SSH Root Zugang – aber sicher

Auf vielen Maschinen verbiete ich den SSH Zugang per Root per default indem ich in der sshd_config folgendes eintrage:

PermitRootLogin no

Damit muss sich jeder erst einmal persönlich anmelden und kann dann lokal root werden. So ist sauber dokumentiert, wer sich angemeldet hat.

Manchmal geht das aber nicht. Es gibt Fälle, wo der root User von anderen Sachen benutzt wird (z.B. Backup-Software). Ist zwar nicht schön, aber wenn es sein muss. Dann muss ich aber auch jedes mal wieder nachlesen, wie ich den Root-Zugang auf Zertifikate beschränke. Daher hier die Notiz. So geht’s:

PermitRootLogin without-password

Das ganze ist natürlich nur so sicher, wie der private Schlüssel des öffentlichen Schlüssels, der beim Root-User hinterlegt ist.

VN:F [1.9.22_1171]
Rating: 0.0/10 (0 votes cast)
VN:F [1.9.22_1171]
Rating: 0 (from 0 votes)

4 Gedanken zu „SSH Root Zugang – aber sicher“

  1. Was spricht gegen sudo für das Backup? Bei mir loggt sich der Backup-Nutzer normal per SSH mit Key als Nutzer ein und bekommt per sudo ohne Passwort für den festgelegten (hier rsync) Befehl root-Rechte.

    VA:F [1.9.22_1171]
    Rating: 0.0/5 (0 votes cast)
    VA:F [1.9.22_1171]
    Rating: 0 (from 0 votes)
  2. @Marcel
    Hi Marcel,

    nun nichts spricht dagegen. Jedoch bietet dein Vorgehen nur den Vorteil, dass der User mit dem sich der Server anmeldet dokumentiert wird. Ansonsten bleibt die eigentliche Sicherheit auf den gleichen Niveau. Alleine den User mit root-Rechten zu verstecken oder umzubenennen ist meiner Ansicht nur „Security through obscurity“.

    Gruß Gerd

    VN:F [1.9.22_1171]
    Rating: 0.0/5 (0 votes cast)
    VN:F [1.9.22_1171]
    Rating: 0 (from 0 votes)
  3. Gerd :
    @Marcel
    Hi Marcel,
    nun nichts spricht dagegen. Jedoch bietet dein Vorgehen nur den Vorteil, dass der User mit dem sich der Server anmeldet dokumentiert wird. Ansonsten bleibt die eigentliche Sicherheit auf den gleichen Niveau. Alleine den User mit root-Rechten zu verstecken oder umzubenennen ist meiner Ansicht nur “Security through obscurity”.
    Gruß Gerd

    Der entscheidende Vorteil ist, dass der Nutzer außer dem angegeben Befehl (oder Skript oder was auch immer) nichts weiter mir Root-Rechten ausführen darf. Er wird damit ja nicht zum root!

    Marcel

    VA:F [1.9.22_1171]
    Rating: 0.0/5 (0 votes cast)
    VA:F [1.9.22_1171]
    Rating: 0 (from 0 votes)

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.