Auto-Passwort-Change

[DaMaxx]

Guten Tag,

Ich hab da mal eine frage im bezug auf ein Packet/Script was mir Automatisch zu einem bestimmten Zeitpunkt sagen wir mal alle 2 Tage um 0 Uhr die Passwörter von mir vorher ausgewählten MySQL oder normalen Usern ändert und dann diese Passwörter mir Mail und meinen anderen Mitgliedern Mailed!

Einige werden sich nun die Frage stellen wieso? Ich betreibe eine etwas größere Community worauf ich aber nicht weiter eingehen will. Mein problem besteht in den dauernden bruteforce Angriffen oder ähnlichen Attacken gegen meine Server! Natürlich sind meine Passwörter weitgehend so gut wie möglich abgesichert trotzdem gab es in den letzten monaten einige vorfälle welche mir nicht gefielen seit dem hab ich die angewohnheit meine Passwörter per Hand regelmäßig zu ändern. Aber wie Ihr euch sicherlich vorstellen könnt ist das auf dauer ziemlich nervraubend.

Wäre vielleicht auch gut wenn mir jemand beispielsweise erklären kann wie ich das über die IPTables unterbinden kann oder eben eine bessere möglichkeit!

Ich bin für alles offen!

Mit freundlichem Gruß

DaMaxx

[Lirion]

Auch wenn du uns die dubiose Community nicht näherlegen willst (^^ gut, ist für die Problemlösung auch nicht zwingend notwendig), wäre doch der Scriptinhalt oder der Paketname und der eventuelle Inhalt der crontab ein Anfang. Sonst wird's mit der Frage in Bezug auf das Paket/Script schwer.

[DaMaxx]

wäre doch der Scriptinhalt oder der Paketname und der eventuelle Inhalt der crontab ein Anfang

nunja das wäre ja meine frage an euch

[spoi]

also das ssh root pw z.b. lässt sich relativ simpel per Script ändern. Einfach:

Code: Alles auswählen

{ echo '12345678'; sleep 1; echo '12345678';} | passwd root

das z.b. per exec() mittels php script ausgeführt und vorher ein Passwort zufällig generiert und per Email versendet.

MySQL Passwörter lassen sich mit php auch ohne Probleme ändern, einfach folgende MySQL Statements nutzen.

Code: Alles auswählen

mysql> UPDATE user SET Password=PASSWORD('mein_pwd') WHERE user='root';
mysql> flush privileges;

Fraglich ist natürlich, wie sinnvoll es ist ein Passwort via E-Mail zu versenden. Ich hätte halt einfach den MySQL-Server nur von localhost bzw. von den Webservern aus zugänglich gemacht. Den root login per ssh verboten, einen unprivilegierten Benutzer angelegt und diesem nur den Login mit Zertifikaten erlaubt.

[DaMaxx]

In sachen Root PWs stimme ich dir 100% zu jedoch bei MySQL ist das nicht möglich da wir für meine Community ziemlich viel mit Navicat an den DB's arbeiten!

[Lohengrin]

Ich finde das Passwort-Ändern einfach nur nervig.
Wenn du sowas per Email verschickst, dann hoffentlich nur verschlüsselt. Und wer verschlüsselte Emails lesen kann, wird auch verdammtnochmal sich ein gutes Passwort ausdenken können.

[spoi]

Dann würde ich SSH schon mal wie beschrieben lösen und den MySQL Login würde ich dann einfach an die IP-Adressen der Administratoren und localhost binden.

Wenn die Administratoren nicht über eine statische IP verfügen, dann gibt es zwei Möglichkeiten:
- VPN währ wohl die umfangreichere
- Ein kleines php Script gebaut, das eine kleine Seite mit einem Button bereit stellt und wird der Button gedrückt, so wird die IP Adresse des entsprechenden users in der MySql DB aktualisiert und gut. Das php script auf eine Stelle auf den Webserver gelegt, dessen Pfad keiner außer den admins kennt und mit htaccess nen Login vor gebaut.