[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: Security-Questions

Ulrich Wiederhold <U.Wiederhold@t-online.de> wrote:
> habe soeben sshd installiert und habe nun einige Fragen!
> Keine Angst, nicht zur Konfiguration, gibt ja man pages, die zumindest
> bei sshd2 *sehr* gut verständlich waren...

> * Bei openssh werde ich gefragt, ob ich rsh oder socks nutzen will (sbit
>  oder nicht). Was bringt mir das eine oder das andere? Habe jetzt rsh,
>  rlogind, rexed installiert... ist das nötig? Da stand was, das wäre
>  sicherer?

ssh/scp ist ein sicherer Ersatz fuer die r-tools. ssh kann, wenn es
mit einem Server redet, der rsh aber nicht ssh spricht, stattdessen
rsh starten. Einen solchen Server wirst du heutzutage kaum finden.

Da du damit offenbar bisher nicht in Beruehrung gekommen bist, kannst 
du r* beruhigt desinstallieren.

Das suid-Bit beim ssh-Client brauchst du nur fuer .rhosts bzw.
RhostsRSA-Auth. Beides ist eher unueblich - verzichte auf SUID.

> * Was macht socks eigentlich? Habe das schon oft gehört, aber da ich nie
>  was mit Netzwerk zu tun hatte....

Da kann ich leider nur buzzwords beisteuern: Ein generischer Proxy,
der auf deinem Firewall laeuft. Irgendjemand kann das sicher (mir)
erklaeren ;-) 

> * Ich denke mal, ich muß da wenn die server starten...?

Wenn du dich von einem anderen Rechner aus auf "deinen" Einloggen
willst.

> Funzt das bei sshd auch über xinetd? Ich brauche das halt nicht sehr
> oft, weshalb der Dienst eigentlich nicht permanent laufen muß...

Ja, bei der Frage von debconf, ob der server gestartet werden soll,
Nein angeben und Opensshd mit Option -i starten lassen, bei inetd
saehe das afaik so aus:
ssh stream  tcp  nowait  root /usr/sbin/sshd sshd -i
Das fuer xinetd umzuschreiben kann nicht so schwer sein.

> * ach ja, da gabs dann noch ein Packet (angeblich sicherer) namens
>  krb5-rsh-server. Und alle möglichen anderen krb5-Packete... Ist das
>  nötig, von nutzen?

Das ist rsh mit Kerberos5-Authentifizierung. Ja, Kerberos ist sicher,
aber *kompliziert* einzurichten, *imho* willst du das nicht.

Frage: Wird bei krb5-rsh auch der Datenverkehr verschluesselt oder ist
nur die Authentifizierung sicher?

> * sftp habe ich nicht installiert, da ich sehr gerne proftpd
>  weiternutzen möchte.

Das kannst du, da sftp nichts mit proftpd zu tun hat. Fuer sftp
brauchst du auch eigene Clientprogramme.

> Kann ich auch mit proftpd ssl nutzen?

Afaik nein, normales ftp laesst sich nicht "ssl-en"
            cu andreas
-- 
five syllables, then
seven, then five syllables
blah blah fucking blah


--
-----------------------------------------------------------
Um sich aus der Liste auszutragen schicken Sie bitte eine
E-Mail an debian-user-de-request@lehmanns.de die im Subject
"unsubscribe <deine_email_adresse>" enthaelt.
Bei Problemen bitte eine Mail an: Jan.Otto@Lehmanns.de
-----------------------------------------------------------

699 eingetragene Mitglieder in dieser Liste.
Reply to: