Hinweis: Das Forum wird geschlossen! Neue Registrierungen sind nicht mehr möglich!

 Zurück zu Pro-Linux   Foren-Übersicht   FAQ     Suchen    Mitgliederliste
sshd

 
Neuen Beitrag schreiben   Auf Beitrag antworten    Pro-Linux Foren-Übersicht -> Sicherheit
Vorheriges Thema anzeigen :: Nächstes Thema anzeigen  
Autor Nachricht
andreas78



Anmeldungsdatum: 30.08.2004
Beiträge: 34

BeitragVerfasst am: 31. Aug 2004 10:12   Titel: sshd

hi,

folgende Voraussetzungen:
Ich betreibe einen Suse9.0 prof. PC als Gateway zwischen dem internem Netzwerk und dem Internet. Ich MUß ein SSH-Login von extern zulassen, da darüber ein Tunnel auf den internen Mail-Server aufgebaut wird.

Mein Problem:
Da es Probleme mit der Zertifikats-Authorisation aus z.B. Asien gibt mußte ich erst mal auf normale Passwort-Authorisation umstellen. Damit funktioniert auch alles ohne Probleme.

Ich möchte es aber nicht erlauben das sich root vom Internet einloggen kann (verständlicherweise). Andererseits steht der Rechner im Keller. Ein Root-Login vom internen Netzwerk wäre also sehr Praktisch. Gibt es da irgendwelche Möglichkeiten oder hat jemand eine alternative parat?

PS: letztens hatte ich einen Ping aus Singapore von ca. 500ms.

mfg
Andreas
 
Benutzer-Profile anzeigen Private Nachricht senden Yahoo Messenger

joersch
Gast





BeitragVerfasst am: 31. Aug 2004 14:04   Titel:

Mahlzeit,

Zitat:
ch möchte es aber nicht erlauben das sich root vom Internet einloggen kann (verständlicherweise). Andererseits steht der Rechner im Keller. Ein Root-Login vom internen Netzwerk wäre also sehr Praktisch. Gibt es da irgendwelche Möglichkeiten oder hat jemand eine alternative parat?

sehr vernüftig:
sshd_config:
PermitRootLogin no

wenn du dich dann als user xxx eingeloggt hat, hindert dich keiner daran, dich per su
zum root zu machen

Gruss
 

andreas78



Anmeldungsdatum: 30.08.2004
Beiträge: 34

BeitragVerfasst am: 31. Aug 2004 18:00   Titel:

hi,

wenn man's mal genau nimmt, ist su nicht genau genommen auch eine Sicherheitslücke???

mfg
andreas
 
Benutzer-Profile anzeigen Private Nachricht senden Yahoo Messenger

joersch
Gast





BeitragVerfasst am: 31. Aug 2004 22:09   Titel:

Mahlzeit,

Zitat:
wenn man's mal genau nimmt, ist su nicht genau genommen auch eine Sicherheitslücke???

ja ....
aber dann ist das einloggen als beliebiger user auch eine sicherheitslücke:
man kann ja dann anfangen, verwundbare programme zu suchen und sich zum root machen...
eigentlich ist dann der rechner mit seinen diensten auch schon verwundbar, wenn die dienste von "aussen" (internet) erreichbar sind ...

zurück zum thema: kannst du das "erreichbar sein" auf ip-(bereiche) einschränken?
dann kann man diese ip's auf sshd per iptables erlauben, andere zugriffe sperren

Gruss
 

andreas78



Anmeldungsdatum: 30.08.2004
Beiträge: 34

BeitragVerfasst am: 02. Sep 2004 6:05   Titel:

hi,

nee auf ip-adress-bereiche kann ich's nicht einschränken, da die betreffenden in Asien und USA unterwegs sind. Das einzigste was ich überlege ist ein shell-script was die log-datein abfragt(geht das überhaupt gleichzeitig lesend mit dem syslogd??) auf fehlerhafte login-versuche

mfg
andreas
 
Benutzer-Profile anzeigen Private Nachricht senden Yahoo Messenger

joersch
Gast





BeitragVerfasst am: 02. Sep 2004 11:39   Titel:

Mahlzeit,

ansehen:
http://www.portknocking.org/

und mal eine meinung äussern!

Gruss
 

andreas78



Anmeldungsdatum: 30.08.2004
Beiträge: 34

BeitragVerfasst am: 02. Sep 2004 18:33   Titel:

hi,

irgend wie krieg ich bei dem wortlaut "Port knocking is a method of establishing a connection to a networked computer that has no open ports " etwas angst. Ich muß mir das mal genau durchlesen.

mfg
andreas
 
Benutzer-Profile anzeigen Private Nachricht senden Yahoo Messenger

joersch
Gast





BeitragVerfasst am: 03. Sep 2004 9:35   Titel:

Mahlzeit,

im grunde genommen ist es das, was du oben schon selbst machen wolltest:

klopfe eine sequenz von anfragen in einer bestimmten reihenfolge an bestimmte ports
und dir wird aufgetan Wink dh zugriff auf andere ports (bei dir 22) erlauben

Gruss
 

Beiträge vom vorherigen Thema anzeigen:   
     Pro-Linux Foren-Übersicht -> Sicherheit Alle Zeiten sind GMT + 1 Stunde
Seite 1 von 1

 
Gehen Sie zu:  

Powered by phpBB © phpBB Group
pro_linux Theme © 2004 by Mandaxy