hallo, also das man nen key für ssh mit ner passphrase absichern sollte versteht sich eigentlich total von selber, und dass man, wenn man seinen arbeitsplatz verlässt, seinen rechner, der sowieso mit passwort geschützt ist, (ist der doch wohl hoffentlich!) sperrt versteht sich auch von selber.... ich schliesse mich dem martin an, dass auth über keys der sinnigste weg ist, ssh abzusichern. aber "securitygewichse" würde ich zusätzliche tools, die gegen brute-force helfen, nicht bezeichnen, allerdings port knocking und port umbiegen halte ich für sinnfrei.
backups sind sowieso ein muss, darüber redet man nicht, man macht es einfach, auch wenns noch nicht alle begriffen haben ;-) aber nu haben wir uns ja hier richtig nen schlagabtausch geliefert, was sinnvoll ist, was nicht, was man wie wo verwenden kann/soll, dabei kann man das thema gar nicht generell so bearbeiten. jeder server ist anders, jeder braucht andere dienste, jeder muss oft einen kompromiss zwischen sicherheit und funktionalität finden, entsprechend gibt es zig ansätze und strategien, wie man damit umgeht (apache + php-sicherheit + mod_security etc.pp hat zb in der gesamten kommunikation gefehlt wie ich finde ;-) ) was haltet ihr denn davon, dass man da mal nen schickes wiki-thema zu auf macht? ich meine, es gibt sicher einige hier, die root-server (und davon sicher auch mehrere) betreiben, und sicherheit ist für alle relevant. wir haben sicher erfahrene leute hier und neulinge in der linux-welt, und auch den erfahreneren auf der liste tut es gut, andere sicherheitskonzepte zu sehen, über neue tools und deren einsatz zu lesen, denn ich kann mir weiss gott nicht vorstellen, dass wir linux-götter hier haben, die alles können und kennen ;-) und zum thema selinux: ich selber nutze es nicht, aber ich kenne durchaus ein paar leute, die darauf schwören und das einsetzen ;-) lg sven Martin Schmitt schrieb: > Dieter Ries schrieb: > > >>> Public/private Methode eingerichtet, >>> >> Ich schätze du meinst Authorisierung vie SSH keys. Du bist dir darüber >> im Klaren, dass sich dann jeder der an deinem PC sitzt ohne >> Passwortabfrage auf deinem Server einloggen kann? >> > > Hast Du schonmal was von einer sogenannten "Passphrase" gehört? > > >>> PasswortAuth. deaktiviert >>> >> Stell dir vor deine Festplatte geht kaputt und der private key ist >> hin... Halte ich für eine ganz schlechte Idee. >> > > Genau dafür wurden Backups erfunden. Zusätzlich kann man sehr leicht für > Redundanz sorgen, indem man Keys auf mehreren Clients hat; z.B. Laptop > und Workstation. > > Der einzige realistische Weg, einen SSH-Server wirklich sicher zu > betreiben, sind SSH-Keys und abgeschaltete Password Authentication. Der > ganze andere Zirkus von wegen Firewall, Portknocking, und diesem Tool, > das Bots aussperrt, ist reines Securitygewixe. Sowas kann man vielleicht > als Kompromiß einsetzen, wenn man doofe User hat, die mit Keys nicht > klarkommen. Aber auch dann nur nach sorgfältiger Abwägung der (durchaus > vorhandenen) Alternativen. > > -martin > > -- ---------------------------------------------------------------------------- PUG - Penguin User Group Wiesbaden - http://www.pug.org
