Daniel Hanke wrote:
Zusätzlich noch Portknocking einbauen um dem Admin immer Zugriff zu gewähren :-)
security by obscurity
Wo denn bitte? Kann da jetzt nicht ganz folgen.
also bitte. Du willst einen Mechanismus der sich darauf verlässt, dass ein anderer Rechner vorher kontaktet/gescannt wurde, um dann einen weiteren Rechner zu schützen mit Hilfe von Informationen die vom Angreifer stammen. Dieser Schutz kann aber per Port knocking ausgehebelt werden, damit nicht jeder einfach den Admin aussperren kann, was dieses Konzept leider mit sich bringt. Das findest du nicht etwas seltsam?
Nein. Nicht wirklich. Der Admin brauch seinen Zugriff. Also macht man diesen Zugang so sicher wie möglich. Nein, der Zuganng hat sicher zu sein oder darf nicht existieren. Wenn Dein SSH verwundbar ist und (noch) nicht gepatcht werden kann, sollte es abgeschaltet werden.
Ansonsten lebst du von der Hoffnung - von der Hoffnung, daß der Gegner nicht so schlau ist wie Du. Dann bau dir doch für den
Portknocker Einmal-"Schlüssel". Mit dem Stand des Mondes ist gar nicht so schlecht... Sogesehen wäre ja jedes Passwort "Security by obsurity".
Die Grenzen sind sicherlich fließend, jedoch kann ein Paßwort so gewählt werden, daß es in vernünftiger Zeit (was vernünftig ist, entscheidet dein Sicherheitsbedürfnis) nicht mehr knackbar ist. Gruß Thomas -- Jetzt aber schnell (nur für Bayern): www.volksbegehren-wald.de