Mailinglist Archive: opensuse-de (4127 mails)
| < Previous | Next > |
Re: Sicherheitskonzept mit ssh
- From: Andreas Feile <lists@xxxxxxxxx>
- Date: Thu, 17 Jun 2004 10:33:21 +0200
- Message-id: <200406171033.21195@xxxxxxxxxx>
Preusse, Mathias, Donnerstag, 17. Juni 2004 10:20:
Jo, reines Überwachen/Administrieren der Linux-Systeme im entfernten
LAN.
Aber irgendwann und irgendwie muß ich doch mal ein root in einer
Nicht-Chroot-Umgebung werden können, sonst kann ich nicht
administrieren.
Das ist jeweils recht ungünstig, denn damit reicht mir ein bloßer
Internet-Zugang nicht mehr aus, um mich einloggen zu können. Indes
sehe ich schon ein, daß so ein Callback schon eine sehr feine
Lösung wäre. Aber wie gesagt - manchmal habe ich nicht mehr als
meine Datenkarte im Notebook, über die ich den Internet-Zugang
realisiere, und mehr nicht.
Ist denn der Aufbau eines VPN sicherer als der Aufbau eines
ssh-Tunnels?
Gruß.
Andy
--
Antworten an lists@xxxxxxxxx werden in /dev/null archiviert!
Bitte ggf. lists... durch mail... ersetzen.
Andreas Feile
www.feile.net
ich nehme an, es geht nur um administrative Zugriff per SSH.
Jo, reines Überwachen/Administrieren der Linux-Systeme im entfernten
LAN.
- niemals direkte Logins von extern auf eine Firewall oder
interne Systeme. Wenn unbedingt Zugriffe auf Internet-Anwendungen
nötig sind (Webserver o.ä.) dann nur auf Apps, die in einer
chroot Umgebung stehen und möglichst nicht unter root Account
laufen.
Aber irgendwann und irgendwie muß ich doch mal ein root in einer
Nicht-Chroot-Umgebung werden können, sonst kann ich nicht
administrieren.
- separate Maschne mit ISDN Einwahl und Callback (natürlich nur,
wenn der Caller immer feststeht), von dort aus dann alle
administrativen Zugriffe.
Mögliche Variante wäre die ISDN Einwahl auf die Firewall
Das ist jeweils recht ungünstig, denn damit reicht mir ein bloßer
Internet-Zugang nicht mehr aus, um mich einloggen zu können. Indes
sehe ich schon ein, daß so ein Callback schon eine sehr feine
Lösung wäre. Aber wie gesagt - manchmal habe ich nicht mehr als
meine Datenkarte im Notebook, über die ich den Internet-Zugang
realisiere, und mehr nicht.
Willst du interne Anwendungen an externe User durchreichen, wäre
eher eine VPN-Anbindung anzuraten (vielleicht sogar auf eine
Terminal Server Umgebung).
Ist denn der Aufbau eines VPN sicherer als der Aufbau eines
ssh-Tunnels?
Gruß.
Andy
--
Antworten an lists@xxxxxxxxx werden in /dev/null archiviert!
Bitte ggf. lists... durch mail... ersetzen.
Andreas Feile
www.feile.net
| < Previous | Next > |