Andreas Feile schrieb am 11/09/2004 11:24 AM:
Diesen Artikel hab ich gelesen. Allerdings ist mir nicht klar, was das bringen soll. Wenn man nicht die genaue Sequenz kennt, dann kommt man nicht an den sshd dran, klar. Aber das Nichtkennen der genauen Passwortsequenz führt ebenfalls dazu, daß man nicht durch den sshd durchkommt. Ich könnte doch also zB das Paßwort um die "Anklopfsequenz" erweitern (zB: meinpasswort-anklopfsequenz), und ich bin genauso sicher, spare mir aber das Gepfriemel mit dem Anklopfen.
Nicht ganz. Es kann ja sein, daß aus irgendeinem Grund ein Login mit schwachem Paßwort auf dem Rechner exisitert, z. B. ein Systembenutzer, der mal leichtfertig mit einem schwachen Paßwort versehen wurde, ein User, der zu Testzwecken angelegt wurde etc. Durch das Einführen von Portknocking sind auch diese Accounts mitgeschützt - eine Paßwortänderung dagegen muß für jeden Login gesondert gemacht werden. Außerdem ist der Port geschlossen, so daß ein potentieller Angreifer evtl. gar nicht erst auf die Idee kommt, da könnte ein sshd laufen, denn selbst ein Portscan liefert ihm keinen offenen ssh-Port. Michael.