Benutzerwechsel in Winscp

_DexTeR_ · 2. Februar 2010

Guten Tag zusammen,

ich komme leider nicht drum rum auch mal eine Frage zu posten, da ich bisher keine passenden Einträge bei Google zu dem Thema gefunden habe.
Allgemein geht es um die Absicherung eines VServers.

Wie kann ich innerhalb einer Sitzung bei Winscp(das benutze ich ausschließlich) den Benutzer wechseln, ohne mich auszuloggen?

Da mein SSH Zugang für den Root gesperrt ist und ein anderer Benutzer angelegt wurde, würde ich den gerne innerhalb der Sitzung wechseln können, um wieder mit den Root Rechten zu arbeiten.

Im Terminal und über SSH direkt ist das ja kein Problem, aber die grafische Oberfläche von Winscp übernimmt das ja nicht.
D.h. was ich im Shell eingebe interessiert die Oberfläche von Winscp nicht, d.h. ich kann nur mit eingeschränkten Rechten auf dieser arbeiten und das würde ich gerne ändern.

Wäre nett, wenn mir jemand eine Info geben könnten, oder einen Stups in die richtige Richtung.

Robert · 2. Februar 2010

*stubs* http://winscp.net/eng/docs/faq_su

_DexTeR_ · 2. Februar 2010

Vielen Dank für den stubs
Das scheint mir für eine intensive ständige Wartung zu lästig.
So sollte bei einem ordentlichen Passwort mit über 20 Zeichen, also Groß-Klein, Sonderzeichen und Zahlen keine Gefahr bestehen, wenn ich den Root zum einloggen lasse.

Für das Wechseln des SSH-Port ist lediglich die entsprechende Eingabe per Befehl notwendig, oer müssen noch irgendwelche Datein umgeschrieben werden?

Robert · 2. Februar 2010

Also ich benutze WinSCP nicht. Den SSH-Port stellst du auf dem Server in /etc/ssh/sshd_config ein, wo das mit WinSCP als Client geht weiß ich nicht.

Zur Sicherheit des root-Benutzers: Es ist sicherer, sich per Private Key anzumelden. Wenn das der Client nicht unterstützt und/oder um noch mehr Sicherheit zu haben, kann man auch einen neuen Benutzer anlegen, der UID sowie GID 0 hat. Der hat dann auch root-Rechte, aber heißt nicht root.

_DexTeR_ · 2. Februar 2010

Eine letzte Frage würde ich gerne noch stellen.

In meinen Logfiles(mysql) und auch als Hinweis nach dem einloggen finde ich immer wieder diesen hier:

brsg-4dbbce53.pool.mediaWays.net

ich bin bei 1und1 und habe die Vermutung, dass ic hdas selber bin, würde aber gerne Eure Meinung nochmal hören...

perryflynn · 2. Februar 2010

Es ist jedenfalls eine 1&1 IP.

Code

<14:25:25> [~] nslookup brsg-4dbbce53.pool.mediaWays.net
Server:		217.237.149.142
Address:	217.237.149.142#53




Non-authoritative answer:
Name:	brsg-4dbbce53.pool.mediaWays.net
Address: 77.187.206.83







<14:25:29> [~] whois 77.187.206.83
% This is the RIPE Database query service.
% The objects are in RPSL format.
%
% The RIPE Database is subject to Terms and Conditions.
% See http://www.ripe.net/db/support/db-terms-conditions.pdf




% Note: This output has been filtered.
%       To receive output for a database update, use the "-B" flag.




% Information related to '77.184.0.0 - 77.191.255.255'




inetnum:        77.184.0.0 - 77.191.255.255
netname:        ONEANDONE-DSL
descr:          1&1 Internet AG
descr:          NCC#2007023660
country:        DE
admin-c:        UI-RIPE
tech-c:         UI-RIPE
remarks:        in case of abuse or spam, please mailto: dialin-abuse@1und1.de
remarks:        rev-srv:        nsa.1und1.de
remarks:        rev-srv:        nsa2.1und1.de
remarks:        rev-srv:        ns.ripe.net
status:         ASSIGNED PA
mnt-by:         SCHLUND-MNT
source:         RIPE # Filtered
remarks:        rev-srv attribute deprecated by RIPE NCC on 02/09/2009




role:           Schlund NCC
address:        1&1 Internet AG
address:        Brauerstrasse 48
address:        D-76135 Karlsruhe
address:        Germany
remarks:        For abuse issues, please use only abuse@oneandone.net
phone:          +49 721 91374 50
fax-no:         +49 721 91374 20
admin-c:        IPAD-RIPE
tech-c:         IPOP-RIPE
nic-hdl:        UI-RIPE
abuse-mailbox:  abuse@oneandone.net
mnt-by:         SCHLUND-MNT
source:         RIPE # Filtered




% Information related to '77.186.0.0/15AS6805'




route:          77.186.0.0/15
descr:          1&1 Internet AG
remarks:        netname: DE-1AND1-20061117
origin:         AS6805
mnt-by:         MDA-Z
source:         RIPE # Filtered




% Information related to '77.176.0.0/12AS6805'




route:          77.176.0.0/12
descr:          1&1 Internet AG
remarks:        netname: DE-1AND1-20061117
origin:         AS6805
mnt-by:         MDA-Z
source:         RIPE # Filtered

Alles anzeigen

Ist das Deine IP? Stichwort www.wieistmeineip.de

_DexTeR_ · 2. Februar 2010

Der Eintrag ist ein paar Tage her, deshalb kann ich das nicht mehr genau sagen, zumal ich gerade in der Firma bin.

War mehr eine generelle Frage, ob Linux nicht nur rein die IP zeigt, sondern auch verfügbare andere Informationen(wenn vorhanden) bei "LastLogin"?

Ist das normal, dass solche Einträge von einem Selber entstehen, oder ob dann schon jemand zugriff hatte, was mich arg wundern würde...

perryflynn · 2. Februar 2010

Jo. Das ist normal.
Soweit es geht wird die IP immer auf den Hostnamen aufgelöst.

_DexTeR_ · 2. Februar 2010

Vielen Dank für die antworten.
Habe jetzt die Root Probleme gelöst und alles nach meiner Zufriedenheit eingestellt.

Und ich brauch mir auch keine Sorgen machen, das da jemand drin war.
Alles schön, danke!

Robert · 2. Februar 2010

Zitat von sim4000;13239

Soweit es geht wird die IP immer auf den Hostnamen aufgelöst.

Wobei das auch durch

Code

UseDNS no

in der SSHd-Config ausgestellt werden kann.

_DexTeR_ · 3. Februar 2010

Guten Morgen,

jetzt ist genau das passiert, was nicht sein sollte.
Mein zweiter Benutzer hat angeblich Root Rechte.
Also habe ich mich mit dem Benutzer unter Winscp eingeloggt und wollte die logs durchschauen.

Dafür hat er keine Berechtigung.
Mit VI wollte ich mir die Dateien wirklich nicht anschaun, ich möchte das Problemlos über Winscp machen.

Gibt es dafür eine einfache Lösung?

Robert · 3. Februar 2010

Hast du keine Berechtigungen zum Einloggen oder nur für diese Datei? Also mein Eintrag in /etc/passwd sieht so aus:

Code

neuerRoot:x:0:0::/home/neuerRoot:/bin/bash

(Benutzername und Homeverzeichnis sind geändert, da egal)

Allerdings meine ich mich zu erinnern, dass ich mich anfangs einmal ausgesperrt hatte, indem ich RootLogin verboten habe. Die Lösung dafür in der SSHd-Config:

Code

DenyUsers root

Damit wird nur der normale root-Benutzer gesperrt.

Wenn der Login funktioniert, logge dich mal per SSH ein und überprüfe die Ausgabe des Befehls "id". Es sollte dort stehen:

Zitat

uid=0(root) gid=0(root) Gruppen=0(root)

Wenn das der Fall ist, sehe ich keinen Grund, warum du nicht auf eine Datei zugreifen können solltest. Um sicherzugehen, kannst du dir ja die Datei noch per SSH anzeigen lassen, aber wenn auch das geht, muss der Fehler bei WinSCP liegen...

_DexTeR_ · 3. Februar 2010

uid=0(root) gid=0(root) Gruppen=0(root)

Kann ich also bestätigen, ich komme problemlos über SSH in den Root, nur wollte ich datein nicht im reinen schwarz/weiss SSH editieren.

Will die grafische Oberfläche von Winscp nutzen. Alternativ währe auch ein Programm nützlich, mit dem ich das gleiche machen kann, wie mit Winscp, womit ich aber auch innerhalb einer Session den benutzer wechseln kann.

_DexTeR_ · 4. Februar 2010

Ok, also ich habe mich in den VI eingelesen und kann die Datei(sshd_config) im Notfall umschreiben und den SSH neustarten, dann geht auch der Login per Root und Winscp wieder. Ist zwar total aufwendig, aber aufgrund der Sicherheit zu verkraften.

perryflynn · 4. Februar 2010

Zitat

Ist zwar total aufwendig

Wenn man sich einmal in den Vim eingearbeitet hat, ist das die tollste Erfindung die es gibt.
Glaub mir.

Vim ist übrigens nicht gleich Vi. Der Vim ist noch mal ne Spur schöner.

Robert · 6. Februar 2010

vi mag zwar sehr mächtig sein, aber ich verwende trotzdem nano, das reicht mir.