Re: ssh-Zugang weiter verschärfen
On Tue, Dec 18, 2007 at 11:37:42PM +0100, Martin Steigerwald wrote:
> PermitRootLogin without-password
> D.h. ein Root-Login ist nur noch via SSH-Key möglich.
> Auf meinen Laptops stattdessen gleich:
> PasswordAuthentication no
> Das heisst, ohne SSH-Key, deren öffentlicher Teil in der authorized_keys
> drin ist, geht halt mal gar nix.
Und _genau_das_ halte ich für erheblich unsicherer, gerade in Zeiten
von Stasi 2.0. Laß` den key auch nur einen Augenblick unbeobachtet
(dafür reicht schon, in der Firma auf die Toilette zu gehen und den
USB-Stick versehentlich stecken zu lassen), und in einer wirklich
anspruchsvollen Umgebung müßte er konsequenterweise exakt ab da als
kompromittiert gelten. Und das Problem dabei ist, daß Du die
Kompromittierung niemals bemerken wirst, wenn sie in einem
unbeobachteten Augenblick stattgefunden hat. Ein Passwort hingegen
kann man, zumindest so lange man es nicht aufschreibt, nicht auf
diese Weise kompromittieren.
Dafür gibt es dort andere Probleme wie Keylogger usw., aber so ein
Risiko kann man vermindern, in dem man z.B. nur eigene Rechner benutzt.
Ich jedenfalls halte einen Key zwar für technisch sicher, sozial aber
eher unsicher. Just my2cents.
Aber die Diskussion hatten wir schon des öfteren hier.
ciao, Dirk
--
| Akkuschrauber and AEG GSM stuff |
| The "Ruhrgebiet", best place to live in Germany! |
| Visit my homepage: http://www.nutrimatic.ping.de/ |
Reply to: