Mailinglist Archive: opensuse-de (977 mails)
| < Previous | Next > |
Re: massenhaft versuche "einzubrechen" was kann ich machen
- From: "Erik P. Roderwald" <suse@xxxxxxxxxxxx>
- Date: Fri, 30 Oct 2009 10:24:09 +0200
- Message-id: <200910300924.09685.suse@xxxxxxxxxxxx>
Hallo zusammen,
On Freitag 30 Oktober 2009, Axel Birndt wrote:
Das sehen die Kunden immer anders. ;) Die Zugänge sind übrigens
nicht schwach. Da gibt es noch die ein oder andere Maßnahme, die
durchaus ausreichen, um sich die Plage vom Hals zu halten. Wir
sprechen hier ja, denke ich, über normale Server wie z. B. einen
Webserver. Sind wertvolle Daten zu schützen, sieht die Sache
ganz anders aus.
Eine weitere Maßnahme, die ich z. B. immer ergreife, ist das
Einschränken des Rechts, sich zu root zu machen, auf meine
Person und allenfalls noch ein Kollege meines Vertrauens.
Normale user dürfen das gar nicht. Dann muss ein Angreifer schon
meinen Benutzernamen und meine beiden Passwörter
(Benutzerpasswort und root-Passwort) erraten, um erfolgreich zu
sein. Natürlich benutze ich nur sehr starke Passwörter aus
mindestens zehn Zeichen, die überhaupt keinen Sinn ergeben
(zumindest nicht für andere).
Das erste Argument ist einfach ein ökonomisches: Wenn der Kunde
es will, dann bekommt er einen shell-Zugang. Er zahlt ja
schließlich. Klar hinterfrage ich den Wunsch. Aber letztlich bin
ich der Dienstleister meiner Kunden und muss als solcher machen,
was gewünscht wird. Will ich das nicht, muss ich den Kunden
aufgeben. Auch das habe ich schon gemacht. Kunden, die
root-Zugriff haben wollen, lehne ich in der Regel ab.
In meinen Fällen brauchen sie den Zugriff tatsächlich, da sie
Skripte starten müssen. Klar könnte man das auch auf andere
Weise regeln. Aber da tritt wieder das erste Argument in Kraft.
Der Kunde will es halt so schon allein deshalb, weil das
Programmieren entsprechender Webinterfaces mit der dann wieder
dazugehörenden Benutzer- und Rechteverwaltung zu teuer ist.
Liebe Grüße
Erik
--
"Du atmest einfach aus und läßt den Rauch ziehen,
und schon verbreitet sich eine friedliche Stille."
Carlos Fuente jun.
Erik P. Roderwald * Uhlenhoffweg 18 * 21129 Hamburg
Telefon: +49 (0)40 8510 3150 * Fax: +49(0)40 8510 3148
http://www.zigarren-rollen.de
http://www.roderwald.de
http://blogs.roderwald.de
http://forum.roderwald.de
http://twitter.com/erikrode
--
Um die Liste abzubestellen, schicken Sie eine Mail an:
opensuse-de+unsubscribe@xxxxxxxxxxxx
Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken
Sie eine Mail an: opensuse-de+help@xxxxxxxxxxxx
On Freitag 30 Oktober 2009, Axel Birndt wrote:
Ich glaub das mit den Wartungskosten relativiert sich, wenn
erstmal über einen der "schwachen" Zugänge Dein System
kompromitiert worden ist.
Das sehen die Kunden immer anders. ;) Die Zugänge sind übrigens
nicht schwach. Da gibt es noch die ein oder andere Maßnahme, die
durchaus ausreichen, um sich die Plage vom Hals zu halten. Wir
sprechen hier ja, denke ich, über normale Server wie z. B. einen
Webserver. Sind wertvolle Daten zu schützen, sieht die Sache
ganz anders aus.
Eine weitere Maßnahme, die ich z. B. immer ergreife, ist das
Einschränken des Rechts, sich zu root zu machen, auf meine
Person und allenfalls noch ein Kollege meines Vertrauens.
Normale user dürfen das gar nicht. Dann muss ein Angreifer schon
meinen Benutzernamen und meine beiden Passwörter
(Benutzerpasswort und root-Passwort) erraten, um erfolgreich zu
sein. Natürlich benutze ich nur sehr starke Passwörter aus
mindestens zehn Zeichen, die überhaupt keinen Sinn ergeben
(zumindest nicht für andere).
Naja, ob ein Dau wirklich
ssh-Zugriff braucht, sei auch mal dahin gestellt. Ich würde
davon abraten. Wenn der "Dau" mit Public-Key nicht umgehen
kann, kann er meiner Meinung nach auch nicht mit der Shell
umgehen. Und wenn er mit der Shell nicht umgehen kann, braucht
er auch keinen SSH-Zugang, oder?
Naja, mußt Du wissen wie Du es machst.
Ich vermute mal, Deine Dau's brauchen den Zugriff nur um Files
auf das System zu kopieren?? =>> Dann lieber per ftp zugreifen
lassen, oder?
Das erste Argument ist einfach ein ökonomisches: Wenn der Kunde
es will, dann bekommt er einen shell-Zugang. Er zahlt ja
schließlich. Klar hinterfrage ich den Wunsch. Aber letztlich bin
ich der Dienstleister meiner Kunden und muss als solcher machen,
was gewünscht wird. Will ich das nicht, muss ich den Kunden
aufgeben. Auch das habe ich schon gemacht. Kunden, die
root-Zugriff haben wollen, lehne ich in der Regel ab.
In meinen Fällen brauchen sie den Zugriff tatsächlich, da sie
Skripte starten müssen. Klar könnte man das auch auf andere
Weise regeln. Aber da tritt wieder das erste Argument in Kraft.
Der Kunde will es halt so schon allein deshalb, weil das
Programmieren entsprechender Webinterfaces mit der dann wieder
dazugehörenden Benutzer- und Rechteverwaltung zu teuer ist.
Liebe Grüße
Erik
--
"Du atmest einfach aus und läßt den Rauch ziehen,
und schon verbreitet sich eine friedliche Stille."
Carlos Fuente jun.
Erik P. Roderwald * Uhlenhoffweg 18 * 21129 Hamburg
Telefon: +49 (0)40 8510 3150 * Fax: +49(0)40 8510 3148
http://www.zigarren-rollen.de
http://www.roderwald.de
http://blogs.roderwald.de
http://forum.roderwald.de
http://twitter.com/erikrode
--
Um die Liste abzubestellen, schicken Sie eine Mail an:
opensuse-de+unsubscribe@xxxxxxxxxxxx
Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken
Sie eine Mail an: opensuse-de+help@xxxxxxxxxxxx
| < Previous | Next > |