Hi, da ich jetzt erfahren habe, das ssh eine verschlüsselte Verbindung ist bin ich ja schon erstmal beruhigt, allerdings drängt sich mir da eine Frage nach der Sicherheit auf. Da ich nur ein privaten Server habe ist das prinzipiell nicht so extrem wichtig, aber da ich mich von jedem Client aus über ssh auf dem server anmelden kann, auch als root (!) frage ich mich, ob das sinnvoll ist. Sicherlich ist es praktisch, doch bietet es eine Sicherheitslücke, oder? Das selbe ist es mit Swat.. Durch einfaches http://server:901 kann jeder (mit paswort) wild an meinen Shares etc. rumbasteln.... Was sagt Ihr dazu? CU Martin
Am Die, 13 Nov 2001 schrieb Martin Kropfinger:
da ich jetzt erfahren habe, das ssh eine verschlüsselte Verbindung ist bin ich ja schon erstmal beruhigt, allerdings drängt sich mir da eine Frage nach der Sicherheit auf. Da ich nur ein privaten Server habe ist das prinzipiell nicht so extrem wichtig, aber da ich mich von jedem Client aus über ssh auf dem server anmelden kann, auch als root (!) frage ich mich, ob das sinnvoll
Du kannst (solltest) ssh so konfigurieren, daß man sich nicht als root anmelden kann.
ist. Sicherlich ist es praktisch, doch bietet es eine Sicherheitslücke, oder? Das selbe ist es mit Swat.. Durch einfaches http://server:901 kann jeder (mit paswort) wild an meinen Shares etc. rumbasteln....
swat kenne ich nicht, aber grundsätzlich gilt natürlich, daß die Sicherheit Deines Systems mit der Sicherheit der Paßwörter steht und fällt. ssh bietet wie gesagt Verschlüsselung, so daß die Chance, ein Paßwort zu erlauschen, relativ gering ist. Aber Möglichkeiten zum Remote-Login sind praktisch, bedeuten aber zwangsweise immer auch ein Risiko, wenn Du das nicht willst, mußt Du ssh abschalten. Gruß Christoph -- Christoph Maurer - Paul-Röntgen-Straße 7 - 52072 Aachen - Tux#194235 mailto:christoph-maurer@gmx.de - http://www.christophmaurer.de Auf der Homepage u.a.: Installation von SuSE 7.0 auf Notebook Acer Travelmate 508 T, Elektrotechnik an der RWTH Aachen
Am Mittwoch, 14. November 2001 08:01 schriebeChristoph Maurer:
Du kannst (solltest) ssh so konfigurieren, daß man sich nicht als root anmelden kann. Wie geht das? Würde bedeuten, dass ich konfigurationen nur noch direkt am Server machen kann, oder? Oder kann ich auch nur beschränken, dass von einem bestimmten rechner aus das geht (ueber IP, oder MAC-Adresse)?
Remote-Login sind praktisch, bedeuten aber zwangsweise immer auch ein Risiko, wenn Du das nicht willst, mußt Du ssh abschalten. Wie könnte ich es abschalten? Und gibt es eigentlich auch mit Windows möglichkeiten wie ssh (auch zwischen windows und linux)?
Danke Martin
Martin Kropfinger wrote:
Am Mittwoch, 14. November 2001 08:01 schriebeChristoph Maurer:
Du kannst (solltest) ssh so konfigurieren, daß man sich nicht als root anmelden kann. Wie geht das?
Mit PermitRootLogin no in der sshd_config.
Würde bedeuten, dass ich konfigurationen nur noch direkt am Server machen kann, oder?
Nein, Du kannst Dich als normaler Benutzer einloggen und dann mit su root werden. Das erhöht die Sicherheit insoweit, als das eine zusätzliche Authentisierungs-Stufe nötig ist, um root zu werden.
Oder kann ich auch nur beschränken, dass von einem bestimmten rechner aus das geht (ueber IP, oder MAC-Adresse)?
Ja, es gibt die Möglichkeit, den Zugriff z.B. auf bestimmte IP-Adressen einzuschränken. Sieh Dir die Konfigurationsmöglichkeiten in der Dokumentation (je nach SSH-Version `man sshd` oder `man sshd2_config` für die Server-Seite) am besten mal selbst an, da gibt's nämlich reichlich...
Remote-Login sind praktisch, bedeuten aber zwangsweise immer auch ein Risiko, wenn Du das nicht willst, mußt Du ssh abschalten. Wie könnte ich es abschalten?
Durch Setzen von START_SSHD=no (anstellen von ...=yes) in /etc/rc.config wird der Start des sshd beim Booten unterbunden.
Und gibt es eigentlich auch mit Windows möglichkeiten wie ssh (auch zwischen windows und linux)?
Ja, es gibt SSH-Clients für Windows. Da das SSH-Protokoll unabhängig vom Betriebssystem ist, ist es kein Problem, sich damit auf einen Linux-Rechner einzuloggen. Wie es mit SSH-Servern für Windows (für die umgekehrte Richtung) aussieht, weiß ich nicht, aber das wird wohl auch seltener benötigt. Eilert -- ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Eilert Brinkmann -- Universitaet Bremen -- FB 3, Informatik eilert@informatik.uni-bremen.de - eilert@tzi.org http://www.informatik.uni-bremen.de/~eilert/
Am Dienstag, 13. November 2001 07:31 schrieb Martin Kropfinger:
da ich jetzt erfahren habe, das ssh eine verschlüsselte Verbindung ist bin ich ja schon erstmal beruhigt, allerdings drängt sich mir da eine Frage nach der Sicherheit auf. Da ich nur ein privaten Server habe ist das prinzipiell nicht so extrem wichtig, aber da ich mich von jedem Client aus über ssh auf dem server anmelden kann, auch als root (!) frage ich mich, ob das sinnvoll ist. Sicherlich ist es praktisch, doch bietet es eine Sicherheitslücke, oder? Das selbe ist es mit Swat.. Durch einfaches http://server:901 kann jeder (mit paswort) wild an meinen Shares etc. rumbasteln....
1. Kannst Du in der Konfiguration des jeweiligen Services nachschaun, ob zugriffsbeschränkungen setzbar sind. 2. Du kannst /etc/hosts.allow und /etc/hosts.deny nutzen 3. Du kannst ne Firewall nutzen. Sollte doch ausreichen. -- Machs gut | http://www.iiv.de/schwinde/buerger/tremmel/ | http://www.knightsoft.de Manfred | http://www.knightsoft-net.de
participants (4)
-
Christoph Maurer
-
Eilert Brinkmann
-
Manfred Tremmel
-
Martin Kropfinger