Server-Administration einsteigen, und ohne praktische Arbeit geht dies für mich nicht so gut. Ohne Server zum praktischen Ausprobieren wäre alles nur sehr, sogar zu, theoretisch für mich.

Irgendwo muß ich anfangen. Und dies tue ich mit Anleitungen (auch wenn sie nur bis zu bestimmten Punkten hin übertragbar sind), guten Hilfen hier (wozu denn sonst dieses Forum), und eben dem eigenen Server.

Ja, kann durchaus sein, daß ich bei bestimmten Problemen hier erst mal posten muß, und erst dann die Lösungen ausprobieren kann. Aber damit habe ich kein Problem, deswegen habe ich ja den Server. Ich habe dort auch keine wichtigen Domains drauf. Dies kommt erst irgendwann in der Zukunft, wenn ich mir das nötige Wissen angeeignet habe. Jetzt ist erst mal Lernen angesagt. Und die PHP-Gemeinde fragen, um von deren Erfahrungen lernen zu können. Ich sehe darin nichts Falsches.

Im Grunde genommen finde ich Foren wie dieses hier sehr wichtig, und sehr sinnreich. Ich habe es eigentlich noch nie bereut, hier gefragt zu haben. Ein Forum verliert seinen Sinn erst dann, wenn in jenem Forum Fragen nicht mehr beantwortet werden.

Ahhh, genug dieser Dinge. Zurück zum Thema.

xm22 · 18.06.2010, 08:23

Um Gottes Will! Setz doch erst mal lokal ein Debian-System auf und geh zumindest ein paar Tutorials durch. Die ganzen Netzwerk-Sachen kannst Du auch dort probieren. Benutz einfach VMWare. Außerdem - Erzähl mal hier von Deinem Vorhaben: RootForum Community • Index page. Wenn Du uns nicht glaubst oder es nicht einsehen willst, dass Dein Plan - entschuldige - Murks ist, vielleicht können die Dich überzeugen. Und dort geht es in diesem Thema meist nicht so freundlich zu..

Du hast keinen Dunst von der Materie - Das ist, als wenn Du anfangen willst, Sicherheitssystem für Autos zu entwickeln, aber bisher nur durch Schaufenster ein Auto gesehen hast.

Themen-Optionen
Druckbare Version zeigen Jemanden per E-Mail auf dieses Thema hinweisen
Thema bewerten
Thema bewerten:

Ähnliche Themen
Thema	Autor	Forum	Antworten	Letzter Beitrag
Iconv Email Parser bzw. Installation	Bornheimer	Server, Hosting und Workstations	1	01.04.2010 04:52
Biete Webspace mit Domain auf schnellem Server zu Duping-Preis an!	75MrCoolBoy	Off-Topic Diskussionen	9	07.02.2010 22:16
Anwendung für mehrere Server entwickeln	smilla	Software-Design	14	30.12.2009 00:05
CMS Installation // Serverabhängig	Dominik	PHP Tipps 2009	7	14.09.2009 14:14
Mysql startet unter Debian nach Update nicht mehr	namlit	Server, Hosting und Workstations	4	05.08.2008 15:49
[Erledigt] WAMP unter Windows 2000 Server oder Windows 2003 Server	Mecronomecon	Server, Hosting und Workstations	3	18.06.2008 09:15
Datei von Server zu Server übertragen	GSJLink	PHP-Fortgeschrittene	5	05.05.2008 14:17
[Erledigt] Server durchsuchen mit php		PHP Tipps 2008	7	18.08.2007 12:24
Server für shell_exec() / exec() vorbereiten	Martek	Server, Hosting und Workstations	2	16.03.2007 15:03
streaming von videos, server lahmt bereits nach einem abruf	snowflow	Server, Hosting und Workstations	6	30.11.2006 18:04
Virtual Host und Domain auf Server	Simon9990	Server, Hosting und Workstations	5	06.06.2006 16:58
php-file wird downgeloadet	dws	Server, Hosting und Workstations	10	19.04.2006 18:45
Suche Tipps für Persormance-Steigerung (Geld für Nützliches)		Beitragsarchiv	18	16.08.2005 10:57
[Erledigt] "Internal Server Error" nach PHP Installation auf		PHP-Fortgeschrittene	3	28.10.2004 10:32
Debian Server installation???	c01001	Server, Hosting und Workstations	8	14.10.2004 10:44


Mister Ad PHP Code Flüsterer Registriert seit: 21.08.2005 Beiträge: 4682 PHP-Kenntnisse: Fortgeschritten

16.06.2010, 18:44
Manko10 Supermoderator HD Registriert seit: 16.03.2008 Beiträge: 8.709 PHP-Kenntnisse: Fortgeschritten	sudo ja, su nein. Mit su nimmt man die Identität eines anderen Nutzers an, um administrative Aufgaben durchzuführen, also die des roots. Das ist ein anderes Prinzip als sudo. Dennoch halte ich es für unsinnig, den root zu sperren. Es ist sinnvoll, in der Regel einen anderen Benutzer zu nutzen, aber eine Login-Sperre für root halte ich für nicht sinnvoll. __________________ Refining Linux Advent Calendar series “24 Outstanding ZSH Gems”

16.06.2010, 22:57
Manko10 Supermoderator HD Registriert seit: 16.03.2008 Beiträge: 8.709 PHP-Kenntnisse: Fortgeschritten	Ja, das ist richtig und wie ich schon schrieb, ist es sinnvoll nicht mit dem root unterwegs zu sein. Ihn mit einer generellen Login-Sperre zu versehen, halte ich aber dennoch nicht (zumindest nicht in allen Situationen) für sinnvoll. Hat man Zugriff über das interne Netzwerk, sollte man ihn nach außen sperren, das ist klar. Hat man jedoch nur externen SSH-Zugriff, halte ich es für sinnvoller, den Login auf Keys zu beschränken anstatt ihn ganz zu unterbinden. Das mögen diverse Serveradministratoren anders sehen, aber meiner Meinung nach bringt ein generelles Login-Verbot nichts. Man stelle sich nur das Szenario vor, dass man den root per SSH sperrt und sich in Sicherheit wähnt, weil man nur einen anderen Account in Verbindung mit sudo nutzt. Wird jedoch dieser Account geknackt, stehen dennoch alle (und ich sage: alle) Türen offen. Ein schlichtes Code: $ sudo passwd root $ su und schon lässt sich wirklich jeder Unfug auf dem System anstellen. Deshalb halte ich ein Sperren des root-Logins für ein Placebo. Sinnvoller ist es, Key-Auth zu nutzen und SSH auf einen anderen Port zu legen. __________________ Refining Linux Advent Calendar series “24 Outstanding ZSH Gems” Geändert von Manko10 (16.06.2010 um 23:01 Uhr).

17.06.2010, 16:47
Manko10 Supermoderator HD Registriert seit: 16.03.2008 Beiträge: 8.709 PHP-Kenntnisse: Fortgeschritten	Ich auch. Es ist für einen wheel-Nutzer auch keine Schwierigkeit, die /etc/ssh/sshd_config zu ändern. Allerdings ist das gar nicht nötig, wie du an meinem obigen Beispiel sehen kannst. Aber dem root die Shell zu nehmen, um su zu verhindern bringt genauso wenig Sicherheit, wenn du die Möglichkeit hast, per sudo administrative Rechte zu erlangen, denn dann kannst du dem root auch einfach wieder eine Shell zuweisen. __________________ Refining Linux Advent Calendar series “24 Outstanding ZSH Gems”

18.06.2010, 03:29
SvenLittkowski Erfahrener Benutzer Registriert seit: 05.09.2004 Beiträge: 578	So, wenn ich alle Postings hier lese, gibt es viele PROs und viele CONTRAs. Was sind denn nun aber die Dinge, die jemand wirklich am Server einstellen sollte, um Sicherheit zu haben auf dem System? Für mich ist dies wirklich das erste Mal, daß ich mit so einer Umgebung arbeite, und ich will nicht irgendwelche "anderen" (Experten) damit beauftragen, sondern ich ziehe es vor, mich selbst daran zu setzen. Ich will diese Dinge erlernen. Deswegen frage ich Euch ja in diesem Forum. Wenn mich jemand fragt in den Gebieten, wo ich gar nicht mal so schlecht bin, gebe ich sehr gerne eine gute Hilfe, und erkläre auch. Ich sehe hier Kommandos wie SU und SUDO, und werde im Internet danach recherchieren. Aber was mir und vielen tausend anderen fehlt, ist so etwas wie ein Mehrstufenplan, welche Dinge zuallererst gecheckt und gesichert wrrden müssen, und welche anderen Dinge danach. Auch Informationen, wie diese Dinge geändert werden können, würden mir und all den anderen weiterhelfen. Auch wenn ich hier in diesem Forum frage, recherchiere ich natürlich auch selber im Internet, nur fehlt mir manchmal die Zeit dafür, denn ich kann nur Abends für eine oder zwei Stunden recherchieren, wenn ich von der Arbeit komme und bevor ich todmüde ins Bett falle. Ich habe weitere Fragen, die ich in einem anderen Thread posten werde, aber laßt uns gerne mit diesem thread und diesen Fragen hier weitermachen. __________________ Vielen Dank für Eure Zeit, Absicht, Mühe und für Eure Ideen. Grüße, Sven

18.06.2010, 03:44
nikosch moderatives Dielektrikum Registriert seit: 21.05.2008 Beiträge: 35.991 PHP-Kenntnisse: Fortgeschritten	Du willst ehrlich sagen, Du kennst nicht mal su und sudo und willst selbst nen Server administrieren? Was passiert, wenn Du mal in das erste Problem läufst? Willst Du dann erst im Forum posten und für nen Tag läuft erstmal alles ausser Kontrolle? Lass die Finger davon, das ist wirklich keine Idee! Dass Checklisten hier sinnfrei sind, wurde schon gesagt. Serveradministration ist nunmal kein Photoshop.. __________________ -- One pixel is still too big. Please make it smaller. ASAP. Initiative Mittelstand. Die wichtigste Gestaltungsregel im Screendesign ist Pi mal Daumen des Arbeitgebers. --

18.06.2010, 06:08
SvenLittkowski Erfahrener Benutzer Registriert seit: 05.09.2004 Beiträge: 578	Nun, ich habe mir den virtuellen Server besorgt, um praktisch lernen zu können. Ich will in die Server-Administration einsteigen, und ohne praktische Arbeit geht dies für mich nicht so gut. Ohne Server zum praktischen Ausprobieren wäre alles nur sehr, sogar zu, theoretisch für mich. Irgendwo muß ich anfangen. Und dies tue ich mit Anleitungen (auch wenn sie nur bis zu bestimmten Punkten hin übertragbar sind), guten Hilfen hier (wozu denn sonst dieses Forum), und eben dem eigenen Server. Ja, kann durchaus sein, daß ich bei bestimmten Problemen hier erst mal posten muß, und erst dann die Lösungen ausprobieren kann. Aber damit habe ich kein Problem, deswegen habe ich ja den Server. Ich habe dort auch keine wichtigen Domains drauf. Dies kommt erst irgendwann in der Zukunft, wenn ich mir das nötige Wissen angeeignet habe. Jetzt ist erst mal Lernen angesagt. Und die PHP-Gemeinde fragen, um von deren Erfahrungen lernen zu können. Ich sehe darin nichts Falsches. Im Grunde genommen finde ich Foren wie dieses hier sehr wichtig, und sehr sinnreich. Ich habe es eigentlich noch nie bereut, hier gefragt zu haben. Ein Forum verliert seinen Sinn erst dann, wenn in jenem Forum Fragen nicht mehr beantwortet werden. Ahhh, genug dieser Dinge. Zurück zum Thema. __________________ Vielen Dank für Eure Zeit, Absicht, Mühe und für Eure Ideen. Grüße, Sven

18.06.2010, 08:23
xm22 Erfahrener Benutzer Registriert seit: 30.07.2008 Beiträge: 1.169 PHP-Kenntnisse: Fortgeschritten	Um Gottes Will! Setz doch erst mal lokal ein Debian-System auf und geh zumindest ein paar Tutorials durch. Die ganzen Netzwerk-Sachen kannst Du auch dort probieren. Benutz einfach VMWare. Außerdem - Erzähl mal hier von Deinem Vorhaben: RootForum Community • Index page. Wenn Du uns nicht glaubst oder es nicht einsehen willst, dass Dein Plan - entschuldige - Murks ist, vielleicht können die Dich überzeugen. Und dort geht es in diesem Thema meist nicht so freundlich zu.. Du hast keinen Dunst von der Materie - Das ist, als wenn Du anfangen willst, Sicherheitssystem für Autos zu entwickeln, aber bisher nur durch Schaufenster ein Auto gesehen hast.