Hallo Matthias, * Matthias Houdek <linux@houdek.de> [20060404 09:11]: [SSH] > Beim Passwort-Dialog wird ein Passwort übertragen, bevor die eigentlich > gesicherte Verbindung steht. Das ist so nicht richtig oder zumindest irreführend formuliert: Das Passwort wird bei SSH selbstverständlich "sicher" (verschlüsselt) übertragen. > Zusätzlich sind Passwörter gemein hin > nicht so komplex wie ein RSA oder DSA-Schlüssel (man will sie ja auch > halbwegs bequem tippen können ;-). Das hingegen ist richtig, trifft aber nicht den Kern der Sache. Beim Public-Key Verfahren wird der private Schlüssel nämlich NIE übertragen, so dass selbst wenn es jemand schaffen sollte, die Verbindung mitzuhören, er immer noch nichts davon hat. Das einzig realistische Angriffsszenario gegen SSH mit Passwörtern ist allerdings stupides Brute-Force. Mit gut gewählten Passwörtern, Verbot von Passwort-Authentifikation für privilegierte Accounts sowie eventuell einer geeigneten Paketfilterkonfiguration, die die Anzahl der neuen Verbindungen pro Zeit zum SSHD beschränkt hat man mehr als genug möglichkeiten, sich wirksam vor Brute-Force zu schützen. Die erstgenannte ist natürlich die wichtigste und normalerweise schon völlig ausreichend. Grüße, Felix -- | /"\ ASCII Ribbon | Felix M. Palmen (Zirias) http://zirias.ath.cx/ | | \ / Campaign Against | fmp@palmen.homeip.net encrypted mail welcome | | X HTML In Mail | PGP key: http://zirias.ath.cx/pub.txt | | / \ And News | ED9B 62D0 BE39 32F9 2488 5D0C 8177 9D80 5ECF F683 |
Attachment:
signature.asc
Description: Digital signature