hi,
folgende Voraussetzungen:
Ich betreibe einen Suse9.0 prof. PC als Gateway zwischen dem internem Netzwerk und dem Internet. Ich MUß ein SSH-Login von extern zulassen, da darüber ein Tunnel auf den internen Mail-Server aufgebaut wird.
Mein Problem:
Da es Probleme mit der Zertifikats-Authorisation aus z.B. Asien gibt mußte ich erst mal auf normale Passwort-Authorisation umstellen. Damit funktioniert auch alles ohne Probleme.
Ich möchte es aber nicht erlauben das sich root vom Internet einloggen kann (verständlicherweise). Andererseits steht der Rechner im Keller. Ein Root-Login vom internen Netzwerk wäre also sehr Praktisch. Gibt es da irgendwelche Möglichkeiten oder hat jemand eine alternative parat?
PS: letztens hatte ich einen Ping aus Singapore von ca. 500ms.
mfg
Andreas
sshd
Mahlzeit,
sshd_config:
PermitRootLogin no
wenn du dich dann als user xxx eingeloggt hat, hindert dich keiner daran, dich per su
zum root zu machen
Gruss
sehr vernüftig:ch möchte es aber nicht erlauben das sich root vom Internet einloggen kann (verständlicherweise). Andererseits steht der Rechner im Keller. Ein Root-Login vom internen Netzwerk wäre also sehr Praktisch. Gibt es da irgendwelche Möglichkeiten oder hat jemand eine alternative parat?
sshd_config:
PermitRootLogin no
wenn du dich dann als user xxx eingeloggt hat, hindert dich keiner daran, dich per su
zum root zu machen
Gruss
Mahlzeit,
aber dann ist das einloggen als beliebiger user auch eine sicherheitslücke:
man kann ja dann anfangen, verwundbare programme zu suchen und sich zum root machen...
eigentlich ist dann der rechner mit seinen diensten auch schon verwundbar, wenn die dienste von "aussen" (internet) erreichbar sind ...
zurück zum thema: kannst du das "erreichbar sein" auf ip-(bereiche) einschränken?
dann kann man diese ip's auf sshd per iptables erlauben, andere zugriffe sperren
Gruss
ja ....wenn man's mal genau nimmt, ist su nicht genau genommen auch eine Sicherheitslücke???
aber dann ist das einloggen als beliebiger user auch eine sicherheitslücke:
man kann ja dann anfangen, verwundbare programme zu suchen und sich zum root machen...
eigentlich ist dann der rechner mit seinen diensten auch schon verwundbar, wenn die dienste von "aussen" (internet) erreichbar sind ...
zurück zum thema: kannst du das "erreichbar sein" auf ip-(bereiche) einschränken?
dann kann man diese ip's auf sshd per iptables erlauben, andere zugriffe sperren
Gruss