Re: Frage zur SSH Kennung
On 06.Jul 2005 - 21:23:25, Joerg Zimmermann wrote:
> Andreas Pakulat wrote:
> > On 06.Jul 2005 - 17:42:02, Mathias Tauber wrote:
> >
> >>bekommt man Daten, die mir nicht wirklich gefallen.
> >
> >
> > Wieso?
> >
> >
> >>Ich habe ein bischen gegoogelt und sehe ja ein, dass
> >>man die Kennung nicht löschen kann/soll, wegen der
> >>Client-Kompatibilität. So weit so gut. Aber muss da
> >>denn 'Debian-8.sarge.4' stehen???
> >
> >
> > Was sollte es bringen dass da nicht Debian-8.sarge.4 steht?
>
> doofe Frage.
> Vielleicht dass ein potenzieller Angreifer nicht alle relevanten
> Informationen frei Haus geliefert bekommt.
So ein Unfug ;-)
Sowas nennt man "Security by Obscurity" und hilft i.A. nichts, ausser
vllt. dich in Sicherheit zu wiegen. Du glaubst doch nicht das sich
jemand hinsetzt und raussucht welche Sicherheitsluecken in dem
Debian-Paket vllt. noch nicht gefixt sind? Man nehme einfach die
ssh-Version und teste alle bekannten Sicherheitsluecken dieser Version -
kein Problem und dauert vermutlich nicht mal halb so lange. Und wenn SSH
seine Version auch nicht melden wuerde, wuerde ich rueckwaert arbeiten
und mit den neuesten Sicherheitsluecken anfangen, auf die Art findet man
auch sehr schnell das Loch.
Username/Passwort-Brute-Force-Angriffe interessieren sich nicht fuer die
Version.
Andreas
--
You have a will that can be influenced by all with whom you come in contact.
Reply to: