Mailinglist Archive: opensuse-de (1486 mails)

[Fred Ockert <m.ockert@xxxxxxxxxxxxxxx>]

Marco Roeben schrieb:
> On Montag, 11. Februar 2008, Juergen Langowski wrote:
>
> > > Es gibt gute Gründe einen Rechner ohne Key-Login ins Netz zu stellen. Mein
> > > Rechner hat keinen Key-Login, da ich von jedem Computer aus in der Lage
> > > sein will mich mal schnell einzuloggen. Wer hat denn seinen Key immer mit
> > > dabei?
> > Ich. Auf einem Memory-Stick. Den habe ich sowieso dabei, weil ich ihn
> > als zusätzliche Sicherung für ein paar besonders wichtige Dokumente
> > benutze.
>
> Ich hab noch nicht einmal immer mein Portemonnaie dabei. Warum sollte ein 
> USB-Stick dann auf einmal wichtier werden als Kreditkart, Ausweis, etc.? Ok, 
> Du hast schon recht, es ist mittlerweile kein großer Aufwand mehr das dabei 
> zu haben, aber es ist mir einfach zu umständlich.
>
>
> > Ein lokaler Benutzer kann root-Rechte bekommen:
> >
> > http://lists.opensuse.org/opensuse-security/2008-02/msg00012.html
>
> Ok, das hört sich jetzt etwas blöd an, aber "es gibt keine absolute 
> Sicherheit". Auch bei diesem Bug braucht es erstmal einen der sich damit 
> auskennt. Die Skript-Kiddies sind dies definitiv nicht. Ein Rechner den ich 
> unter allen Umständen schützen muss ist auf jeden Fall hinter ein Firewall 
> oder besser gar nicht im Netz. Die Daten darauf sind verschlüsselt und 
> erstmal nicht für remote-Benutzer sichtbar. Auf die Firewall kann man sich 
> nur lokal und nicht übers Netz einloggen. Die Firewall schliesst alles ausser 
> ssh zum entsprechenden Rechner aus, Logs werden natürlich auf einem dritten 
> geschützen Rechner im Netz gespeichert etc.
>
> Auch Schlüssel sind nicht des Weisheits letzter Schluss. Beispiel: Du musst 
> auf Deinem Rechner über ssh zugreifen. Der Rechner von dem Du das tun musst 
> gehört einem potentiell bösen Menschen der sich gerne mal auf Deinem Rechner 
> umschauen möchte. Du muss Deinen Schlüssel auf seinen Rechner spielen um 
> zugriff zu bekommen. Wer sagt Dir denn, dass der böse Mensch nicht alle 
> Eingaben bezüglich des ssh-Clients auf Platte mitschreibt? Vielleicht hat der 
> seinen Client so angepasst, dass alle verwendeten Schlüssel gleich an einem 
> Dir nicht ersichtlichen Ort gespeichert werden?
>
> Um die Schlüsselvariante wirklich sicher zu machen darfst Du diesen eben nicht 
> überall verwenden.
>
> Mir reicht mein Passwort und ich mag die Flexibilität die damit einhergeht. 
> Meinen Kopf habe ich schliesslich immer dabei. :-)

Du Glücklicher....

> Im Endeffekt ist es mal wieder oersönliches gusto ob man ein Passwort, 
> Schlüssel, Port-Knocking etc. verwendet.

ja...  "schönes Passwort" ist immer gut... es darf auch ganz einfach und 
gaaanz logisch sein (!).. solange die Logik sich nicht für andere 
erschliesst...

Ich höre gerne den Gegenbeweis... als User auf ein Gatewayrechner...und 
dann weiter... unterschiedliche Namen/Passwörter sollte reichen.

Ich habe in meinem Leben schon genug Schlüssel verloren (die Dinger aus 
Messing...) bei USB-Sticks ist es nur eine Frage der Zeit..
> MfG
> Marco

Aber wie oben.. wirklich sicher ist relativ....andererseits.... solange 
genügend Deppen im Netz sind, die mal schnell jede zweite EXE 
starten..und jede Demo-CD ausprobieren müssen (weil an Ihrem Zimmer CHEF 
steht...).. muss man es nicht wirklich übertreiben!

und scannen .. ach ja... erst mal muss der Scanner einen gültigen Port 
und einen gültigen User rauskriegen (root geht ja nicht...) und dann ein 
Passwort dazu finden ..und dann das ganze Spiel nochmal um auf einen 
"richtigen"Rechner zu kommen...

Da ist es einfacher - physisch an den Rechner zu kommen...


Grüsse Fred

--
Um die Liste abzubestellen, schicken Sie eine Mail an:
   opensuse-de+unsubscribe@xxxxxxxxxxxx
Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken
Sie eine Mail an: opensuse-de+help@xxxxxxxxxxxx