Auch an Liste, da für denke ich für alle interessant: Am Freitag 06 August 2010 schrieben Sie: > Hallo, > > Martin Steigerwald schrieb am Freitag, den 06.08.2010 um 16:04: > > Am Donnerstag 29 Juli 2010 schrieb Sascha Reißner: > > > > Zu Hause warte ich den Server per ssh (mit DSA-Schlüsseln) von > > > > der Workstation aus. Es wäre nicht schlecht, wenn dies von > > > > "außen" auch möglich wäre, nur ist mir nicht wohl dabei, > > > > root-Zugriff zuzulassen. Wie kann man denn alternativ - lesend - > > > > auf Logdateien zugreifen, z.B. mit mc? > > > > > > Du könntest einen DSA-Schlüssel für deinen User am Server anlegen > > > und root-login verbieten. Dann kannst du dich mit dem > > > DSA-Schlüssel als User per ssh anmelden und erst danach mit su > > > root werden. > > > Wenn die VPN-Verbindung steht, kannst du auch die SSH-Verbindung > > > auf die interne IP machen, da du > > > > Bitte kein DSA: Siehe DSA-1571-1 ;-). > > 1571 spricht doch nicht grundsätzlich gegen das DSA-Verfahren, oder? > DSA-Schlüssel die mit Software von vor dem Einbau des Fehlers im > September 2006 oder von nach der Korrektur dieses Fehlers im Mai > 2008 erzeugt wurden, sollten doch weiterhin genauso sicher sein wie > bisher auch. Außerdem hat dieser Fehler doch alle Schlüsselarten > (also auch RSA ?) betroffen. Lies genauer. Da steht auch drin, dass wenn man mit einem DSA-Schlüssel via SSH auf eine Debian-Box mit dieser Sicherheitslücke verbindet, der DSA-Schlüssel kompromittiert ist. Wie genau das kommt, hab ich ganz ehrlich gesagt damals auch schon nicht verstanden. ;) Auch wenn jeder verantwortungsvolle Admin längst seine Debian-Maschinen aktualisiert haben sollte, würde ich mich darauf nicht verlassen und lieber auf Nummer sicher gehen. -- Martin 'Helios' Steigerwald - http://www.Lichtvoll.de GPG: 03B0 0D6C 0040 0710 4AFA B82F 991B EAAC A599 84C7
Attachment:
signature.asc
Description: This is a digitally signed message part.