forsøk på å få root-tilgang

[petterg]

Jeg kan ikke blokere ipadresser generelt. Om det hadde vært mulig å bare tilate root fra bestemte ip'r hadde det jo vært en løsning, men iptables kan ikke skille på brukernavn. Vanlige brukere må i utgangspunktet være tilgjengelige fra alle IP'r. Root klarer seg med tilgang fra de andre serverene.

[mysjkin]

Har ikke sett noe nærmere på det enda, men jeg kunne hatt lyst til å sette opp tar pit og ha et system som slenger adresser som driver med tvilsomme ting nedi der.

 

(Se http://www.lowth.com/howto/iptables-treasures.php bla litt nedover for å finne tar pit)

 

M.

[kyrsjo]

Det jeg mente var:

- La root være lokalt, og sperr ssh inn mot root.

- Lag en ny bruker - la oss kalle denne petterg-root - og sett den til å ha uid# = 0 (mekk /etc/passwd) og ellers alt (hjemmekatalog etc) på samme måte som root.

Man kan vel ikke ha flere brukere med samme UID? Altså må uid på root endres for å lage en ny bruker med uid=0. Da mister vel root root-tilgangen? (Er jeg helt på jordet?)

burde ikke være noe problem... Sikkert et brudd på 100 standarder, garantert en hack, men jeg ser ingen grunn til at det ikke skulle virke...

 

Prøv da vel! I værste fall er det bare å bruke en boot-disk (floppy, usb, eller cdrom) og fikse det.

 

Med det samme vi er i gang: Er det mulig å sette opp sshd slik at den *kun* tillater scp/sftp, men ikke shell? (bortsett fra et par brukere)

[Manuel]

Jeg kan ikke blokere ipadresser generelt. Om det hadde vært mulig å bare tilate root fra bestemte ip'r hadde det jo vært en løsning, men iptables kan ikke skille på brukernavn. Vanlige brukere må i utgangspunktet være tilgjengelige fra alle IP'r. Root klarer seg med tilgang fra de andre serverene.

iptables klarer (selvfølgelig) bare å filtrere utgående pakker etter uid. Skal man hindre hindre root-tilgang fra en bestemt ip-range er dette en jobb for ssh, ikke firewallen.

[petterg]

iptables klarer (selvfølgelig) bare å filtrere utgående pakker etter uid. Skal man hindre hindre root-tilgang fra en bestemt ip-range er dette en jobb for ssh, ikke firewallen.

Ja, og pam styrer innlogginga til sshd, så da må man vel ordne det på pam nivå?

[Manuel]

iptables klarer (selvfølgelig) bare å filtrere utgående pakker etter uid. Skal man hindre hindre root-tilgang fra en bestemt ip-range er dette en jobb for ssh, ikke firewallen.

Ja, og pam styrer innlogginga til sshd, så da må man vel ordne det på pam nivå?

Hva med å legge inn linjene i sshd_config:

DenyUsers *
AllowUsers [email protected].*

Dette vil (hvis syntaksen er riktig) hindre alle brukere å logge på, men neste regel åpner for at root får tilgang via ip-rangen 193.236.0.0/255.255.0.0. Dette er kanskje ikke så veldig lurt... Hva med å nekte root-aksess via ssh, og tvinge brukerne til å bruke su eller sudo (som du igjen kan begrense til en gruppe eller bruker(e))? Sistnevnte lager litt mer uvesen hvis brukeren skriver feil passord...

Endret 22. desember 2004 av Manuel

[petterg]

Var ikke klar over at man kunne spesifisere ip adresser i sshd.conf.

Kan jo prøve med

DenyUsers root@*

AllowUsers root@[ipadresse1]

AllowUsers root@[ipadresse2]

 

Tar ikke sjansen på å prøve det før i kveld uten å sitte på lokal maskin. (Har konfigurert iptables via ssh før, og låst meg selv ute.)

[objorkum]

Var ikke klar over at man kunne spesifisere ip adresser i sshd.conf.

Kan jo prøve med

DenyUsers root@*

AllowUsers root@[ipadresse1]

AllowUsers root@[ipadresse2]

 

Tar ikke sjansen på å prøve det før i kveld uten å sitte på lokal maskin. (Har konfigurert iptables via ssh før, og låst meg selv ute.)

PermitRootLogin no

[Gjest Slettet+432]

Tror kanskje det er lurest å bare nekte root-innlogging via ssh og heller bruke su, som Manuel foreslo.

[petterg]

Hvis jeg skal nekte root login må jeg ha en måte å gjøre su/sudo på når jeg kommer med scp og sftp. Det tror jeg ikke er mulig.

[Gjest Slettet+432]

Åja... nei, det har jeg aldri prøvd før, så det vet jeg ikke... Kan du ikke bare gi brukeren nok rettigheter da?

[objorkum]

Kan du ikkje lage ein ny gruppe som berre din brukar er med i, og så gir du rettigheitar på mappene slik at gruppa har tilgang.

[Langbein]

Tar ikke sjansen på å prøve det før i kveld uten å sitte på lokal maskin. (Har konfigurert iptables via ssh før, og låst meg selv ute.)

Gjett om jeg også har blitt eid noen ganger pga dette :!:

 

Men jeg fant på et lite triks for iptables:

 

Istedenfor å modifisere det orginale iptables-scriptet, laget jeg et med nytt filnavn. Før jeg eksekverte det nye satt jeg opp en at-job som starter det gamle iptables-scriptet (som jeg jo vet at fungerer) med en forsinkelse på x antall minutter. Så da kan man trygt kjøre det nye scriptet, og hvis man får logga inn kan man bare slette at-job'en. Og hvis man ikke får logga inn må man pent vente et par minutter.

 

Liknende opplegg kunne man kanskje også ordnet for sshd osv.

Endret 23. desember 2004 av Langbein

[zyp]

FireHOL (iptables-frontend) har også en slik feature.

Når du endrer på configen så kan du teste den med firehol try.

Da har du 30 sek på deg til å skrive commit, om du vil beholde den nye, hvis ikke så byttes det tilbake til den gamle.

[petterg]

Åja... nei, det har jeg aldri prøvd før, så det vet jeg ikke... Kan du ikke bare gi brukeren nok rettigheter da?

Jo, gjerne.

Hvordan kan jeg lage en bruker som har tilgang til å lese alle filer uavhengig av hvem som er eier av disse? (Dette hadde vært sært nyttig i backup sammenheng også.)

[petterg]

Istedenfor å modifisere det orginale iptables-scriptet, laget jeg et med nytt filnavn. Før jeg eksekverte det nye satt jeg opp en at-job som starter det gamle iptables-scriptet (som jeg jo vet at fungerer) med en forsinkelse på x antall minutter.

Jeg har pleid å legge en cronjob som tar /etc/init.d/iptables restart

(Har satt init scriptet slik at det ikke lagrer på stop.)

[Manuel]

Åja... nei, det har jeg aldri prøvd før, så det vet jeg ikke... Kan du ikke bare gi brukeren nok rettigheter da?

Jo, gjerne.

Hvordan kan jeg lage en bruker som har tilgang til å lese alle filer uavhengig av hvem som er eier av disse? (Dette hadde vært sært nyttig i backup sammenheng også.)

Jeg tror du heller skal lage en egen gruppe som har lesetilgang til alle filer. Da kan du legge så mange brukere du vil til denne gruppen,

[petterg]

Jeg tror du heller skal lage en egen gruppe som har lesetilgang til alle filer. Da kan du legge så mange brukere du vil til denne gruppen,

Hvordan lager man en slik gruppe? Eller rettere sakt: hvordan gir man en gruppe slike tilganger?

(Om man skulle satt alle filer til å bli eiet av denne gruppa vil man skape diverse andre problemer.)

[petterg]

Har fått et tips om at metalog kan trigge et script basert på reg-expr matching med det som logges. Tipper at syslog-ng også kan dette. Er i ferd med å lese om syslog-ng nå. Å lage et script som tar ip-adresse som parameter og lager en regel til iptables basert på dette er jo ganske enkelt. Kan t.o.m putte alle forbindelser fra den ip'n i en tar pit!

 

Så det gjelder altså bare å finne ut hvordan man konfigurerer syslog-ng.

[ways]

Med det samme vi er i gang: Er det mulig å sette opp sshd slik at den *kun* tillater scp/sftp, men ikke shell? (bortsett fra et par brukere)

sett shell til /dev/null. men ikke på root da =)