PermitRootLogin no hat keine Wirkung

**TheOnly1** · 01. 01. 2012, 20:13

Hi,
hab ein kleines Problem. Ich hab mir die Tage mal nen VPS bei Santrex gegönnt, weil ich mal gucken wollte was der so kann und wie es mit der Verfügbarkeit usw. aussieht.

Jedenfalls wollte ich als ein erstes "Standard-Manöver" den root access via Benutzername "root" deaktivieren und habe die entsprechende Änderung auch via Putty in der sshd_config vorgenommen (PermitRootLogin yes >> PermitRootLogin no).

Neuen anderen User erstellt >> Neugestartet...und nix.
In der sshd_config steht nun zwar PermitRootLogin no, aber ich kann mich trotzdem ohne Probs mit "root" einloggen.

Jemand ne Ahnung warum?

**Finntastisch** · 01. 01. 2012, 21:31

Das kann viele Ursachen haben ..

Probier mal

Code:

AllowUsers xyz

Wobei xyz dein neuer User ist. Dann sollte nur der noch per ssh connecten können.

**TheOnly1** · 01. 01. 2012, 22:15

Danke!

Das hat funktioniert.

**HouseKatZe** · 01. 01. 2012, 23:27

Was das bringen soll ist mir noch nie klar geworden. Ist doch eigentlich nur Esoterik, oder?

**r4wi** · 01. 01. 2012, 23:48

tja, es gibt 2 parameter,
username und passwort

wenn du einen schonmal weisst, dann brauchst du ja nur noch den zweiten

da root auf den meissten systemen vorhanden ist, und der dazu noch die meissten rechte hat, sollte man den schon sperren, oder bestimmte dienste über vpn betreiben und in der firewall entsprechend nur von dem vpn netz zulassen, oder?

frohes neues

**HouseKatZe** · 02. 01. 2012, 00:27

Zitat von r4wi

username und passwort

Man sollte SSH Keys nutzen.

Zitat von r4wi

bestimmte dienste über vpn betreiben und in der firewall entsprechend nur von dem vpn netz zulassen, oder?

Einen zusätzlichen Daemon für ein VPN finde ich noch unsicherer da man sich damit Lücken aufreißen kann, auch wenn es alles sicher eingestellt ist. Da kann man lieber den entsprechenden Dienst an localhost binden und über SSH Tunnel drauf zugreifen.

Naja, irgendwie macht das root disablen trotzdem nicht viel Sinn.

**TheOnly1** · 02. 01. 2012, 00:47

Zitat von HouseKatZe

Naja, irgendwie macht das root disablen trotzdem nicht viel Sinn.

Ich bin jetzt nicht der Hyper-Crack im Server-Administrieren, aber meinem Verständnis nach ist ist das als eine von mehreren Methoden zumindest wieder ein kleines Puzzelstück das man verwenden kann.
Da das (eigentlich) ne Sache von 10 Sekunden ist und ansonsten keine Nachteile bietet, mache ich das ganz gerne.

Was ich zB nicht mache ist die SSH Ports ändern. Andere schwören darauf.

**HouseKatZe** · 02. 01. 2012, 01:03

Zitat von TheOnly1

... Andere schwören darauf.

Wahrscheinlich hat jeder seine kleinen Security through Obscurity Vorlieben.

**DanielCheef** · 02. 01. 2012, 15:42

Ich ändere den Port gerne da die Logs so nicht von Bots zugespammt werden und ich mich dann um die wichtigeren Einträge kümmern kann. Private Key Auth versteht sich von selbst.

Fail2Ban leistet bei mir auch gute Dienste um Bruteforce-Angriffe und Wörterbuch-Attacken einzuschränken.

**phre4k** · 04. 01. 2012, 19:33

Seit ich meinen SSH-Port umgestellt habe, kommen ca. 96% weniger fehlerhafte Logins aufgrund von Bruteforce-Bots zustande. Der root-User darf sich auch bei mir nicht einloggen, nach dem Login mache ich das mit su. So kann ich die wirklich relevanten Loginversuche sehr einfach in der auth.log einsehen und Gegenmaßnahmen ergreifen.