Preusse, Mathias, Donnerstag, 17. Juni 2004 10:20:
ich nehme an, es geht nur um administrative Zugriff per SSH.
Jo, reines Überwachen/Administrieren der Linux-Systeme im entfernten LAN.
- niemals direkte Logins von extern auf eine Firewall oder interne Systeme. Wenn unbedingt Zugriffe auf Internet-Anwendungen nötig sind (Webserver o.ä.) dann nur auf Apps, die in einer chroot Umgebung stehen und möglichst nicht unter root Account laufen.
Aber irgendwann und irgendwie muß ich doch mal ein root in einer Nicht-Chroot-Umgebung werden können, sonst kann ich nicht administrieren.
- separate Maschne mit ISDN Einwahl und Callback (natürlich nur, wenn der Caller immer feststeht), von dort aus dann alle administrativen Zugriffe. Mögliche Variante wäre die ISDN Einwahl auf die Firewall
Das ist jeweils recht ungünstig, denn damit reicht mir ein bloßer Internet-Zugang nicht mehr aus, um mich einloggen zu können. Indes sehe ich schon ein, daß so ein Callback schon eine sehr feine Lösung wäre. Aber wie gesagt - manchmal habe ich nicht mehr als meine Datenkarte im Notebook, über die ich den Internet-Zugang realisiere, und mehr nicht.
Willst du interne Anwendungen an externe User durchreichen, wäre eher eine VPN-Anbindung anzuraten (vielleicht sogar auf eine Terminal Server Umgebung).
Ist denn der Aufbau eines VPN sicherer als der Aufbau eines ssh-Tunnels? Gruß. Andy -- Antworten an lists@feile.net werden in /dev/null archiviert! Bitte ggf. lists... durch mail... ersetzen. Andreas Feile www.feile.net