Am Montag, 28. Dezember 2015, 15:26:04 CET schrieb Robert Stephan: > > Die 100% korrekte Antwort ist wohl: > > "Wenn es keine Sicherheitslücke gibt die das ermöglicht ist es *nicht* > > möglich herauszufinden welche Benutzer es auf einem fremden System gibt. > > Mir ist momentan keine solche Lücke bekannt" […] > Hmmm, da war mal was. Weiß aber nicht ob das noch aktuell ist. > Der Trick dabei war daß sich die Antwortzeiten unterscheiden, je nachdem ob > ein Nutzer des Namens existiert oder eben nicht. Es könnt auch Möglichkeiten geben, über andere Dienste wie Webserver, FTP- Server, IMAP-Server, MTA herauszufinden, welche Benutzer existieren. Allerdings liefert keiner der Dienste, die ich so kenne, fix und fertig eine Liste raus. D.h. auch die Benutzernamen wären mit Brute Force zu erraten. Und es hängt natürlich von der Konfiguration der Dienste ab. Für Apache bespielsweise, ob das Userdir-Modul aktiviert ist. So oder so: Server mit SSH betreibe ich grundsätzlich nur mit Schlüssel- Authenzifizierung und dann habe ich auch kein Problem damit, den Login auf den Root-Benutzer zu erlauben. Da darf dann jemand schon Schlüssel via Brute Force knacken. Seitdem mein virtueller Server im Internet steht, also mehr als acht Jahre, hat das, meines Wissens, noch niemand gemacht. Oder wenn, dann hat er das bislang sehr, sehr gut verborgen :). Ciao,, -- Martin
Attachment:
signature.asc
Description: This is a digitally signed message part.