SSH Zugriff beschränken

[Heike C. Zimmerer]

Keywan Najafi Tonekaboni <lists at prometoys.net> writes:

> ich habe einen User gast mit dem passwort gast auf meinem Rechner. Auch
> wenn es einige von euch nun gruseln mag, ich finde es wichtig, dass
> jeder Person die es benötigt ein Zugang zu meinem Rechner möglich ist.

Ja, da gruselt mir.  Sehr.

>
> Nun ja, aber alles sollen diese Leute nicht machen dürfen. Nun war
> jemand auf meinem Rechner, während ich in der Uni am Internet
> angeschlossen war und eine globale IP hatte. Jemand nutze anscheinend
> meinen Rechner um Spam zu versenden. (Hiermit Entschuldigung an alle,
> die Freitag Spam erhalten haben, möglicherweise war es von meinem
> Rechner ;) )


Das ist nur eine der möglichen Folgen; Botnetze werden auch für
Illegaleres verwendet.  Mit einer Entschuldigung ist es dann nicht
mehr getan (auch so finde ich das als einzige Reaktion ziemlich
mager).

Im Klartext:

Wenn Du einen öffentlich erreichbaren Rechner betreibst, bist Du auch
für einen sicheren Betrieb verantwortlich (einschließlich dessen, was
mit seiner Hilfe auf anderen Rechnern angestellt wird).  Die
Unbequemlichkeit eines sicheren Passworts ist minimal gegenüber dem
Schaden, den Du woanders anrichten kannst.  Aber der tut ja jemand
anderem weh.

Also entweder Du machst Deine Mühle nach außen komplett zu, oder Du
gestaltest den Zugang sicher.

Ohne Dir zu nahetreten zu wollen: Wenn es möglich ist, dass Du Deinen
Rechner so im lokalen Netz betrieben hast, ist es nicht ausreichend
sicher.  Eine Login-Beschränkung auf Rechner in diesem LAN reicht dann
nicht aus; es ist ja bewiesen, dass sich Müllschleudern darunter
befinden können.

Den Rest solltest Du in einer security-Gruppe Deiner Wahl diskutieren.
Ich kauf mir dann schon mal Popcorn, denn das wird sicher sehr lustig.

Bist Du wenigstens mal auf die Idee gekommen, chkrootkit o.ä. laufen
zu lassen (wobei ich die Meinung teile, dass man einen
kompromittierten Rechner ohnehin neu aufsetzen sollte)?