SSH-Keys für Administratorkonten
SSH-Keys für Administratorkonten
Hallo,
ich würde mir wünschen, dass die Profileinstellungen der Administratorkonten um die Profileinstellungen der "normalen" Benutzerkonten ergänzt werden.
Die Reiter "Account-Einstellungen" und "Sicherheit" gibt es ja bereits 1 zu 1 in beiden Profileinstellungen.
Die Reiter "Kontaktdaten" und "SSH-Schlüssel" gibt es bisher allerdings leider nur für Benutzerkonten und nicht für Administratorkonten.
Gerade bei den Administratorkonten wäre es doch wünschenswert, wenn man direkt auch die entsprechenden SSH-Keys hinterlegen könnte, damit die angelegten Administratoren sich auch via SSH auf dem Server anmelden können und man wie bei den Benutzerkonten eine schöne Übersicht der SSH-Keys hat.
Die Daten sollten dann natürlich auch weiterhin alle vom Hauptadministrator bearbeitbar sein.
Ich gehe nämlich aktuell immer den Umweg, dass ich die Benutzer, die eigentlich Administratoren sein sollten als normale Benutzerkonten anlege, damit ich dort dann entsprechend die SSH-Keys hinterlegen kann. Das funktioniert zwar im Prinzip auch, ist aber einfach unschön, weil die eigentlichen Administratorkonten nicht unter dem Reiter "Administratorkonten" sondern bei den normalen Benutzerkonten liegen. Dadurch gibt es dann für jeden Administrator immer 2 Benutzer. Einmal das normale Benutzerkonto für SSH und einmal das Administrator-Benutzerkonto für die KeyHelp Oberfläche.
Als kleines Extra (nicht notwendig aber vielleicht ganz praktisch) könnte noch eine Checkbox (Sudoers) eingebaut werden, mithilfe dessen Administratoren direkt in die Sudoers Liste aufgenommen werden können.
Ich würde mich über Feedback zu meinem Vorschlag freuen
Viele Grüße
Tim
ich würde mir wünschen, dass die Profileinstellungen der Administratorkonten um die Profileinstellungen der "normalen" Benutzerkonten ergänzt werden.
Die Reiter "Account-Einstellungen" und "Sicherheit" gibt es ja bereits 1 zu 1 in beiden Profileinstellungen.
Die Reiter "Kontaktdaten" und "SSH-Schlüssel" gibt es bisher allerdings leider nur für Benutzerkonten und nicht für Administratorkonten.
Gerade bei den Administratorkonten wäre es doch wünschenswert, wenn man direkt auch die entsprechenden SSH-Keys hinterlegen könnte, damit die angelegten Administratoren sich auch via SSH auf dem Server anmelden können und man wie bei den Benutzerkonten eine schöne Übersicht der SSH-Keys hat.
Die Daten sollten dann natürlich auch weiterhin alle vom Hauptadministrator bearbeitbar sein.
Ich gehe nämlich aktuell immer den Umweg, dass ich die Benutzer, die eigentlich Administratoren sein sollten als normale Benutzerkonten anlege, damit ich dort dann entsprechend die SSH-Keys hinterlegen kann. Das funktioniert zwar im Prinzip auch, ist aber einfach unschön, weil die eigentlichen Administratorkonten nicht unter dem Reiter "Administratorkonten" sondern bei den normalen Benutzerkonten liegen. Dadurch gibt es dann für jeden Administrator immer 2 Benutzer. Einmal das normale Benutzerkonto für SSH und einmal das Administrator-Benutzerkonto für die KeyHelp Oberfläche.
Als kleines Extra (nicht notwendig aber vielleicht ganz praktisch) könnte noch eine Checkbox (Sudoers) eingebaut werden, mithilfe dessen Administratoren direkt in die Sudoers Liste aufgenommen werden können.
Ich würde mich über Feedback zu meinem Vorschlag freuen
Viele Grüße
Tim
Re: SSH-Keys für Administratorkonten
Administratoren existieren nur in der KeyHelp Datenbank, wohingegen die im KeyHelp angelegten Benutzerkonten auch Systembenutzer im Betriebssystem sind.
Systembenutzer können sich wie via SSH einloggen, aber Administratoren sind keinem Systembenutzer zugeordnet und können sich somit nicht via SSH einloggen.
Systembenutzer können sich wie via SSH einloggen, aber Administratoren sind keinem Systembenutzer zugeordnet und können sich somit nicht via SSH einloggen.
Mit freundlichen Grüßen / Best regards
Alexander Mahr
**************************************************************
Keyweb AG - Die Hosting Marke
Neuwerkstr. 45/46, 99084 Erfurt / Germany
http://www.keyweb.de - http://www.keyhelp.de
**************************************************************
Alexander Mahr
**************************************************************
Keyweb AG - Die Hosting Marke
Neuwerkstr. 45/46, 99084 Erfurt / Germany
http://www.keyweb.de - http://www.keyhelp.de
**************************************************************
Re: SSH-Keys für Administratorkonten
Hallo,
man könnte es ja vielleicht entsprechend umbauen, so dass auch Administratoren im Betriebssystem angelegt werden (ohne zuweisbare Ressourcen).
Zumindest bei mir gibt es keinen Grund, einem Administrator keinen SSH-Zugang zu geben. Jeder der sich im KeyHelp als Administrator anmelden kann, kann sowieso nahezu das ganze System verwalten.
Aktuell muss man aber für jeden Admin ein eigenes KeyHelp Konto und dann nochmal einen separaten SSH-Admin anlegen. Das ist etwas umständlich und meiner Meinung nach eigentlich unnötig.
So sieht man dann alle Benutzer- und Administratorkonten mit den jeweiligen SSH-Keys übersichtlich im KeyHelp und hat nicht noch 5 Benutzer auf dem System, die im KeyHelp nirgendwo auftauchen, weil die nur auf dem OS mal irgendwann angelegt wurden.
Viele Grüße
Tim
man könnte es ja vielleicht entsprechend umbauen, so dass auch Administratoren im Betriebssystem angelegt werden (ohne zuweisbare Ressourcen).
Zumindest bei mir gibt es keinen Grund, einem Administrator keinen SSH-Zugang zu geben. Jeder der sich im KeyHelp als Administrator anmelden kann, kann sowieso nahezu das ganze System verwalten.
Aktuell muss man aber für jeden Admin ein eigenes KeyHelp Konto und dann nochmal einen separaten SSH-Admin anlegen. Das ist etwas umständlich und meiner Meinung nach eigentlich unnötig.
So sieht man dann alle Benutzer- und Administratorkonten mit den jeweiligen SSH-Keys übersichtlich im KeyHelp und hat nicht noch 5 Benutzer auf dem System, die im KeyHelp nirgendwo auftauchen, weil die nur auf dem OS mal irgendwann angelegt wurden.
Viele Grüße
Tim
Re: SSH-Keys für Administratorkonten
Naja.
Ich persönlich finde es sehr gut, dass Webadmin und Sysadmin nichts miteinander zu tun haben.
Dadurch, dass in der Datenbank nur User stehen könnte ein potenzieller Angreifer lediglich Userrechte erlangen.
sudo gibt es bei mir ohnehin für keinen User.
Ich persönlich finde es sehr gut, dass Webadmin und Sysadmin nichts miteinander zu tun haben.
Dadurch, dass in der Datenbank nur User stehen könnte ein potenzieller Angreifer lediglich Userrechte erlangen.
sudo gibt es bei mir ohnehin für keinen User.
Gruß,
Tobi
-----------------------------
wewoco.de
Das Forum für Reseller, Digital-Agenturen, Bildschirmarbeiter und Mäuseschubser
Tobi
-----------------------------
wewoco.de
Das Forum für Reseller, Digital-Agenturen, Bildschirmarbeiter und Mäuseschubser
Re: SSH-Keys für Administratorkonten
Ich sehe das auch so - das sollte durchaus getrennt bleiben
Oh, das würde ich so nicht sagen. Da gibt es noch einiges, was ein Keyhelp-Administrator nicht kann (und auch bei dem, was er kann sind durch die Weboberfläche ja nun doch Grenzen gesetzt bzw. stehen Plausibilitäts- und Fehlerprüfungen davor)Jeder der sich im KeyHelp als Administrator anmelden kann, kann sowieso nahezu das ganze System verwalten.
Re: SSH-Keys für Administratorkonten
Sicherlich kann ein KeyHelp Administrator nicht alles am Server machen aber er hat - soweit ich weiß - genügend Reche, um alle Benutzerkonten samt Daten und Backups zu löschen. Wenn dieser Fall eintritt, kann mir vermutlich auch egal sein, ob er per SSH noch "den Rest" löscht.
Aber ich kann definitiv nachvollziehen, dass nicht jeder Administrator zwingend SSH-Zugriff haben soll.
Vielleicht ließe sich das ganze ja analog zu den Benutzerkonten optional gestalten, indem man beim Anlegen / Bearbeiten eines Administratorkontos einfach eine Checkbox "SSH" aktivieren kann oder eben nicht.
Re: SSH-Keys für Administratorkonten
Wieviele Keyhelp-Administratoren hast du denn und welche Rechte würdest du denen denn als System-User geben wollen? Die Keyhelp-Administratoren sind eben genau das, was der Name sagt. Administratoren für Keyhelp, sie sind keine Keyhelp-Benutzer und keine System-User - und ich finde das auch gut und richtig so. Der Administrator meines CMS ist auch kein System-User und kann sich folglich nicht per SSH anmelden. Meine Keyhelp-Benutzer, auch wenn das im Moment nur jeweils ich bin mit mehreren Accounts, haben auch nur teilweise SSH-Zugang. Dafür habe ich auch einen User, der kein Keyhelp-Benutzer ist und sich per SSH anmelden kann.
- OlliTheDarkness
- Posts: 1854
- Joined: Tue 14. Aug 2018, 16:41
- Location: Essen (NRW)
Re: SSH-Keys für Administratorkonten
Kurz um, schließe ich mich dem großen ganzen an -1, dagegen weil Sinnfrei.
1. Hat man keine 10, 20, 30 - 50000 Admins im System, welche dann auch noch auf der Shell spazieren gehen können.
2. Hat man im "Normalfall" 1-3 Admins im System, welchen man dann auch mal eben schnell nen Key produzierst.
Weil den Schlüssel legst einmal an und fertig und erstellst ihn ja nicht tag täglich neu.
Daher Nein, Nein & Sinnfrei = Absolut
1. Hat man keine 10, 20, 30 - 50000 Admins im System, welche dann auch noch auf der Shell spazieren gehen können.
2. Hat man im "Normalfall" 1-3 Admins im System, welchen man dann auch mal eben schnell nen Key produzierst.
Weil den Schlüssel legst einmal an und fertig und erstellst ihn ja nicht tag täglich neu.
Daher Nein, Nein & Sinnfrei = Absolut
Mit freundlichen Grüßen
OlliTheDarkness
**************************************************************
Helden leben lange, Legenden sterben nie
World Hack Organization
**************************************************************
OlliTheDarkness
**************************************************************
Helden leben lange, Legenden sterben nie
World Hack Organization
**************************************************************
Re: SSH-Keys für Administratorkonten
Ich würde den KeyHelp-Administratoren alle Rechte (sudoers) einräumen, damit diese eben auch ohne Abhängigkeiten alles vernünftig administrieren können.tab-kh wrote: ↑Fri 10. Sep 2021, 13:30 Wieviele Keyhelp-Administratoren hast du denn und welche Rechte würdest du denen denn als System-User geben wollen? Die Keyhelp-Administratoren sind eben genau das, was der Name sagt. Administratoren für Keyhelp, sie sind keine Keyhelp-Benutzer und keine System-User - und ich finde das auch gut und richtig so. Der Administrator meines CMS ist auch kein System-User und kann sich folglich nicht per SSH anmelden. Meine Keyhelp-Benutzer, auch wenn das im Moment nur jeweils ich bin mit mehreren Accounts, haben auch nur teilweise SSH-Zugang. Dafür habe ich auch einen User, der kein Keyhelp-Benutzer ist und sich per SSH anmelden kann.
Wie schon gesagt muss ich sowieso absolutes Vertrauen gegenüber allen KeyHelp-Administrator haben, weil diese (nahezu) uneingeschränkt jederzeit alles auf dem System (und auch alle Backups) löschen können. Dann kann ich denen genauso gut root-Zugang geben.
Vertraue ich in der Hinsicht einem KeyHelp-Administrator nicht zu 100%, so darf ich ihm auch keinen KeyHelp-Account anlegen, weil der dem root-Zugang schon ziemlich nahe kommt.
Ich stimme aber dem Punkt von mhagge zu, dass im KeyHelp immerhin noch eine Plausibilitäts- und Fehlerprüfung erfolgt, was zumindest unbeabsichtigtes Löschen verhindern kann (dafür dann die Einstellung, welche Administratoren SSH nutzen dürfen).
Re: SSH-Keys für Administratorkonten
Das Anlegen eines System-Users ist doch innerhalb von 2 Minuten erledigt. Und wenn er sudo-Rechte haben soll, dann legen wir halt noch 20 Sekunden drauf. Aber die Rechte dieser Keyhelp-Administratoren im System müsstest du sowieso auf Systemebene setzen, oder sollen jetzt auch noch Systemrechte in Keyhelp eingestellt werden können? Der Unterschied im Aufwand beschränkt sich also darauf, den System-Benutzer gleich über Keyhelp erzeugen zu können anstatt mit einem Einzeiler in der SSH-Konsole. Die Verwaltung der SSH-Keys für die System-User ist jetzt mit Kopieren des Public Keys in den Nano oder sonstigen Editor auch nicht viel anders als Kopieren in ein Eingabefeld. Und wenn du sowieso all diesen Keyhelp-Administratoren und System-Sudoern blind vertraust/vertauen musst, dann können die sich doch gleich auch bedenkenlos einen Administrator/Sudo-Account teilen.
- OlliTheDarkness
- Posts: 1854
- Joined: Tue 14. Aug 2018, 16:41
- Location: Essen (NRW)
Re: SSH-Keys für Administratorkonten
2 Minuten ?tab-kh wrote: ↑Fri 10. Sep 2021, 14:34 Das Anlegen eines System-Users ist doch innerhalb von 2 Minuten erledigt. Und wenn er sudo-Rechte haben soll, dann legen wir halt noch 20 Sekunden drauf. Aber die Rechte dieser Keyhelp-Administratoren im System müsstest du sowieso auf Systemebene setzen, oder sollen jetzt auch noch Systemrechte in Keyhelp eingestellt werden können? Der Unterschied im Aufwand beschränkt sich also darauf, den System-Benutzer gleich über Keyhelp erzeugen zu können anstatt mit einem Einzeiler in der SSH-Konsole. Die Verwaltung der SSH-Keys für die System-User ist jetzt mit Kopieren des Public Keys in den Nano oder sonstigen Editor auch nicht viel anders als Kopieren in ein Eingabefeld. Und wenn du sowieso all diesen Keyhelp-Administratoren und System-Sudoern blind vertraust/vertauen musst, dann können die sich doch gleich auch bedenkenlos einen Administrator/Sudo-Account teilen.
10 Finger Suchsystem ?
Keine 30 Sek.
Mit freundlichen Grüßen
OlliTheDarkness
**************************************************************
Helden leben lange, Legenden sterben nie
World Hack Organization
**************************************************************
OlliTheDarkness
**************************************************************
Helden leben lange, Legenden sterben nie
World Hack Organization
**************************************************************
Re: SSH-Keys für Administratorkonten
Es geht mir nur um die Übersicht im KeyHelp und darum, nicht immer 2 Konten für KeyHelp und SSH anlegen zu müssen. Ich würde es ganz nett finden, wenn man die Administratorkonten und die dort hinterlegten Keys schnell im KeyHelp einsehen könnte (genauso wie bei den normalen Benutzerkonten). Natürlich ist das keine notwendige Funktion. Ich sehe das nur als kleine Verbesserung die man einbauen könnte (kann man natürlich genauso gut lassen).
Nein. Im Gegenteil. Ich halte nichts davon, Administratoren einzuschränken. Daher kann ich auch nicht nachvollziehen, wieso man Administratoren den SSH-Zugang nicht gewähren wollen sollte.
Das stimmt. Im Grunde könnte man das so machen.
Wo du das gerade erwähnst, frage ich mich auch, wozu es überhaupt die Funktion gibt, unendlich viele Administratorkonten anzulegen. Es gibt sowieso kein Rechtesystem, d.h. alle Admins können das gleiche (den Hauptadministrator mal ausgenommen, weil der jetzt auch nicht groß anders ist).
Re: SSH-Keys für Administratorkonten
Adler-Suchsystem mit 2-4 Fingern. Wie auch immer, ich brauche diese Funktionalität nicht, will aber niemandem absprechen, dass er sie vielleicht doch nützlich finden könnte. Die Entscheidung liegt letztlich wie immer bei Alexander.