Root User nur lokal erlauben !?

[Aixem]

Hi,
ich würde gerne unter SUSE 9.0 den root nur lokal erreichbar machen.
So das keine über das Netz sich als root anmelden kann.

Das ganze will/muss ich machen damit sich keiner im Netz eventuell ein Laufwerk mouten kann.

Oder gibt es da bessere Wege ?

 

[Boron]

Grundsätzlich ist es nur über Umwege möglich als root remote auf Linux zuzugreifen.
Telnet und SSH sind so konfiguriert, dass man sich nicht als root einloggen kann.

Mounten kann grundsätzlich nur root.
Außer du markierst ein Verzeichnis/Laufwerk für die User mountbar in der /etc/fstab. Die wird z.B. mit den CD/DVD Laufwerken gemacht.

Wenn du als Admin das root-Passwort rausgibst, dann kann die keiner helfen, wenn die User Mist bauen. Tue es also nicht -> sehr böse!

 

[Aixem]

Also ich komme mit SUSE 9.0 Standart per SSH als root auf den Rechner !

Kannst du mir sagen wo ich es expliziet ändern kann das root per remote erreichbar ist oder nicht ?

Schonmal nen Gruß und Dank im vorraus.

// wo will ich denn mein root password rausgeben ? ... Dient nur der Sicherheit

 

[marcelcedric]

Moin,

in der SSH-Config (/etc/ssh/sshd.conf *glaub*) aber da du SuSE hast, kannst du das glaub ich auch in Yast2 festlegen.

mfg

 

[Boron]

Das ist aber komisch?!?

Suche mal im Verzeichnis /etc nach einer Datei die sshd.conf oder irgendwie so ähnlich heißt. Entweder sit die Datei mit Kommentaren vollgestopft, so dass dies als Hilfe ausreicht, oder du machst siehst dir in einer Konsole die Manpage zu sshd.conf an.
Ob die Datei wirklich sshd.conf heißt weiß ich nicht.

 

[Aixem]

ok
Habe die sshd gefunden. Komplett ausdokumentiert .... Die Datei verweist auch auf sich selber

Habe den Kommentar aus entfernt #PermitRootLogin yes

leider keine Funktion

$OpenBSD: sshd_config,v 2.65 2003/08/28 12:54:34 markus Exp $

# This is the sshd server system-wide configuration file. See
# sshd_config(5) for more information.

# This sshd was compiled with PATH=/usr/bin:/bin:/usr/sbin:/sbin

# The strategy used for options in the default sshd_config shipped with
# OpenSSH is to specify options with their default value where
# possible, but leave them commented. Uncommented options change a
# default value.

#Port 22
#Protocol 2,1
#ListenAddress 0.0.0.0
#ListenAddress ::

# HostKey for protocol version 1
#HostKey /etc/ssh/ssh_host_key
# HostKeys for protocol version 2
#HostKey /etc/ssh/ssh_host_rsa_key
#HostKey /etc/ssh/ssh_host_dsa_key

# Lifetime and size of ephemeral version 1 server key
#KeyRegenerationInterval 1h
#ServerKeyBits 768

# Logging
#obsoletes QuietMode and FascistLogging
#SyslogFacility AUTH
#LogLevel INFO

# Authentication:

#LoginGraceTime 2m
#PermitRootLogin yes
#StrictModes yes

#RSAAuthentication yes
#PubkeyAuthentication yes
#AuthorizedKeysFile .ssh/authorized_keys

# For this to work you will also need host keys in /etc/ssh/ssh_known_hosts
#RhostsRSAAuthentication no
# similar for protocol version 2
#HostbasedAuthentication no
# Change to yes if you don't trust ~/.ssh/known_hosts for
# RhostsRSAAuthentication and HostbasedAuthentication
#IgnoreUserKnownHosts no
# Don't read the user's ~/.rhosts and ~/.shosts files
# Don't read the user's ~/.rhosts and ~/.shosts files
#IgnoreRhosts yes

# To disable tunneled clear text passwords, change to no here!
#PasswordAuthentication yes
#PermitEmptyPasswords no

# Change to no to disable s/key passwords
#ChallengeResponseAuthentication yes

# Kerberos options
#KerberosAuthentication no
#KerberosOrLocalPasswd yes
#KerberosTicketCleanup yes

# GSSAPI options
#GSSAPIAuthentication no
#GSSAPICleanupCreds yes

# Set this to 'yes' to enable PAM authentication (via challenge-response)
# and session processing. Depending on your PAM configuration, this may
# bypass the setting of 'PasswordAuthentication'
#UsePAM yes
#AllowTcpForwarding yes
#GatewayPorts no
X11Forwarding yes
#X11DisplayOffset 10
#X11UseLocalhost yes
#PrintMotd yes
#PrintLastLog yes
#KeepAlive yes
#UseLogin no
UsePrivilegeSeparation no
#PermitUserEnvironment no
#Compression yes
#ClientAliveInterval 0
#ClientAliveCountMax 3
#UseDNS yes
#PidFile /var/run/sshd.pid
#MaxStartups 10

# no default banner path
#Banner /some/path

# override default of no subsystems

 

[Boron]

Mach das Kommentarziechen weg und schreibe:
PermitRootLogin no

Weil "to permit" "erlauben/gestatten" auf deutsch heißt .

Dann startest du den SSH Daemon neu.

 

[migl]

Du musst
permitrootlogin no
machen

 

[Aixem]

Danke hat bestens funktioniert.

Bin zufällig hier drauf gestossen, ich denke mal das ist besser

http://www.pl-berichte.de/t_netzwerk/ssh.html