|
| Fejlmeddelse Fra : Ukendt |
Dato : 25-06-06 19:56 |
|
Får denne fejlmeddelse på min SME Server sendt til admin mailkontoen hver
dag.
Hvad betyder den og hvad skal jeg gøre ?
Mvh. Allan
/etc/cron.daily/01-rkhunter:
Line:
Watch out Root login possible. Possible risk!
Line: Watch out Root login possible. Possible risk!
[ Warning ]
-----------------------------------------------------------------
Found warnings:
[04:04:06] Warning: root login possible. Change for your safety the
'PermitRootLogin'
| |
Ukendt (25-06-2006)
| Kommentar Fra : Ukendt |
Dato : 25-06-06 20:40 |
|
Allan Møller skrev:
> Får denne fejlmeddelse på min SME Server sendt til admin mailkontoen hver
> dag.
>
> Hvad betyder den og hvad skal jeg gøre ?
[klip]
> [04:04:06] Warning: root login possible. Change for your safety the
> 'PermitRootLogin'
Det der er problemet, er et sikkerhedsproblem. Det den advare om er at
du kan logge ind som root direkte, hvilket er uhensigtsmæssigt.
Du bør slå PermitRootLogin fra og gå over til at logge ind som allan,
f.eks. og så su eller sudo der fra.
Ved at tillade root adgang direkte giver du indbryderen, mulighed for
kun at skulle gætte en adgangskode, ved at man skal su eller sudo, så
kræver det 2 adgangskoder og at vedkommende finder en bruger som har lov
til su eller sudo. Det er også en af grundene til at linux/freebsd er
mere sikkert end windows, bare lige for at pointere det
Og om ikke andet, så for din egen skyld bør du ikke tillade root login,
for så risikere man ikke, at slette eller ødelægge noget.
Kender ikke lige til, hvordan SME Server har sine configurationsfiler,
men en tur på google eller i manualen, vil nok kunne afsløre, hvordan du
fjerne PermitRootLogin...
--
Med venlig hilsen
René Madsen --- Webhotel, PHP/MySQL, 500Mb, 5xPOP3 for kun 9,-/md.
Schultz Consult --- www.schultzconsult.dk/Hosting
Din IT Leverandør --- tlf. 28 34 36 85 / 46 95 08 81
| |
Kent Friis (25-06-2006)
| Kommentar Fra : Kent Friis |
Dato : 25-06-06 21:11 |
|
Den Sun, 25 Jun 2006 21:39:47 +0200 skrev Schultz Consult - [René Madsen]:
>
> Ved at tillade root adgang direkte giver du indbryderen, mulighed for
> kun at skulle gætte en adgangskode, ved at man skal su eller sudo, så
> kræver det 2 adgangskoder og at vedkommende finder en bruger som har lov
> til su eller sudo.
Ikke bare at det kræver to adgangskoder, men han kan først begynde
at forsøge at gætte roots password når han er inde som bruger, det
giver tid til at opdage at der er noget galt fra der første gang
bliver logget et login, til han har root og dermed mulighed for
at slette log-filerne.
Mvh
Kent
--
"So there I was surrounded by all these scary creatures
They were even scarier than what Microsoft call features"
- C64Mafia: Forbidden Forest (Don't Go Walking Slow).
| |
P og T (25-06-2006)
| Kommentar Fra : P og T |
Dato : 25-06-06 21:53 |
|
Schultz Consult - [René Madsen] skrev:
> Det der er problemet, er et sikkerhedsproblem. Det den advare om er at
> du kan logge ind som root direkte, hvilket er uhensigtsmæssigt.
>
> Du bør slå PermitRootLogin fra og gå over til at logge ind som allan,
> f.eks. og så su eller sudo der fra.
Man kan bare ikke logge ind som bruger på en SME server via SSH
> Og om ikke andet, så for din egen skyld bør du ikke tillade root login,
> for så risikere man ikke, at slette eller ødelægge noget.
Man kan i stedet gå ind i server-manageren og ændre sin Remote Access og
slå SSH fra, enten helt eller blokere den udefra.
>
> Kender ikke lige til, hvordan SME Server har sine configurationsfiler,
> men en tur på google eller i manualen, vil nok kunne afsløre, hvordan du
> fjerne PermitRootLogin...
SME serveren har en server manager via et webinterface, her kan man pege
og klikke og ret enkelt sætte det hele op.
Per
| |
Ukendt (25-06-2006)
| Kommentar Fra : Ukendt |
Dato : 25-06-06 22:15 |
|
> SME serveren har en server manager via et webinterface, her kan man pege
> og klikke og ret enkelt sætte det hele op.
Men jeg kan ikke gøre noget for at fjerne den advarsel ?
Eller den betyder måske ikke noget ?
Jeg har adgang via SSH og vil gerne beholde det.
Mvh. Allan
| |
Thomas Jansson (26-06-2006)
| Kommentar Fra : Thomas Jansson |
Dato : 26-06-06 00:38 |
|
"Allan Møller" <allan*at*allanm*dot*dk> wrote:
>> SME serveren har en server manager via et webinterface, her kan man pege
>> og klikke og ret enkelt sætte det hele op.
>
> Men jeg kan ikke gøre noget for at fjerne den advarsel ?
> Eller den betyder måske ikke noget ?
>
> Jeg har adgang via SSH og vil gerne beholde det.
>
> Mvh. Allan
Den bedste måde at gøre det på er at logge ind som normal bruger først og
derefter skifte til superbruger. På min server har jeg lukket for root
adgang via ssh og flyttet porten væk fra port 22. Nu sover jeg lidt bedre
om natten .. eller noget :D
--
Kind regards / Venlig hilsen
Thomas Jansson
| |
P og T (26-06-2006)
| Kommentar Fra : P og T |
Dato : 26-06-06 22:58 |
|
Allan Møller skrev:
> Men jeg kan ikke gøre noget for at fjerne den advarsel ?
> Eller den betyder måske ikke noget ?
Det er som du selv nævner en advarsel, men nu ved du jo hvad det er
>
> Jeg har adgang via SSH og vil gerne beholde det.
Så får du jo bare en advarsel
Per
| |
Ukendt (26-06-2006)
| Kommentar Fra : Ukendt |
Dato : 26-06-06 11:04 |
|
P og T skrev:
> Man kan bare ikke logge ind som bruger på en SME server via SSH
Fint, hvis man ikke har behov for det, men root bør ikke eksistere som
mulig login bruger, værken remote eller local. Min erfaring er desværrer
at alt for mange der skifter fra windows til linux/bsd ikke er helt
klar over, hvilke muligheder/risici der ligger i at logge ind som root.
Derfor er su eller sudo en god måde at få folk til at tænke over, hvad
de egentlig er i færd med at lave. Så kommer du ikke til at lav en rm -fr /
Permission denied! <- hvilket du ikke får at vide, hvis du havde skrevet
det samme som root.
> Man kan i stedet gå ind i server-manageren og ændre sin Remote Access og
> slå SSH fra, enten helt eller blokere den udefra.
Også lækkert. SSH er ikke et problem i sig selv, det er anvendelsen af
remote access, der er et problem. Om muligt bør man begrænse IP login
til bestemte IP adresser, så kan man fint have SSH adgang uden de store
risici.
> SME serveren har en server manager via et webinterface, her kan man pege
> og klikke og ret enkelt sætte det hele op.
Lækkert, hvis det er sikkert, formodentligt https?
Men suma sumarium er at man bør slå root access fra og nøjes med su
og/eller sudo.
--
Med venlig hilsen
René Madsen --- Webhotel, PHP/MySQL, 500Mb, 5xPOP3 for kun 9,-/md.
Schultz Consult --- www.schultzconsult.dk/Hosting
Din IT Leverandør --- tlf. 28 34 36 85 / 46 95 08 81
| |
Klaus Ellegaard (26-06-2006)
| Kommentar Fra : Klaus Ellegaard |
Dato : 26-06-06 12:01 |
|
=?ISO-8859-1?Q?=22Schultz_Consult_-_=5BRen=E9_Madsen=5D=22?= <rene@REMOVEschultzconsult.dk> writes:
>Fint, hvis man ikke har behov for det, men root bør ikke eksistere som
>mulig login bruger, værken remote eller local.
Det giver ikke mening at udelukke root fra at logge ind lokalt,
medmindre man har et cluster eller tilsvarende, der kan gøre, at
man er uafhængig af den enkelte maskine.
Hvis der f.eks. opstår en diskfejl på /home, der gør, at alle
kald til den blokerer, kan man slet ikke logge ind. Hvis man
altså ikke har en root eller anden bruger, der har hjemkatalog
et andet sted end på root.
Ydermere; hvis den fysiske sikkerhed omkring maskinene er så
ringe, at man er bange for lokale root-logins, bør man nok også
være bange for, at folk simpelthen stikker af med (dele af)
maskinen. Eller måske bare falder i power-kablet.
Mvh.
Klaus.
| |
P og T (26-06-2006)
| Kommentar Fra : P og T |
Dato : 26-06-06 22:56 |
|
Schultz Consult - [René Madsen] skrev:
> Fint, hvis man ikke har behov for det, men root bør ikke eksistere som
> mulig login bruger, værken remote eller local. Min erfaring er desværrer
> at alt for mange der skifter fra windows til linux/bsd ikke er helt
> klar over, hvilke muligheder/risici der ligger i at logge ind som root.
>
> Derfor er su eller sudo en god måde at få folk til at tænke over, hvad
> de egentlig er i færd med at lave. Så kommer du ikke til at lav en rm -fr /
>
> Permission denied! <- hvilket du ikke får at vide, hvis du havde skrevet
> det samme som root.
Jeg er for så vidt enig i, men SME serveren er netop designet til folk
som ikke nødvendigvis har Linux/Unix erfaring og derfor er der faktisk
ikke behov for root login med mindre man vil modificere serveren ud over
dens normale opsætning. Selv ved fysisk adgan til maskinenen, er det
første man møder en "admin" konsol.
> Også lækkert. SSH er ikke et problem i sig selv, det er anvendelsen af
> remote access, der er et problem. Om muligt bør man begrænse IP login
> til bestemte IP adresser, så kan man fint have SSH adgang uden de store
> risici.
Som standard er SME sat op til "No Access" for SSH så det er jo på "eget
ansvar" når man begynder at pille/udforske
>> SME serveren har en server manager via et webinterface, her kan man
>> pege og klikke og ret enkelt sætte det hele op.
>
> Lækkert, hvis det er sikkert, formodentligt https?
Yep, og kun fra lokalnet! (som standard)
> Men suma sumarium er at man bør slå root access fra og nøjes med su
> og/eller sudo.
Det skal siges at man kan modificere sin SME server til user login, jeg
har dog ikke prøvet det. Men jeg mener ikke at man så ikke kan logge ind
som root direkte.
Den er i øvrigt bygget på en Centos 4.3
Per
| |
|
|