Hallo Niels, Niels Stargardt, 09.09.2006 (d.m.y): > ich habe einen öffentlich zugänglichen SSH-Server (tine). Dieser wird per > autossh regelmäßig von meinem Arbeitsplatzrechner (mit Einverständnis des > Arbeitgebers) kontaktiert. Zur Zeit habe ich folgende Sicherheitsmaßnahmen > > 1. Ein Login ist nur per public-key möglich. OK. > 2. Der Key der für autossh genutzt wird (und kein Passwort haben kann) ist > für einen Benutzer, der als Shell /bin/false hat, so dass damit keiner > Unfug treiben kann, außer Ports weiterzuleiten. OK. > Ich würde eigentlich gerne sicherstellen, dass nur Ports in die ein Richtung > gefordert werden, also wenn ich mich intern an tine wende, dass die zum > Firmenrechner geforwardet werden. Geht das? Meinst Du PortForwarding? Oder schwebt Dir eine generelle Beschraenkung des SSH-Logins auf einen bestimmten Rechnerkreis vor? Letzteres kannst Du durch entsprechende Eintraege in /etc/hosts.allow bzw. /etc/hosts.deny erreichen. Zusaetzlich koenntest Du mit iptables einen Paketfilter drumherumstricken. > Das zweite was mir noch wichtiger ist. Wie kann ich erkennen, ob jemand > versucht über meinen SSH-Server einzudringen? Du koenntest Dir mit "logwatch" eine taegliche Zusammenfassung (nicht nur der SSH-Logins) schicken lassen. Gruss, Christian Schmidt -- Nichts vermittelt so sehr das Gefühl von Unendlichkeit als die menschliche Dummheit. -- Ödön von Horváth
Attachment:
signature.asc
Description: Digital signature