Hallo zusammen, On Freitag 30 Oktober 2009, Axel Birndt wrote:
Ich glaub das mit den Wartungskosten relativiert sich, wenn erstmal über einen der "schwachen" Zugänge Dein System kompromitiert worden ist.
Das sehen die Kunden immer anders. ;) Die Zugänge sind übrigens nicht schwach. Da gibt es noch die ein oder andere Maßnahme, die durchaus ausreichen, um sich die Plage vom Hals zu halten. Wir sprechen hier ja, denke ich, über normale Server wie z. B. einen Webserver. Sind wertvolle Daten zu schützen, sieht die Sache ganz anders aus. Eine weitere Maßnahme, die ich z. B. immer ergreife, ist das Einschränken des Rechts, sich zu root zu machen, auf meine Person und allenfalls noch ein Kollege meines Vertrauens. Normale user dürfen das gar nicht. Dann muss ein Angreifer schon meinen Benutzernamen und meine beiden Passwörter (Benutzerpasswort und root-Passwort) erraten, um erfolgreich zu sein. Natürlich benutze ich nur sehr starke Passwörter aus mindestens zehn Zeichen, die überhaupt keinen Sinn ergeben (zumindest nicht für andere).
Naja, ob ein Dau wirklich ssh-Zugriff braucht, sei auch mal dahin gestellt. Ich würde davon abraten. Wenn der "Dau" mit Public-Key nicht umgehen kann, kann er meiner Meinung nach auch nicht mit der Shell umgehen. Und wenn er mit der Shell nicht umgehen kann, braucht er auch keinen SSH-Zugang, oder?
Naja, mußt Du wissen wie Du es machst.
Ich vermute mal, Deine Dau's brauchen den Zugriff nur um Files auf das System zu kopieren?? =>> Dann lieber per ftp zugreifen lassen, oder?
Das erste Argument ist einfach ein ökonomisches: Wenn der Kunde es will, dann bekommt er einen shell-Zugang. Er zahlt ja schließlich. Klar hinterfrage ich den Wunsch. Aber letztlich bin ich der Dienstleister meiner Kunden und muss als solcher machen, was gewünscht wird. Will ich das nicht, muss ich den Kunden aufgeben. Auch das habe ich schon gemacht. Kunden, die root-Zugriff haben wollen, lehne ich in der Regel ab. In meinen Fällen brauchen sie den Zugriff tatsächlich, da sie Skripte starten müssen. Klar könnte man das auch auf andere Weise regeln. Aber da tritt wieder das erste Argument in Kraft. Der Kunde will es halt so schon allein deshalb, weil das Programmieren entsprechender Webinterfaces mit der dann wieder dazugehörenden Benutzer- und Rechteverwaltung zu teuer ist. Liebe Grüße Erik -- "Du atmest einfach aus und läßt den Rauch ziehen, und schon verbreitet sich eine friedliche Stille." Carlos Fuente jun. Erik P. Roderwald * Uhlenhoffweg 18 * 21129 Hamburg Telefon: +49 (0)40 8510 3150 * Fax: +49(0)40 8510 3148 http://www.zigarren-rollen.de http://www.roderwald.de http://blogs.roderwald.de http://forum.roderwald.de http://twitter.com/erikrode -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org