Am Dienstag 18 Dezember 2007 schrieb Martin Steigerwald: > Am Dienstag 18 Dezember 2007 schrieb Christian Knorr: > > Hallo Liste, > > in meinem Intranet habe ich folgende Marotte eingeführt: > > root ist überall der Zugang per ssh gesperrt. > > Stattdessen logge ich mich über ein Script ein: > > > > $ cat /usr/local/bin/ssh-server.sh > > $ #!/bin/bash > > $ ssh 192.168.178.30 -l chris > > Hallo! > > Ich habe das zwar auf meinen Notebooks auch so gemacht, doch sonderlich > viel Sicherheitsgewinn bringt das meines Erachtens nicht. Na, gut, man > muss zwei Passwörter knacken statt einem... OK... > > Doch aus meiner Sicht wesentlich sicherer ist, die passwortlosen > SSH-Logins soweit wie möglich komplett auszuschalten. Sofern Benutzer > mit Passwort einloggen können dürfen (etwa weil für POP3 / IMAP mit > reallen POSIX-Benutzern erforderlich, sofern keine virtuellen Accounts > eingesetzt werden): > > PermitRootLogin without-password Zwei weitere Denkblockaden durch Müdigkeit: 1) Diese Lösung bietet natürlich gegenüber dem Verbieten des Root-Logins und Arbeiten via su und/oder sudo keinen Sicherheitsgewinn, sondern allenfalls mehr Komfort für Schlüsselnutzer. 2) POP3 und IMAP Authentifizierung geht nicht über SSH und daher ist es auch in diesem Fall möglich, gleich für alle Nutzer nur Schlüssel-basierte Authentifizierung zu erlauben... Und wie schön, dass mein Server auch genauso konfiguriert ist: martin@shambala> ssh martin@mondschein Enter passphrase for key '/home/martin/.ssh/id_rsa': Permission denied (publickey). Da war ich wohl etwas wacher, als ich das gemacht habe. Das PermitRootLogin without-password in seiner SSHD-Konfiguration war nur ein Überbleibsel von einer Zeit, als ich jemanden einen passwort-basierten Zugang gegeben hatte. Gutnacht, -- Martin 'Helios' Steigerwald - http://www.Lichtvoll.de GPG: 03B0 0D6C 0040 0710 4AFA B82F 991B EAAC A599 84C7
Attachment:
signature.asc
Description: This is a digitally signed message part.