EsRe: Zugriff auf den Rechner von außen

To: debian-user-german@lists.debian.org
Subject: EsRe: Zugriff auf den Rechner von außen
From: Marc Haber <mh+debian-user-german@zugschlus.de>
Date: Sun, 23 Mar 2014 15:34:48 +0100
Message-id: <[🔎] E1WRjU8-0002FC-Hc@swivel.zugschlus.de>
In-reply-to: <[🔎] 20140320090100.55425a4f@einstein.curt.lan>
References: <[🔎] 10187891.x6nZZ5z682@debian> <[🔎] 20140319164823.GB6132@sge.kicks-ass.org> <[🔎] 10654367.liI8CjJLIx@debian> <[🔎] 2515065.1Fyno9DsB7@fuchsia> <[🔎] 20140320090100.55425a4f@einstein.curt.lan>

On Thu, 20 Mar 2014 09:01:00 +0100, Uwe Herrmuth <u.herrmuth@gmx.de>
wrote:
>Michael Schuerig schrieb am 19.03.2014 um 19:31:
>> Wenn du wirklich root-Zugang benötigst, dann solltest du
>> einschränken, was root über ssh darf. Ich bin hier selbst erst vor 4
>> Wochen auf ssh forced commands aufmerksam gemacht worden.
>
>Hat es einen besonderen Grund, dass Du den Umweg über forced commands
>gehst?
>Warum nicht als normaler User einloggen und wenn es dann wirklich nötig
>sein sollte, su benutzen?
>So mach ich das jedenfalls immer. Mach ich da jetzt was falsch?

Der Umweg über forced commands ist immer dann praktisch, wenn es ein
automatisierter Prozess ist, der da als root Dinge tun soll. Dann kann
man nämlich weitgehend ohne schlechtes Gewissen mit passphraselosem
Key arbeiten.

>Dass ein Root-Login über ssh generell keine gute Idee ist, wurde ja
>schon gesagt.

Warum? Wenn root-rechte für eine aus der Ferne ausgelöste Aktion
notwendig sind, dann sind sie notwendig. Dann muss man entweder den
entsprechenden Prozess bleiben lassen, oder die notwendigen Freigaben
vornehmen.

> Es sollte noch erwähnt werden, die Möglichkeit zu nutzen,
>nach x fehlerhaften Login-Versuchen den Zugriff für eine gewisse Zeit zu
>sperren.  
>Ich kann noch empfehlen, den ssh-Server über das WAN nicht auf Port 22
>lauschen zu lassen. Die Angriffsversuche über diesen Port sind ziemlich
>massiv und man kommt mit dem Eintragen der IP-Adressen in die
>hosts.deny nicht hinterher. Aber für eine Studie, welche
>Usernamen/Passwörter man möglichst nicht verwenden sollte taugt das
>ganz gut, wenn man denn die Logfiles auch immer schön liest. Wer Spaß
>dran hat. ;-)

Wenn man den Login per Passwort per ssh nicht zulässt und nur keys
erlaubt, kann man sich beide Maßnahmen sparen.

Grüße
Marc
-- 
-------------------------------------- !! No courtesy copies, please !! -----
Marc Haber         |   " Questions are the         | Mailadresse im Header
Mannheim, Germany  |     Beginning of Wisdom "     | http://www.zugschlus.de/
Nordisch by Nature | Lt. Worf, TNG "Rightful Heir" | Fon: *49 621 72739834

Reply to:

Follow-Ups:
- Re: EsRe: Zugriff auf den Rechner von außen
  - From: Uwe Herrmuth <u.herrmuth@gmx.de>

References:
- Zugriff auf den Rechner von außen
  - From: Volker Wysk <pf3@volker-wysk.de>
- Re: Zugriff auf den Rechner von außen
  - From: Jens Schüßler <jgs@trash.net>
- Re: Zugriff auf den Rechner von außen
  - From: Volker Wysk <pf3@volker-wysk.de>
- Re: Zugriff auf den Rechner von außen
  - From: Michael Schuerig <michael.lists@schuerig.de>
- Re: Zugriff auf den Rechner von außen
  - From: Uwe Herrmuth <u.herrmuth@gmx.de>

Prev by Date: Re: Debian in DMZ absichern
Next by Date: Re: Internes UMTS Modul "Lenovo ThinkPad N5321" unter Debian
Previous by thread: Re: Zugriff auf den Rechner von außen
Next by thread: Re: EsRe: Zugriff auf den Rechner von außen
Index(es):
- Date
- Thread