Liebe User,
heute möchte ich euch einmal was zeigen, was zur grundlegenden Sicherheit des Servers beitragen kann.
Jeder der einen Server hat, weiß wovon ich spreche. User versuchen sich per shell und dem Benutzer root auf dem Server einzuloggen…
Dem kann man aber vorbeugen, indem man sich einen neuen Benutzer anlegt, dem root rechte gibt und root aus der shell ausschließt.
Wie ? Ganz einfach…
Gib in die Shell Konsole folgendes ein:
root@server:/# adduser test
root@server:/# adduser test
Adding user `test’ …
Adding new group `test’ (1003) …
Adding new user `test’ (1003) with group `test’ …
Creating home directory `/home/test’ …
Copying files from `/etc/skel’ …
Enter new UNIX password:
Retype new UNIX password:
passwd: password updated successfully
Changing the user information for test
Enter the new value, or press ENTER for the default
Full Name []:
Room Number []:
Work Phone []:
Home Phone []:
Other []:
Ihr habt nun den Benutzer “test” angelegt…
Nun gebt ihr folgendes in die Konsole ein:
root@server:/# vi /etc/passwd
root:x:0:0:root:/root:/bin/bash
daemon:x:1:1:daemon:/usr/sbin:/bin/sh
bin:x:2:2:bin:/bin:/bin/sh
sys:x:3:3:sys:/dev:/bin/sh
sync:x:4:65534:sync:/bin:/bin/sync
games:x:5:60:games:/usr/games:/bin/sh
man:x:6:12:man:/var/cache/man:/bin/sh
lp:x:7:7:lp:/var/spool/lpd:/bin/sh
mail:x:8:8:mail:/var/mail:/bin/sh
news:x:9:9:news:/var/spool/news:/bin/sh
uucp:x:10:10:uucp:/var/spool/uucp:/bin/sh
proxy:x:13:13:proxy:/bin:/bin/sh
www-data:x:33:33:www-data:/var/www:/bin/sh
backup:x:34:34:backup:/var/backups:/bin/sh
list:x:38:38:Mailing List Manager:/var/list:/bin/sh
irc:x:39:39:ircd:/var/run/ircd:/bin/sh
gnats:x:41:41:Gnats Bug-Reporting System (admin):/var/lib/gnats:/bin/sh
nobody:x:65534:65534:nobody:/nonexistent:/bin/sh
libuuid:x:100:101::/var/lib/libuuid:/bin/sh
dhcp:x:101:103::/nonexistent:/bin/false
bind:x:102:105::/var/cache/bind:/bin/false
fetchmail:x:103:65534::/var/lib/fetchmail:/bin/sh
sshd:x:104:65534::/var/run/sshd:/usr/sbin/nologin
klog:x:105:111::/home/klog:/bin/false
syslog:x:106:112::/home/syslog:/bin/false
smmta:x:107:113:Mail Transfer Agent,,,:/var/lib/sendmail:/bin/false
smmsp:x:108:114:Mail Submission Program,,,:/var/lib/sendmail:/bin/false
mysql:x:109:115:MySQL Server,,,:/var/lib/mysql:/bin/false
sw-cp-server:x:1000:116::/:/bin/true
psaadm:x:1001:117:Plesk user:/opt/psa/admin:/bin/false
popuser:x:110:31:POP3 service user:/var/qmail/popuser:/bin/false
mhandlers-user:x:30:31:mail handlers user:/:/bin/false
alias:x:2021:2020:Qmail User:/var/qmail/alias:/bin/false
qmaild:x:2020:2020:Qmail User:/var/qmail/:/bin/false
qmaill:x:2022:2020:Qmail User:/var/qmail/:/bin/false
qmailp:x:2023:2020:Qmail User:/var/qmail/:/bin/false
qmailq:x:2520:2520:Qmail User:/var/qmail/:/bin/false
qmailr:x:2521:2520:Qmail User:/var/qmail/:/bin/false
qmails:x:2522:2520:Qmail User:/var/qmail/:/bin/false
psaftp:x:2523:2521:anonftp psa user:/:/bin/false
test:x:1003:1003:,,,:/home/test:/bin/bash
Ganz unten seht Ihr nun den angelegten Benutzer (wenn nicht, mit den Pfeil tasten einfach nach unten Scrollen)
Mit der “I” (i) taste, gelangt ihr in den INSERT Modus des VI Editors…
Ändert nun die zahlen 1003 zu 0
test:x:0:0:,,,:/home/test:/bin/bash
Wenn Ihr nun noch das Homeverzeichnis ändern wollt, sodass Ihr im gleichen Verzeichnis starten tut wie der root Benutzer,
ändert euren Benutzer auf folgendes:
test:x:0:0:,,,:/home/test:/bin/bash
Das Verzeichnis /home/test sollte bestehen bleiben. Grund: solltet Ihr den user irgendwann mal löschen wollen und Ihr tragt als Ordner /root ein, macht ihr den Server hinüber.
Wenn ihr fertig seit, drückt die ESC Taste und gebt folgendes ein “:wq” Dieses speichert das soeben geänderte.
Nun haben wir uns einen Benutzer angelegt, der volle root Rechte hat.
Loggt euch nun zum testen einmal mit diesem Benutzer per shell auf euren server ein.
Danach gehts daran, den Benutzer root aus der Shell Konsole auszuschließen. Den root Benutzer dort auszuschließen bringt keine Nachteile für euch. alles bleibt wie gehabt.
root@server:/# vi /etc/ssh/sshd_config
Wir öffnen also mit dem Befehl oben die SSHD Config…
dort suchen wir folgendes:
AllowUsers
sollte dies noch nicht in der Datei stehen, drückt wieder die “I” (i) taste und schreibt folgendes herrein
AllowUsers test
Achtet auf die groß und kleinschreibung!!!
Dieser Zeichensatz besagt, dass NUR der user “test” sich auf der schell Konsole einloggen darf.
Möchtet ihr dort mehrere Benutzer zulassen, hängt den Namen einfach per Leerzeichen dahinter.
AllowUsers test test2
drückt nun wieder die ESC taste und gebt wieder “:wq” ein
nun ist auch diese Datei gespeichert…
loggt euch nun aus und versucht euch mit dem Benutzer “root” einzuloggen.
Es wird nicht funktionieren.
Ab sofort sind alle SCP und SSH Anfragen über den root Benutzer gesperrt.
Dies ist natürlich nur ein kleiner Schutz gegen viele Hacker Angriffe und nur wirksam mit einem gut ausgesuchten Benutzernamen (test ist nur für dieses Tutorial). Der Benutzername sollte zu eurer Eigenen Sicherheit NICHT euer eigener Benutzername sein. Denkt euch am besten einen komplett neuen aus. Ausserdem solltet Ihr immer ein Passwort aus mindestens 8 Zeichen verwenden, das Groß wie auch kleine Buchstaben enthält und mindestens eine Zahl und Sonderzeichen. Weiterhin zu empfehlen ist, dass das Passwort NICHT im Duden steht. Tisch zum Beispiel wäre ziemlich fahrlässig.
(0)Dislikes
(0)