Hallo Dirk, Dirk Schleicher, 24.04.2008 (d.m.y): > Am Thu, 24 Apr 2008 13:48:52 +0200 > schrieb Urs Traenkner: > > > Was dem einen sein Schutz, ist dem anderen sein Snakeoil. > > Was ist snakeoil? Schlangenoel - wuerde ich sagen. ;-) > > > Außerdem hat man > > > nicht immer Einfluss auf die Passwörter der Nutzer. > > > > Soziale Probleme loest man nicht technisch. Hat nie funktioniert, > > wird es auch nie. > > Ich mag durchaus soziale Probleme in der einen oder anderen Art > haben :-), doch bin ich der einzige Nutzer. > > > > [snip] > > > > Ich moechte dem OP empfehlen, von dieser Idee Abstand zu nehmen. > > Mehr als ein wohlig warmes Gefuehl wird er davon nicht bekommen. > > Und das laesst sich mit einer leckeren Bruehe auch erreichen - > > die nebenher noch mit einem greifbaren Effekt aufwarten kann. > > Lecker Brühe ist ne gute Idee. Mit ein paar Nüdelchen drin. > > Der Port ist eigentlich ein anderer. Sprich ssh lauscht sehr weit oben. ...und befolgt z.B. auch die Eintraege in /etc/hosts.(allow|deny). > Dazu kommt, das mein Router nur diesen Port an meinen Mailserver weiter > leitet. Der Mailserver möchte dann noch ein Key. > Eigentlich sollte es sicher sein. Doch bin ich Laie auf diesem Gebiet > und bin mir nicht 100% sicher nicht irgend ein Loch zu haben wodurch > man einfach an das System ran kommt. Wenn Du sicherstellst, dass dort nur die unebdingt noetigen Dienste laufen und diese dann noch mit "Bordmitteln" soweit zudrehst, dass nur darauf zugreifen kann, wer auch dazu berechtigt ist, erfuellt ein darum herumgestrickter Paketfilter allenfalls die Funktion des "soppelten Bodens". Gerade wenn es um einen SSH-Server geht, bringt Dich der Fundus an "Bordmitteln" (libwrap, Auth. nur via Keys mit vernuenftigen Passphrasen) schon ein ganzes Stueck weiter - und das ganz ohne K(r)ampf mit netfilter. Gruss/Regards, Christian Schmidt -- Do nothing unless you must, and when you must act -- hesitate.
Attachment:
signature.asc
Description: Digital signature