RE: Passwort-Security-Test

To: "'Florian Reitmeir'" <florian@reitmeir.org>, <user@skolelinux.de>
Subject: RE: Passwort-Security-Test
From: Jürgen Leibner <juergen.leibner@t-online.de>
Date: Wed, 11 Jan 2006 18:45:05 +0100
Message-id: <[🔎] 007501c616d6$c55285d0$0a01a8c0@jl>
In-reply-to: <[🔎] 20060111164928.GB15958@squat.noreply.org>

> -----Original Message-----
> From: user-bounces@skolelinux.de 
> [mailto:user-bounces@skolelinux.de] On Behalf Of Florian Reitmeir
> Sent: Wednesday, January 11, 2006 5:49 PM
> To: user@skolelinux.de
> Subject: Re: Passwort-Security-Test
> 
> 
> Hallo,
> 
> On Die, 10 Jän 2006, RalfGesellensetter wrote:
> 
> > ich möchte ausgesuchten Kollegen (später vielleicht auch 
> S2-Schülern) 
> > ermöglichen, per sftp / nx auf unseren Schulserver von zu Hause aus 
> > zuzugreifen. Aus Sicherheitsgründen sollen nur ausgesuchte Nutzer 
> > zugelassen werden, die ein sicheres Passwort besitzen.
> > 
> > Naiver Ansatz: Täglich um 15:30 (nach Schulschluss) wird 
> der ssh-Zugriff 
> > für eine Gruppe "remote_users" freigeschaltet. Die 
> Mitglieder dieser 
> > Gruppe wird dabei jedesmal neu bestimmt aus der Teilmenge 
> aller Lehrer, 
> > deren Passwort "sicher" ist.
> > 
> > Wie könnte so ein Skript aus sehen, das mit john o.ä. eine 
> Userliste 
> > durchgeht und ggf. dieser Gruppe zuweist?
> 
> auch wenn die nachtraeglich Kontrolle interessant erscheint, 
> ist es nicht
> einfacher, pam-cracklib zu aktivieren, und gleich die Leute
> "erziehen"/"zwingen" sinnvolle Kennwoerter zu verwenden?
> (Module: libpam-cracklib libpam-passwdqc)
> 
> 
> SSH Zugriff freizuschalten halte ich uebrigens fuer generell 
> bedenklich, im
> Sinne von, "Wenn ich mir meine Zugriffs LOGs ansehen wieviele 
> SSH-Probes da
> sind.. "
> 
> 
> Was ich hier bei einer Firma betreibe was, so glaub ich mal, 
> recht gut geht,
> ist ein Zugang via OpenVPN ins Netz. Das hat den Vorteil dass 
> ich den Zugriff
> wirklich pro Person Zeitlich einschraenken kann (und pro 
> Rechner usw.), 
> und der Zugang zum Netz auch unabhaengig vom Service im Netz 
> ist (z.b. nur
> Zugriff auf ein Wiki, oder ... Sambashares usw.). Clients 
> gibt es fuer Linux
> und Windows, und das Einrichten unter Windows/Linux 
> beschraenkt sich darauf 2
> Files an die Richtige Stelle zu kopieren.
> 

Ja, funktioniert hervorragend, so warte ich meine Server auch :-)
Vorallem kann man den Spieß auch umdrehen, und die verteilt draussen in der
Welt
hinter Firewalls und Proxy-Servern stehenden Tjener als OpenVPN-Clienten
sich bei einem OpenVPN-Server zuhause einwählen lassen.
Die Ports sind frei wählbar (z.B. per 443 durch einen Squid durch) und es
stört den tjener nicht, wenn die Gegenstelle auch mal nicht da ist.
Zudem ist das Zertifikatsbasiert und auch schon im Verbindungsaufbau sicher.
Eine Lastzunahme auf dem tjener ist nicht zu befürchten.
Ein PI 200MHz mit 96MB-RAM als OpenVpn-Server zuhause hält locker viele
Verbindungen gleichzeitig.

Mit freundlichen Gruessen,
Juergen Leibner
-- 
Coffeecup empty - Userpanic!
-- 
Jürgen Leibner	juergen.leibner@t-online.de
Tel 0521-8949019
-- 
Diese Mail wurde durch neueste Virenscanner mit den aktuellsten Signaturen
geprüft und ist bestmöglich virenfrei!

Reply to:

References:
- Re: Passwort-Security-Test
  - From: Florian Reitmeir <florian@reitmeir.org>

Prev by Date: Re: Passwort-Security-Test
Next by Date: Herber Rückschlag - Server steht komplett
Previous by thread: Re: Passwort-Security-Test
Next by thread: Re: Passwort-Security-Test
Index(es):
- Date
- Thread