Thomas Stark wrote:
Daniel Hanke wrote:
Zusätzlich noch Portknocking einbauen um dem Admin immer Zugriff zu gewähren :-)
security by obscurity
Wo denn bitte? Kann da jetzt nicht ganz folgen.
also bitte. Du willst einen Mechanismus der sich darauf verlässt, dass ein anderer Rechner vorher kontaktet/gescannt wurde, um dann einen weiteren Rechner zu schützen mit Hilfe von Informationen die vom Angreifer stammen. Dieser Schutz kann aber per Port knocking ausgehebelt werden, damit nicht jeder einfach den Admin aussperren kann, was dieses Konzept leider mit sich bringt. Das findest du nicht etwas seltsam?
Nein. Nicht wirklich. Der Admin brauch seinen Zugriff. Also macht man diesen Zugang so sicher wie möglich.
Nein, der Zuganng hat sicher zu sein oder darf nicht existieren. Wenn Dein SSH verwundbar ist und (noch) nicht gepatcht werden kann, sollte es abgeschaltet werden.
Man kann ein SSH nicht abschalten, wenn man im Urlaub ist. Und ich würde fast wetten, daß im SSH noch Fehler sind. Also abschalten!?!? Hmmm, manchmal braucht man aber diese Möglichkeit zum Administration aus der Ferne
Ansonsten lebst du von der Hoffnung - von der Hoffnung, daß der Gegner nicht so schlau ist wie Du.
Davon leben wir, solange wir Rechner ans Netz anschließen.
Dann bau dir doch für den
Portknocker Einmal-"Schlüssel". Mit dem Stand des Mondes ist gar nicht so schlecht... Sogesehen wäre ja jedes Passwort "Security by obsurity".
Noe, nicht ganz. Obscure wäre ein SSH auf dem Port 2222. Etwas mehr Sicherheit, aber nicht wirklich unauffindbar. Meine Idee dabei war, das kaum jemand sich den Port 2222 als erstes anschaut. Und wenn er dort nachschaut, hat er bereits verloren. Außer jemand schaut sich pro Tag nur einen Port an. Aber das wäre jemand, der unbedingt in _Deine_ Maschine will. Die meisten Angreifer suchen aber nur irgendeine Maschine für ihren Spam oder Viren oder Filme.
Die Grenzen sind sicherlich fließend, jedoch kann ein Paßwort so gewählt werden, daß es in vernünftiger Zeit (was vernünftig ist, entscheidet dein Sicherheitsbedürfnis) nicht mehr knackbar ist.
Gruß Thomas
-- Andreas Burkhardt Linux +49 172 3026633 Training Cauerstraße 32 Consulting D-10587 Berlin http://burkhardt.IT Administration