Re: in Rechner eines lokalen Netzwerks einloggen
Also sprach Wolfgang Jeltsch <wolfgang@jeltsch.net> (Wed, 14 Dec 2005
20:17:39 +0100):
> Am Mittwoch, 14. Dezember 2005 16:54 schrieb Christian Schmidt:
> > [...]
>
> > > Nun suche ich nach einer Möglichkeit, den Rechner remote zu warten. Ich
> > > will mich also insbesondere in ihn über das Internet mittels ssh
> > > einloggen können. Wie stelle ich das an?
> >
> > Du musst auf der FritzBox das "PortForwarding" konfigurieren, damit
> > von aussen auf Port 22 eintreffende Verbidungswuensche an den
> > entsprechenden Rechner nach "innen" weitergereicht werden.
>
> Ach sowas geht mit der guten Box? Das ist dann natürlich wesentlich
> einfacherer und sauberer.
_Wenn_ es Fritz kann ;)
> > Sichere den Rechner aber entsprechend ab!
>
> Was heißt das eigentlich konkret? Bis jetzt dachte ich an folgendes:
>
> * alle TCP- und UDP-Ports nach außen schließen bis auf TCP-Port 22
Halt TCP 22 auf dem internen Rechner offen lassen und darauf
durchreichen.
> * sshd so konfigurieren, dass
>
> * root-Logins nicht möglich sind
+ AllowUsers <name>
(damit ist ein evtl. angelegter User "test" mal ausgeschlossen)
> * Public-Key-Authentifizierung die einzige mögliche
> Authentifizierungsmethode ist
>
> * SSH-Protokoll 1 nicht verwendet wird
>
> * zeitnah Sicherheitsupdates einspielen, zumindest wenn sie direkt oder
> indirekt sshd betreffen
>
> Was sollte man vielleicht noch machen und warum?
Wenn manche boesen Bots im Netz einen offenen Port 22 finden, probieren
sie gern allerhand Benutzernamen und Kennwoerter durch. Ist die Box nur
selten im Netz, kann man ssh auf Port 22 belassen, ansonst verwende
einen anderen (freien) Port am Fritz um diese zu verwirren.
> > [...]
>
> > Gruss,
> > Christian Schmidt
>
> Viele Grüße
> Wolfgang
sl ritch
Reply to: