Begrense forsøk på root innlogging

[Os|r|s]

/var/log/messages har i det siste blitt fylt opp med meldinger om at forsøk på innlogging som root har mislykkes. Root-passordet mitt skal være "umulig" å gjette så jeg er ikke redd for innbrudd. *bank i bordet!*

 

Det jeg lurer på er følgende: Er det mulig å sette en grense for hvor mange ganger det skal være mulig å forsøke en innlogging? Nå blir jeg disconnecta etter tre forsøk, men hadde det vært mulig å sette dette til feks 2, med 10 minutter timeout hvis passord er feil?

 

Jeg har søkt litt på google, men fant ikke noe konkret.

[smas190]

Du snakker vel om sshd her?

 

Det jeg ville ha gjort er å sperre innlogging til root direkte i sshd.

 

sett dette i /etc/ssh/sshd_config:

PermitRootLogin No

 

Slik at du må første logge inn via vanlig bruker, så su til root.

[Os|r|s]

Ja, det er jo en mulighet, men det er så tungvindt å bruke su

 

Glemte å presisere at dette er SSH. Gjør sikkert søkingen min på google lettere også

Takk

[Terrasque]

jeg har disabla direkte root login, og begrenset su bruk til wheel-gruppen. Sover litt roligere om natta

[Zerge]

Første bud for en nix maskin på nett: ALDRI TILLAT DIREKTE ROOT LOGIN VIA SSH! så enkelt er det:P permitrootlogin no. å su'e tar deg jo uansett bare typ 3 sek lenger tid uansett:) og det er det verdt!

[Manuel]

Første bud for en nix maskin på nett: ALDRI TILLAT DIREKTE ROOT LOGIN VIA SSH! så enkelt er det:P permitrootlogin no. å su'e tar deg jo uansett bare typ 3 sek lenger tid uansett:) og det er det verdt!

Absolutt. På den måten så må en evt. inntrenger bryte to passord for å få root-rettigheter

[Langbein]

Absolutt. På den måten så må en evt. inntrenger bryte to passord for å få root-rettigheter

Og i tillegg må de gjette seg fram til et brukernavn også (hvertfall hvis det er vilt fremmede vi snakker om), i motsetning til navnet 'root' som er samme overalt.

 

Man får nemlig ikke beskjed av sshd heller om en bruker ikke fins, så man bruker kanskje tid på å gjette passord til ikke-eksisterende brukere

[Manuel]

sshd benytter seg vel også av pam for autentisering og rettighetsbegrensing, Konfigurasjonsfilene til pam finner du i /etc/pam.d/. Her vil hvert program ha sin egen konfigurasjonsfil (deriblant sshd). Tror at du også kan trikse litt med filene i /etc/security... Husk å være VELDIG forsiktig med hva du gjør. Kødder du med et eller annet risikerer du å redusere sikkerheten på systemet betraktelig!

 

Filbanene kan variere i andre distrubsjoner (enn debian), men de skal ligge et sted i /etc.

 

edit: skummet raskt gjennom filene, og det ser ut til at man kan gjøre ganske tøffe saker med dette!

 

Manual finnes her

Endret 12. oktober 2004 av Manuel

[Os|r|s]

Da tror jeg at jeg går for permitrootlogin no, selv om det tar meg 3 sekunder lengre.

 

Takk for all hjelp

[laaknor]

Jeg kjører med permitrootlogin no og chmod 700 på /bin/su.

Dermed må brukerne som vil bli root bruke sudo su - for å bli det; og det etterlater seg ganske sterke spor dersom den feiler (mail til root->vidresendt til meg)

[G2Petter]

Jeg la til permitrootlogin no i /etc/ssh/ssh_config på CC-boksen min, men det skjer ikke noe.Jeg kan fremdeles logge inn som root. hva er det jeg gjør feil?

[Bøb]

Prøvd å restarte sshd?

 

edit: begynner å lure på om jeg er dyslektiker eller noe, klarer ikke fire ord uten en typo

Endret 18. oktober 2004 av Bøb

[laaknor]

service ssh(d) restart

[G2Petter]

service sshd restart

sshd stopper og starter, men jeg kan fremdeles logge inn som root. I hvert fall fra innsiden, har ikke fått testet utsiden ennå...

 

Så prøvde jeg følgende:

[root@gateway root]# ssh restart
/etc/ssh/ssh_config: line 40: Bad configuration option: PermitRootLogin
/etc/ssh/ssh_config: terminating, 1 bad configuration options

 

[Langbein]

Jeg la til permitrootlogin no i /etc/ssh/ssh_config på CC-boksen min, men det skjer ikke noe.Jeg kan fremdeles logge inn som root. hva er det jeg gjør feil?

Du må redigere fila /etc/ssh/sshd_config

 

ssh_config er for klienten mens sshd_config er for serveren.

[G2Petter]

D'oh!

 

Jeg hadde jo gjort det, men jeg presterte bare å un-hashe den linja, ikke endre verdien til "no".

 

Nå funker det fint.

Takk for all hjelp.

[Scrim]

Har prøvd å gjøre det dere har sagt, men det er fortsatt mulig å logge seg inn som root. dere kan jo se litt av sshd configen min, det skal da stemme dette.

 

# $OpenBSD: sshd_config,v 1.68 2003/12/29 16:39:50 millert Exp $

 

# This is the sshd server system-wide configuration file. See

# sshd_config(5) for more information.

 

# This sshd was compiled with PATH=/usr/local/sbin:/usr/sbin:/sbin:/usr/local/b$

# The strategy used for options in the default sshd_config shipped with

# OpenSSH is to specify options with their default value where

# possible, but leave them commented. Uncommented options change a

# default value.

 

#Port 22

#Protocol 2,1

#ListenAddress 0.0.0.0

#ListenAddress ::

 

# HostKey for protocol version 1

#HostKey /etc/ssh/ssh_host_key

# HostKeys for protocol version 2

#HostKey /etc/ssh/ssh_host_rsa_key

#HostKey /etc/ssh/ssh_host_dsa_key

 

# Lifetime and size of ephemeral version 1 server key

#KeyRegenerationInterval 1h

#ServerKeyBits 768

 

# Logging

#obsoletes QuietMode and FascistLogging

#SyslogFacility AUTH

#LogLevel INFO

 

# Authentication:

LoginGraceTime 2m

PermitRootLogin no

#StrictModes yes

[objorkum]

Restarta SSHd etterpå?

[Scrim]

Ja, jeg har avsluttet sshd prossesen og startet den på nytt. Jeg har til og med startet maskinen på nytt, men man fortsatt logge seg inn som root, noe som irriterer meg.