Hi, der Absatz, den Du zitiert hast, sieht ohne den davorgehenden einigermaßen anders aus, ich hab ihn mal wieder dazugeschrieben. * On Tue, 05 Feb 2002 at 18:32 +0100, Thomas Michael Wanka wrote:
On 5 Feb 2002 at 17:58, Adalbert Michelic wrote:
Hat sich Dir noch nie das Problem gestellt, daß Du, wenn Du auswärts bist, Zugriff auf den Rechner zuhause brauchst? Dann bist Du aus dem Schneider. Ansonsten müsste in Deinem Abstellraum - wenn Du konsequent bist - eine kleine bis mittlere Serverfarm herumstehen. Die kostet nicht nur in der Anschaffung was, sondern auch im Betrieb - man Stromkosten.
Irgendeinen Server brauchst Du dann, der Dich per ssh reinlässt. Der ssh-Daemon darf natürlich keine Sicherheitslücken aufweisen, was wiederum mit endlichem Zeitaufwand kaum realisierbar ist. Dann sitzt Dein Angreifer nun nicht mehr am Gateway sondern am ssh-Server. Gottseidank hat der ssh-Server keine read-write Medien, also kann der Angreifer nichts anstellen.
zur sicheren remote Administration empfehle ich einen Einwahlechner. Wer z.B. von immer einer gleichen Nummer anruft, kann Callback verwenden. Sonst reicht eine Deaktivierung bei mehreren falschen Passworteingaben. Bedenke, der Rechner steht irgendwo, wo man auch oft (vermutlich
Der steht im Abstellraum, vergraben hinter Mineralwasser und kiloweise Obst und Gemüse. Und leeren Flaschen.
täglich)an ihn rankommt. Der Gateway kann ja ohneweiteres routen, im Falle eines Einbruchs kannst Du durch Analyse der Logfiles feststellen, was passierte. Ich habe Filesystemflags bislang nur unter NetBSD eingesetzt, aber es sollte auch unter Linux möglich sein.
Lies den ersten Absatz, den ich geschrieben habe, noch mal genau durch. Da steht z.B.: | Hat sich Dir noch nie das Problem gestellt, daß Du, wenn Du | auswärts bist, Zugriff auf den Rechner zuhause brauchst? Und ich meine hier _nicht_ Wartung! Deswegen habe ich weiter unten auch das Beispiel mit mutt konstruiert. Der fällt definitiv nicht unter Wartung. Ich weiß nicht wie es Dir geht, aber wenn ich irgendwo bin, dann habe ich dort a) wechselnde Telefonnummern b) nicht immer ISDN zur Verfügung c) nicht immer die Chance mich überhaupt irgendwie einzuwählen d) keine Lust lange ssh-Sitzungen über Handy zu zahlen Fall 1: Ich sitze im Büro und möchte dringend wissen, wann ich mir mit $FOO ausgemacht habe, daß wir ins Kino gehen. $FOO ist telefonisch nicht erreichbar. Über Rauchzeichen auch nicht. Lösung 1: Es findet sich bei mir zuhause jemand, der meinen Rechner einschaltet, dem ich mein Passwort anvertrauen kann, und der in meine privaten Emails eine raussucht. Nicht sehr verlockend. Zeitaufwand: ca. 10 min Lösung 2: Ich setze mich ins Auto, fahre nach Hause, sehe nach, stelle fest, daß es nicht heute, sondern morgen ist und fahre wieder ins Büro. Zeitaufwand: ca. 40 min Lösung 3: Ich starte mir meinen HTTP-Tunnel, der mir ermöglicht TCP-Verbindungen über HTTP zu tunnel und baue eine Verbindung zu meinem Knecht zu Hause auf, starte mutt, sehe nach und schließe die Verbindung. Zeitaufwand: ca. 2 min Mit ist Lösung 3 am liebsten. Was wählst Du - fährst Du oder telefonierst Du nach Hause? -- Adalbert PGP welcome, request public key: mailto:adalbert+key@lopez.at