Re: Benutzerrechte einschränken

To: debian-user-german@lists.debian.org
Subject: Re: Benutzerrechte einschränken
From: Dirk Salva <dsalva@gmx.de>
Date: Wed, 20 Jul 2005 18:52:28 +0200
Message-id: <[🔎] 20050720165228.GE5419@nutrimatic.ping.de>
Mail-followup-to: debian-user-german@lists.debian.org
Reply-to: dsalva@gmx.de
In-reply-to: <[🔎] IGEBJGLFFBFMBADMDIHNGEENCBAA.debianliste@gmx.de>
References: <[🔎] IGEBJGLFFBFMBADMDIHNGEENCBAA.debianliste@gmx.de>

On Wed, Jul 20, 2005 at 04:52:38PM +0200, Saskia Whigham wrote:
> ich hoffe das ich das mit den Threads jetzt immmer richtig mache.
> Sorry für diese unagenehme Sache.

"Unangenehm" ist einfach so, daß Deine posts zunehmend schwerer zu
lesen waren, das ist alles...

> Ich muss einen Server (steht im Internet hat also feste IP) aus der Ferne

Bei Dir zu Hause? Ansonsten kannst Du den physischen Zugriff doch
sowieso nicht verhindern.

[...ganzganzviel...]
Irgendwie übertreibst Du es ein wenig mit Deiner Paranoia.
100%-Sicherheit wirst Du sowieso nie bekommen, weil Du nie im Voraus
wissen kannst, was es für Lücken im System gibt. Gegen scriptkiddies
hilft immer noch port-knocking und (oder gar nur) umlegen des sshd
von 22 auf irgendeinen anderen Port, das sollte gg. Paranoia reichen.
Eigentlich hast Du in meinen Augen mit dem reinen User-login und der
Verwendung von Keys sowieso genug getan (BTW: bist Du Dir sicher, daß
Du Dich mit Passwort nicht anmelden kannst? Stichwort PAM-Auth). Du
kannst in die .bash_profile des Users auch noch sowas wie
   TMOUT="1"; export TMOUT
   exec "su -"
   logout
eintragen, aber wie schon gesagt: Du riskiert, daß Du mit einem
/etc/nologin gar nicht mehr reinkommst.
Da Du 100%-Sicherheit sowieso nicht ereichst, wäre ein passendes
Backup-Konzept IMO sinnvoller, denn dann kannst Du im Falle eines
Falles wenigstens (nach Analyse des Einfallstores) auf sehr schnelle
Weise wieder ein betriebsfähiges System wiederherstellen (und die
Lücke schließen). Was übrigens auch Sinn macht ist IMHO als
Login-User keine Namen o.ä., sondern Phantasiebezeichnungen zu
verwenden. Zumindest die SSH-Intrusion-Versuche, die hier im Log
erscheinen, benutzen ständig Namen wie "Dave, Andreas, Paul, Michael,
Bill" oder so. Das klassische deutsche Moppedkennzeichen als
Login-Name erscheint da nicht wirklich häufig;-)

> Ich hoffe das euch dieser Thread diesmal vom Aufbau her gefällt und ich
> nicht schon wieder irgend einen Fehler gemacht habe.

Nun, Du begreifst, daß es hilfreich ist, darauf einzugehen und sie zu
vermeiden zu versuchen, und das ist *sehr* lobenswert, einfach weil
Du damit zeigst, daß Du Deine Antworter ernst nimmst!!

ciao, Dirk
-- 
|      Akkuschrauber Kaufberatung and AEG GSM stuff       |
|   Visit my homepage:   http://www.nutrimatic.ping.de/   |
| FIDO: Dirk Salva 2:244/6305.10 Internet: dsalvaATgmx.de |
|    The "Ruhrgebiet", best place to live in Germany!     |

Reply to:

References:
- Benutzerrechte einschränken
  - From: "Saskia Whigham" <debianliste@gmx.de>

Prev by Date: Re: Kaputte Threads hier auf der Liste (u.a. von Saskia) - wer ist schuld?
Next by Date: Re: JBuilder2005 (Developer) nicht auf Debian64 ?
Previous by thread: Re: Benutzerrechte einschränken
Next by thread: Re: Benutzerrechte einschränken
Index(es):
- Date
- Thread