Notifikationer

Markér alle som læst Log ud

langbein Nybegynder

10. august 2002 - 19:03 Der er 13 kommentarer og
1 løsning

Stenge bruker ute fra SSH !!??

I dag saa installerte jeg webmin remooote der hjemme for litt eksperimentering. Er i utlandet. Webmin kjoerer jo ganske ok men det horrible det er jo at den i utgangspunktet forutsetter ar man logger seg som root med root passord sent uten noen form for kryptering.

Laget et dobbelt sett med firewall script slik at jeg kunne stenge / aapne for web min paalogging via ssh ved aa kjoere det ene eller det andre scriptet.

Satte saa opp en ekstra adminkonto for bruk sammmen med webmin. Problemet er bare at ogsaa admin2 har jo root rettigheter, og da kan man jo logge seg paa via ssh og faa root tilgang.

Dersom det hadde vaert mulig aa stenge denne admin2 ute fra ssh, slik at han bare kunne kommmme inn via webmin saa ville sikkerheten vaere saann rimelig. Eer dette mulig ? Hvordan ?

Prinsippet ville da vare det at man foerst logget seg paa som ordinaer admin for aa lokke opp firewall via ssh som kjerer med kryptering. Der etter saa logger man seg inn paa webmin via admin2. Dersom det er mulig aa stenge admin2 ute fra ssh saa skulle det ikke bety saa mye om admin2 passsordet passerer internettet i klartekst slik som webmin legger opp til ?!

Synes godt om

langbein Nybegynder

10. august 2002 - 19:11 #1

Kunne det for eksempel vaere en ide aa lage et/to script som enten gir admin2 gruppemedlemskap i admin2 (ordinaer bruker) eller same gruppe som roooot.

Hvordan blir eventuelt dette seende ut ??

Altsaa, eventuelt prinsipp:

1. aapne firewaal via script 1.
2. gi admin2 rettigheter via script 2 og medlemskap i root/admin gruppe.

Har desverre ingen av mine boeker med paa tur !!

Synes godt om

dank Nybegynder

10. august 2002 - 19:14 #2

Fra webmin:

System / Users & Groups

Klik på username

Vælg nologin

fra shell

/usr/sbin/usermod -s /sbin/nologin brugernamn

Synes godt om

dank Nybegynder

10. august 2002 - 20:18 #3

webmin sikkerhed

1: Benyt ikke standard pakker fra RH - kompiler selv og vælg https og anden port end 10000
2: Vælg anden brugernamn end root

Lad ikke webmin starte under boot. bruk ssh (root) og gå til

/etc/webmin start

&

webmin stop for at starte/stoppe serveren når den behøves

Synes godt om

langbein Nybegynder

10. august 2002 - 20:52 #4

fra shell

/usr/sbin/usermod -s /sbin/nologin brugernamn

Dette virket kanonbra !! Finnes det noen maate jeg kan faa "lukket opp" for den brukernkontoen jeg brukte som test, eller er den tapt for alltid ?

Synes godt om

langbein Nybegynder

10. august 2002 - 20:57 #5

Ellers hentet fra usermod man:

-L Lock a user's password. This puts a '!' in front
of the encrypted password, effectively disabling
the password. You can't use this option with -p or -U.

-U Unlock a user's password. This removes the '!' in
front of the encrypted password. You can't use
this option with -p or -L.

Kanskje dette kan brukes ? (Til aa blokkere kontoen midlertidig.)

Ideen med aa endre sikkerhet gjennom endret gruppemedlemskap var ellers ganske idiotisk, he, he ..

Synes godt om

langbein Nybegynder

10. august 2002 - 20:59 #6

Det er nok ellers ennaa sikkrere aa stanse tjenesten enn aa sette opp en blokkering i firewall ...

Synes godt om

langbein Nybegynder

10. august 2002 - 21:18 #7

Dette gir start og stop av webmin:
/etc/webmin/start
/etc/webmin/stop

Synes godt om

langbein Nybegynder

10. august 2002 - 21:41 #8

Dette gir laasing / aapning av brukerkonto:

usermod -L brukerkonto
usermod -U brukerkonto

Synes godt om

langbein Nybegynder

10. august 2002 - 21:45 #9

Script for aktivisering av Webmin pluss aktivisering av admin2 konto:

/etc/webmin/start
usermod -U admin2

Script for deaktivisering av Webmin pluss deaktivisering av ekstra admin konto:

/etc/webmin/stop
usermod -L admin2

Synes godt om

langbein Nybegynder

10. august 2002 - 22:18 #10

Sier tusen takk for hjelpen (igjen) dank !

Har naa testkjoert og det viser seg at de to to linjers skriptene fungerer eksakt slik som de skal.

1. Stanse webmin serveren og deaktivisere webmin administrator kontoen.
2. Starte webmin serveren og aktivisere webmin administrator kontoen.

Synes Webmin brukt paa denne maaten har et akseptabelt sikkerhetsnivaa til "ordinaert husbruk".

Bare ett lite problem: Den kontoen som ble blokkert via nologin den ble virkelig staaende som blokkert ? Noen maate aa aapne den ?? (Ellers ikke saa kritisk om det ikke kan la seg gjoere.)

Naar det ellers gjelder bruk av ssl saa ville dette selvfoelgelig gi en ganske radikal (?) forbedring av det sikkerhetsmessssige, men det er jo forholdsvis komplisert aaaa sette opp slik at det virkelig fungerer.

Synes godt om

dank Nybegynder

10. august 2002 - 23:08 #11

Noen maate aa aapne den ??

til ex.

# /usr/sbin/usermod -s /sbin/bash brukernamn

Din metode med usermod -L | -U

er ok. Men hvis du bruger -s /bin/login behøves den ikke åbne/lukke hele tiden :) Men kan have brugeren aktivert altid.

En smart ting ved nogle Linux distributioner, f.eks. gentoo.org er at du kun kan "su root" hvis din bruger tilhører en bestemt gruppe (uid) dette er meget smart.

Jeg er selv ved at forsøge at bygge en lille Linux distribution og vil til denne forsøke at finne ud af hvordan dette gøres i praksis.

Synes godt om

langbein Nybegynder

10. august 2002 - 23:15 #12

"Men hvis du bruger -s /bin/login behøves den ikke åbne/lukke hele tiden :) Men kan have brugeren aktivert altid."

Naa, jeg trodde at man heller ikke kom inn via webmin, men det sjekket jeg ikke !!

Ser det finnes noe som heter: "Usermin". Hoeres spennende ut. Vil sjekke den ogsaa. http://www.webmin.com/uintro.html

Synes godt om

dank Nybegynder

10. august 2002 - 23:24 #13

"Naa, jeg trodde at man heller ikke kom inn via webmin, men det sjekket jeg ikke !!"

- Der er kun tale om man "udelukker" ssh adgang for den pågældende bruker

Usermin ser spændende ud, men bør kun benyttes til brukere som også har ssh adgang - idet der er tale om en rimelig "åben" software.

Synes godt om

langbein Nybegynder

11. august 2002 - 16:44 #14

dank -> Nytt spoersmaal: http://www.eksperten.dk/spm/245078 :-))

Synes ellers webmin opplegget kjoerer bra naa. Den risiko som naa synes aa vaere der det er at noen kan snappe webmin passordet og logge seg inn samtidig med en selv mens man er inne. Dette lar seg faktisk gjoere, jeg har proevd det i praksis.

Det som jeg da vil gjoere videre er aa sette opp en setning i firewallscript som bare akspterer accsess fra en bestemt ip. For aa faa til dette saa behoever jeg aa lese inn en ip adresse, den der jeg sitter i dialogen gjennom ssh, slik at denne leses inn i en variabel som firewall kan bruke, og alle mine boeker er 1000 mil borte ... ;-}

se: http://www.eksperten.dk/spm/245078

Synes godt om

Ny bruger Nybegynder

Din løsning...

Tilladte BB-code-tags: [b]fed[/b] [i]kursiv[/i] [u]understreget[/u] Web- og emailadresser omdannes automatisk til links. Der sættes "nofollow" på alle links.

Følg dette spørgsmål

Opret Preview

Se alle it-kurser fra Computerworld Kurser

IT-kurser om Microsoft 365, sikkerhed, personlig vækst, udvikling, digital markedsføring, grafisk design, SAP og forretningsanalyse.

Se alle it-kurser

Flere spørgsmål fra Linux kategorien

Titel	Indlæg	Oprettet	Seneste aktivitet
Kun read only adgang til filer FTP Server på Ubuntu Server Af Strawberry i Linux	6	18/03/202619:27	24/03/202613:16
PIHOLE Af dcedata1977 i Linux	6	14/03/202620:13	22/03/202615:06
SDKORT / SSD Af dcedata1977 i Linux	5	13/03/202612:06	15/03/202614:52
Gøre Billeder og Tegninger større (Linux Mint) Af Ikke-ekspert i Linux	8	07/03/202621:10	09/03/202601:11
Netværksadgang for flere brugere til samme filer på Ubuntu Server Af Strawberry i Linux	2	27/02/202611:38	27/02/202620:28

Se alle spørgsmål i kategorien Opret spørgsmål

Log ind eller opret profil

Hov!

For at kunne deltage på Computerworld Eksperten skal du være logget ind.

Det er heldigvis nemt at oprette en bruger: Det tager to minutter og du kan vælge at bruge enten e-mail, Facebook eller Google som login.

Du kan også logge ind via nedenstående tjenester

Alle kategorier på Eksperten

Seneste artiklerRSS