Ubuntu-Forum & Kubuntu-Forum | www.Ubuntu-Forum.de

Zitat

1: Reicht es vielleicht den Root-User nur für SSH zu verbieten (in
sshd_config PermitRootLogin no) und per FileZilla (SFTP) weiter zu
nutzen? F

Ich glaube wenn du root-login verbietest wird wohl SFTP auch etwas dagegen haben, da dies ja auf SSH basiert.

Zitat

2: Kann ich mich bei z.B. FileZilla als nicht Root aber mit dem Zusatz Sudo anmelden?

SFTP unterstützt kein sudo, geht also so nicht. Sudo kannst du nur brauchen, wenn auf eine Konsole eingelogt bist, egal ob mit oder ohne SSH.

Zitat

3: Muss ich bestimmte Software bzw. Pakete wie z.B. Apache-Server oder
PHP als Root installieren oder geht das auch alles ohne Probleme per
Sudo-User?

du kannst mit einem User der in der Gruppe (admin, sudo) ist eigentlich alles machen was root kann, nur das du "sudo" vor den Befehl schreibst anschliessend wirst du je nach Konfiguration nach deinem Passwort gefragt.

Zitat

Mein größtest Problem ist das wenn ich mit meinem neuen User in z.B.
FileZilla unterwegs bin nicht mal eben jede Datei downloaden kann bzw.
bearbeiten oder umbenennen.

da gibt es keine soweit ich weiss keine Lösung um Filezilla mit Root-Rechten beziehungsweise sudo zu verwenden....
Also wenns dir zu Umständlich wird, kannst du deinem Root-User einen SSH-Key-Login einstellen und nur noch via dieses einlogbar machen, Filezilla versteht das dann glaube ich auch.
Der Sicherheitsgewinn durch Key-Logging ist relativ gross, da kein normales Passwort von der Länge her einen 128Bit-Key oder schlägt (du kannst auch noch mehr Bits verwenden )
Nachteil ist du musst dich mit einem Key einloggen, den du vielleicht nicht unterwegs dabei hast....

Hallo tom-ub,

Zitat von tom-ub:

Zitat

wie viele Ubuntun-Einsteiger habe ich lange mit dem Root-User gearbeitet. Aus Sicherheitsgründen möchte ich dies nun ändern. Dazu hätte ich 2-3 Fragen.

Naja, eigentlich ist ja gerade Ubuntu dafür bekannt, dass der Root-Benutzer garnicht bzw. nur kaum benutzt werden sollte. (sudo)

Zu 1:
Sich über den root-Account auf einen Server im Internet zu verbinden ist natürlich keine allzu gute Idee, der Eintrag
PermitRootLogin no ist da schon einmal ein guter Weg. Ich würde sogar soweit gehen, den root-Account komplett zu deaktivieren.
Gründe warum dies Sinnvoll ist, kannst du hier nachlesen:

• http://wiki.ubuntu-forum.de/index.php/Ro…o_Deaktivierung
  

Du kannst alle Aktionen die du bisher direkt über den root-Account erledigt hast auch über sudo erledigen.

• http://wiki.ubuntu-forum.de/index.php/Sudo
  

Zusätzlich zur Deaktivierung des root-Logins, solltest du zumindestens den SSH-Port umlegen, um Attacken
gegenüber deinen Rechner zu erschweren. (Port-Argument in der sshd_config)
Eventuell solltest du dir auch Gedanken über das Authentifizierungsverfahren machen. (Puplic-Key-Auth.)

Weitere Information zum Absichern des SSH-Zugangs gibt es hier:

• http://www.debian.org/doc/manuals/securi…es.de.html#s5.1

Zu der Sache mit Filezilla:
SFTP (Secure File Transfer Protocol) läuft üblicherweise auf dem gleichen Port wie SSH und wird auch in der sshd_config konfiguriert. (solange man keinen zusätzlichen Dienst dazu verwendet)
So ist der root-Login dann auch über SFTP nicht mehr möglich, wenn du dies für SSH so konfiguriert hast. Was auch gut ist !

Zu 2:
Nicht das ich wüsste. Wenn du dir einmal Gedanken darüber machst, ist es aber doch Vorteilhaft, wenn Systemdateien nur über die Bash bearbeitet werden können
Du könntest diese natürlich auch hochladen und diese dann per sudo an die richtige Stelle verschieben.

Zu 3:
Mithilfe von sudo ist es möglich kurzzeitig Rootrechte zu erlangen. Macht also keinen Unterschied.

Ich wünsche dir auf jeden Fall viel Erfolg dabei dein Linux-System ordentlich abzusichern. Bitte denke daran das es immer besser ist, vorher mehr zu lesen als später mit einem gekaperten System dazustehen.

Gruß

apensiv

Hallo,

für Nautilus gibt es auch "Extensions" mit denen man auch unter der GUI Programme und Verzeichnisse mittels "Administrationsrechten" öffnen bzw. ausführen kann.

m.f.g.
Carl-Heinz

Zitat

Root-User in jedem Fall ein No-Go oder mit SSH-Key zu ertragen?

Was heisst "No-Go", je nachdem wie wichtig die Sicherheit sein muss. Ich würde sagen mit SSH-Key-Login bist du viel sicherer da machts auch wenig unterschied ob root-Account oder nicht.
Nachteil ist halt, dass du den Key immer dabei haben musst, wenn du dich einloggen willst.