Hallo Wolfgang, Wolfgang Jeltsch, 14.12.2005 (d.m.y): > Am Mittwoch, 14. Dezember 2005 16:54 schrieb Christian Schmidt: > > [...] > > > > Nun suche ich nach einer Möglichkeit, den Rechner remote zu warten. Ich > > > will mich also insbesondere in ihn über das Internet mittels ssh > > > einloggen können. Wie stelle ich das an? > > > > Du musst auf der FritzBox das "PortForwarding" konfigurieren, damit > > von aussen auf Port 22 eintreffende Verbidungswuensche an den > > entsprechenden Rechner nach "innen" weitergereicht werden. > > Ach sowas geht mit der guten Box? Das ist dann natürlich wesentlich > einfacherer und sauberer. Sollte Deine FritzBox das noch nicht koennen, solltest Du (dringend) mal eine aktuelle Firmware draufspielen. > > Sichere den Rechner aber entsprechend ab! > > Was heißt das eigentlich konkret? Bis jetzt dachte ich an folgendes: Verwende zumindest gute Passwoerter. Oder schalte den sshd so um, dass er nur PublicKey-Authentifizierung verwendet. > * alle TCP- und UDP-Ports nach außen schließen bis auf TCP-Port 22 Das kannst Du Dir fast schenken, da die wirksamste "Sperre" von aussen nach innen das NAT der FritzBox ist. Ausserdem bedeutet "nach aussen" bei Verwendung von nur einem Ethernet-Interface erstmal auch "in Dein Netz"... ;-) > * sshd so konfigurieren, dass > * root-Logins nicht möglich sind > * Public-Key-Authentifizierung die einzige mögliche > Authentifizierungsmethode ist Dann kann man IMO auch das root-Login zulassen. Muss aber jeder selbst entscheiden. > * SSH-Protokoll 1 nicht verwendet wird Sowieso. > * zeitnah Sicherheitsupdates einspielen, zumindest wenn sie direkt oder > indirekt sshd betreffen Das sollte man generell tun. > Was sollte man vielleicht noch machen und warum? Meine Kiste hier ist zwar nicht von aussen erreichbar (ich hatte bisher keinen Bedarf, von unterwegs darauf zugreifen koennen zu muessen), verfuegt aber ueber zwei Netzwerkkarten. Eine haengt am Switch (zeigt also "nach innen"), mit der anderen haengt sie (ueber einen zweiten Switch) an der FritzBox. Alle Dienste, die sich irgendwie an ein oder mehrere Interfaces binden lassen, sind auf das "innere" festgenagelt. Noch vorsichtigere Naturen wuerden da noch einen Paketfilter drumherumstricken - das habe ich mir aber gespart. Wuerde ich jetzt von unterwegs auf meine Maschine zugreifen wollen, muesste ich nur den sshd auf das zweite Interface legen, die FritzBox entsprechend umkonfigurieren, evtl. einen DynDNS-Dienst hinzuziehen und dafuer sorgen, dass die FritzBox die Leitung offenhaelt. Du siehst: Es gibt viele Moeglichkeiten... Gruss, Christian Schmidt -- Deine Absicht erst gibt deinem Werke seinen Namen. -- Ambrosius Aurelius (Von den Pflichten)
Attachment:
signature.asc
Description: Digital signature