SSH Root Zugang – aber sicher

Von | 1. Juni 2009

Auf vielen Maschinen verbiete ich den SSH Zugang per Root per default indem ich in der sshd_config folgendes eintrage:

PermitRootLogin no

Damit muss sich jeder erst einmal persönlich anmelden und kann dann lokal root werden. So ist sauber dokumentiert, wer sich angemeldet hat.

Manchmal geht das aber nicht. Es gibt Fälle, wo der root User von anderen Sachen benutzt wird (z.B. Backup-Software). Ist zwar nicht schön, aber wenn es sein muss. Dann muss ich aber auch jedes mal wieder nachlesen, wie ich den Root-Zugang auf Zertifikate beschränke. Daher hier die Notiz. So geht’s:

PermitRootLogin without-password 

Das ganze ist natürlich nur so sicher, wie der private Schlüssel des öffentlichen Schlüssels, der beim Root-User hinterlegt ist.

Kategorie: SSH Schlagwörter:

4 Gedanken zu „SSH Root Zugang – aber sicher

  1. Marcel

    Was spricht gegen sudo für das Backup? Bei mir loggt sich der Backup-Nutzer normal per SSH mit Key als Nutzer ein und bekommt per sudo ohne Passwort für den festgelegten (hier rsync) Befehl root-Rechte.

    Antworten
  2. Gerd Beitragsautor

    @Marcel
    Hi Marcel,

    nun nichts spricht dagegen. Jedoch bietet dein Vorgehen nur den Vorteil, dass der User mit dem sich der Server anmeldet dokumentiert wird. Ansonsten bleibt die eigentliche Sicherheit auf den gleichen Niveau. Alleine den User mit root-Rechten zu verstecken oder umzubenennen ist meiner Ansicht nur „Security through obscurity“.

    Gruß Gerd

    Antworten
  3. Marcel

    Gerd :
    @Marcel
    Hi Marcel,
    nun nichts spricht dagegen. Jedoch bietet dein Vorgehen nur den Vorteil, dass der User mit dem sich der Server anmeldet dokumentiert wird. Ansonsten bleibt die eigentliche Sicherheit auf den gleichen Niveau. Alleine den User mit root-Rechten zu verstecken oder umzubenennen ist meiner Ansicht nur “Security through obscurity”.
    Gruß Gerd

    Der entscheidende Vorteil ist, dass der Nutzer außer dem angegeben Befehl (oder Skript oder was auch immer) nichts weiter mir Root-Rechten ausführen darf. Er wird damit ja nicht zum root!

    Marcel

    Antworten

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.