Ik heb een gebruiker op mijn server toegevoegd aan de 'wheel' group zodat deze dezelfde rechten als root heeft. Ik had nu eigenlijk verwacht dat ik ook een map of bestand kan aanmaken in (bijvoorbeeld) de root-folder, maar dat gaat niet. Ik kan alleen een bestand aanmaken in de '/home/pietje' folder. Is dat normaal of doe ik iets verkeerd? Ik wil dus een user creëren die hetzelfde kan als de root.
Als je een user wilt maken die hetzelfde kan als root, dan moet je deze het uid 0 geven. Lid maken van wheel is bedoeld voor het gebruik van sudo, waarmee je commando's als root (of andere users) kunt uitvoeren.
Wat ik wil is de root login (SSH) disablen. Daarnaast wil ik dan een andere user waarmee ik alles kan doen, net als met root. Ik ben zelf de enige die op de server kan. Het lijkt me irritant als ik dan voor ieder project/website een andere user moet gaan gebruiken, dus één overkoepelende user leek mij dan wel handig. Maar hoe pak ik dit dan aan? Ik dacht dus, als ik 'm lid maak van de wheel group dan is het geregeld, maar blijkbaar niet dus.
Hoe moet ik die user uid 0 geven? En conflicteert dat dan niet met root? Zijn er nog andere opties?
Santhe, doel van zo'n actie om root ssh login te disablen zei je zelf al, omdat root oneindig geprobeerd kan worden met brute force. Dat kan wellicht met user ozzie_root ook maar niemand weet dat user ozzie_root bestaat immers? Security through obscurity. Maar eigenlijk ben ik het wel eens met je "su -" advies. Ik gebruik dat zelf ook.
Uiteraard ben ik het weer eens oneens met bovenstaande adviezen... ;-)
Het gebruik van su om root te worden is een best practice uit de jaren '70 of zo. Tegenwoordig wordt dat niet meer aanbevolen, en in Ubuntu-achtige distributies is het zelfs per default niet eens meer mogelijk.
Het grote nadeel van su is dat je in een shell komt en zelf actie moet ondernemen om weer terug te gaan naar je eigen (unprivileged) account. Het gevaar bestaat dus dat je te lang als root blijft werken en daarbij allerlei werkzaamheden verricht waarvoor je geen root-privileges nodig hebt. Not good.
Een betere manier om hiermee om te gaan is het gebruik van sudo. Je blijft daarmee gewoon onder je eigen ozzie-account werken, en als je dan een keertje root-rechten nodig hebt is dat heel eenvoudig te regelen. Zo kun je je bijvoorbeeld software compileren met een normaal account en de installatie uitvoeren als root:
[ozzie@localhost]$ ./configure
[ozzie@localhost]$ make
[ozzie@localhost]$ make test
[ozzie@localhost]$ sudo make install
Een verschil met su is dat sudo vraagt om je eigen wachtwoord en niet om dat van root. Dat maakt het mogelijk om een bepaalde gebruiker rechten te geven om een bepaald commando als root uit te voeren, zonder dat hij daarvoor het root-wachtwoord hoeft te weten. Het wachtwoord wordt trouwens een aantal minuten onthouden, zodat je het maar 1x hoeft in te voeren als je vlak achter elkaar een serie commando's met sudo uitvoert.
Je kan zelfs voor specifieke gebruikers of commando's bepalen dat het invoeren van een wachtwoord helemaal niet nodig is. Dat gebruik ik bijvoorbeeld om het mijn monitoringsoftware mogelijk te maken bepaalde informatie over de status van de harddisks op te vragen.
Oké, even wat meer toelichting nog. Ik weet hoe je de root-login moet disablen en su - moet gebruiken.
Mijn 'probleem' is op dit moment dat ik vanuit Kitty inlog als pietje en dan switch naar root. Vervolgens start ik vanuit Kitty WinSCP op. Ik had verwacht dat ik dan als user root zou zijn ingelogd op WinSCP, maar dat gebeurt niet. Kitty 'ziet' de omschakeling naar de user root niet, en logt dus in WinSCP in als gebruiker pietje. Met gebruiker pietje kan ik alleen bestanden/folders aanmaken in de map '/home/pietje'. Daarbuiten heb ik de root user nodig, maar dat werkt op deze manier dus niet.
Stel dat ik een tunnel zou creëren (moet even uitzoeken nog hoe dat precies werkt) en ik schakel in Kitty van user pietje naar user root. Vervolgens start ik WinSCP en maak ik via de tunnel in Kitty verbinding met de server. Ben ik dan wél in WinSCP ingelogd als root? Weet iemand dat?
Als je WinSCP gebruikt, kan het volgens mij gemakkelijker. Je kan WinSCP namelijk vertellen dat hij onder water een sudo moet uitvoeren. Je kan natuurlijk handmatig een tunnel opzetten, zoals je beschrijft. Zou volgens mij wel moeten werken, maar dat vind ik teveel werk. ;-)
Ervan uitgaand dat je CentOS 7 gebruikt: installeer de package openssh-server. Voor andere distributies kan dat anders zijn, maar in ieder geval moet je ergens een executable met de naam 'sftp-server' hebben. (Aangezien de locatie van sftp-server ook distributie-afhankelijk is, kan ik daar in het algemeen niet veel over zeggen.)
Als je vervolgens in WinSCP een nieuwe sessie aanmaakt, zie je in je loginscherm links een menuboom. Ga daarin naar Environment -> SFTP. Je krijgt dan in het blokje "Protocol options" een setting "SFTP server". De standaard opties die daar worden genoemd werken echter niet voor CentOS. Wijzig de setting in "sudo /usr/libexec/openssh/sftp-server" (uiteraard zonder quotes). Vervolgens kun je onder je eigen account inloggen, maar heb je voor je up/downloads root-rechten.
Het is mogelijk om rechtstreeks met WinSCP naar de server te connecten.
Mijn idee is echter om straks (als het me lukt) ook port-knocking toe te gaan passen. Wat ik dan wil doen is via Kitty de tunnel openen, en met andere applicaties tunnelen (via Kitty) naar de server.
Die tunnel is ondertussen gelukt en werkt ook met WinSCP. Ik geloof alleen dat ik dus ietsje teveel wil. Ik dacht dus ... als ik inlog met user pietje of user root en ik dan via WinSCP via de tunnel zou connecten met de server, dat ik dan ook automatisch zou zijn ingelogd als pietje of als root. Echter, ik moet in WinSCP weer opnieuw de gebruikersnaam en het wachtwoord invoeren. Kan WinSCP dat niet automatisch overnemen van Kitty vraag ik me af ... of wil ik nu gewoon te veel ... zucht :(
[size=xsmall]Toevoeging op 02/05/2016 01:08:48:[/size]
Eigenlijk is de vraag dus ... is het mogelijk om in te loggen via Kitty (Putty) en dat een applicatie die gebruikmaakt van de tunnel automatisch de gebruikersnaam en wachtwoord overneemt waarmee je op dat moment bent ingelogd in Kitty. Kan zoiets?
[size=xsmall]Toevoeging op 02/05/2016 02:49:58:[/size]
*******************************************************************
Ik ga mijn eigenlijk vraag even wat breder stellen:
Ik heb uit veiligheidsoverwegingen de root-login voor SSH uitgeschakeld. Ik heb daarnaast 1 user 'ozzie' waarmee ik op SSH wil kunnen inloggen. De user ozzie mag uit veiligheidsoverwegingen geen root-rechten hebben. Immers, als iemand het wachtwoord van ozzie zou achterhalen, dan zou hij meteen root zijn. Dus, user ozzie is een normale user ...
Nou ja, bijna normaal dan. Want wat ik wél graag zou willen is dat user ozzie in alle directories bestanden en mappen kan lezen, creëren, wijzigen en verwijderen. Dus deze user hoeft geen root-commando's uit te kunnen voeren, maar ik wil wel dat ik overal bestanden en mappen kan schrijven/wijzigen enz.
