Re: Frage zur SSH Kennung
Andreas Pakulat wrote:
> On 06.Jul 2005 - 21:23:25, Joerg Zimmermann wrote:
>
>>Andreas Pakulat wrote:
>>
>>>On 06.Jul 2005 - 17:42:02, Mathias Tauber wrote:
>>>
>>>
>>>>bekommt man Daten, die mir nicht wirklich gefallen.
>>>
>>>
>>>Wieso?
>>>
>>>
>>>
>>>>Ich habe ein bischen gegoogelt und sehe ja ein, dass
>>>>man die Kennung nicht löschen kann/soll, wegen der
>>>>Client-Kompatibilität. So weit so gut. Aber muss da
>>>>denn 'Debian-8.sarge.4' stehen???
>>>
>>>
>>>Was sollte es bringen dass da nicht Debian-8.sarge.4 steht?
>>
>>doofe Frage.
>>Vielleicht dass ein potenzieller Angreifer nicht alle relevanten
>>Informationen frei Haus geliefert bekommt.
>
>
> So ein Unfug ;-)
>
> Sowas nennt man "Security by Obscurity" und hilft i.A. nichts, ausser
> vllt. dich in Sicherheit zu wiegen. Du glaubst doch nicht das sich
> jemand hinsetzt und raussucht welche Sicherheitsluecken in dem
> Debian-Paket vllt. noch nicht gefixt sind? Man nehme einfach die
> ssh-Version und teste alle bekannten Sicherheitsluecken dieser Version -
> kein Problem und dauert vermutlich nicht mal halb so lange. Und wenn SSH
> seine Version auch nicht melden wuerde, wuerde ich rueckwaert arbeiten
> und mit den neuesten Sicherheitsluecken anfangen, auf die Art findet man
> auch sehr schnell das Loch.
siehe meine andere Mail. Das _ist_ Unfug.
Es geht hier im Übrigen nicht um die Info 'SSH Version'. Die ist
unvermeidlich, naja nicht wirklich, aber damit könnte man leben.
Es geht schlicht um folgendes:
Wenn ich als Angreifer weiss, welches Betriebssystem in welcher
Version bei Dir läuft, dann weiss ich auch wo ich den Hebel ansetzen
muss. Das muss dann nicht SSH sein. Das könnte auch Dein Kernel
sein, Dein PAM, Dein what ever.
Und das Ganze nur weil Dein SSH-Server 'loud und proud' tönt ich
bin's, hier läuft Debian. _Mach_ _mich_ _auf_ oder was?
Das ist doch unnötig und muss nicht sein.
-Jörg
Reply to: