Re: SSH absichern
Hallo Tobias,
oh, scho wieder:
empfänger-e-mail: nicht mailingliste, muss ich das immer
bei der Antwort manuell ändern? Da gibt es im e-mail-
client eine Option "Antworten auf e-mail-adressse: "
(kann je nach client anders heißen)
Ist aber nur dann sinnvoll, wenn man eine eigene e-mail-
Adresse hat für eine einzige Liste, was wohl kaum der Fall ist.
>Das heißt nur, dass Du Dich nicht darauf verlassen
>darfst, damit alles Notwendige getan zu haben.
Okay, wenn das so gemeint war (also: nicht einzig
und allein verladden). Habe ich erst falsch verstanden.
Gruß
jacob
--- Tobias Nissen <tn@movb.de> schrieb am Mo, 7.7.2008:
> Von: Tobias Nissen <tn@movb.de>
> Betreff: Re: SSH absichern
> An: debian-user-german@lists.debian.org
> Datum: Montag, 7. Juli 2008, 9:51
> Jacob wrote:
> [...]
> >> Warum 'unsichtbar' machen?
> >> Entweder Du benötigst diesen Dienst oder nicht.
> >
> > Ganz einfach - wenn der Angreifer drin ist und sieht
> das daemon
> > sowieso läuft, und dies was aufzeichnet <-- und
> eine Gefahr
> > darstellen könnte (natürlich hat der Angreifer viele
> Bücher
> > gelesen) killt er diesen daemon.
>
> Dazu braucht er erstmal root-Rechte.
>
> > Wenn es aber unsichtbar ist, weiss er nicht das es
> läuft.
> > Und er wird vielleicht NICHT schauen ob das Programm
> > vorhanden ist (wenn vorhanden, kann man ausgehen bzw.
> > muss man ausgehen, das es läuft, und er wird
> versuchen
> > es zu killen).
>
> Wenn ein Angreifer bereits auf Deinem System eingeloggt
> ist, dann wird
> er es sowieso nicht mehr schwer haben, dieses zu
> übernehmen. Lokale
> root-exploits existieren nämlich in viel größerer Zahl
> als welche, die
> von außen funktionieren.
>
> >> Kein Passwort basiertes Login zulassen, nur per
> Key.
> >
> > Wie mache ich das?
>
> Dazu sollten zunächst
>
> RSAAuthentication yes
> PubkeyAuthentication yes
>
> in /etc/ssh/sshd_config gesetzt sein. Das Deaktivieren von
> Passwort-
> basierten Logins erfolgt dann durch Setzen von
>
> ChallengeResponseAuthentication no
> PasswordAuthentication no
> UsePam no
>
> Ein
>
> PermitRootLogin no
>
> kann nie schaden, aber das wurde ja schon früher
> angesprochen. Du
> solltest Dich in die Materie durch Lektüre von `man sshd`
> und `man
> sshd_config` einarbeiten. Nur Rezepte anzuwenden ist
> schlecht.
>
> [...]
> >> Hilft nur gegen Skriptkiddies.
> > Entweder hast du es nochnicht ausprobiert, oder du
> > hast die e-mail von Martin nicht gelesen, denn er
> > schreibt das völlig positives!
> >
> > Sollte dies nicht stimmen, kannst du dies mit ihm
> > gerne ausdisskutieren oder besser: dich selber
> überzeugen.
>
> He? Er hat doch recht!? Aber das heißt ja nicht, dass das
> etwas
> Schlechtes ist! Das heißt nur, dass Du Dich nicht darauf
> verlassen
> darfst, damit alles Notwendige getan zu haben.
>
> [...]
> >> Imho ist das legal, da Du ja den Auftrag dazu
> erteilt hast.
> >
> > Naja, aber bin ich nicht auch kriminell, weil ich
> > jemanden bezahle, der einen Angriff durchführt? Rein
> > rechtlich stecke ich schon mit den einem Fuß in der
> > Grauzone - egal wem der Server gehört.
>
> Quark, es ist Dein Eigentum, Du kannst damit machen was Du
> willst,
> so lange andere davon keinen Schaden haben. Schön zu
> sehen, wie der
> derzeitige Diskurs um Computersicherheit und Hackertools
> zur
> Verunsicherung der Leute beiträgt... es ist zum Kotzen.
__________________________________________________________
Gesendet von Yahoo! Mail.
Dem pfiffigeren Posteingang.
http://de.overview.mail.yahoo.com
Reply to: