AW: AW: SSL-Sicherheitsproblem

[Uwe Walter]

Hahnefeld Bjoern schrieb:
> Hey Sascha,

Hi beisammen.


> wenn aber nur der Root einen SSH-Zugang hat und der nicht mit
> Zertifikaten arbeitet sondern mit Passwörtern, dann ist ja
> offensichtlich 6.06 LTS nicht gefärdet, richtig?

Wenn nun aber root einen SSH Zugang nutzen darf, dann muss ich ganz klar
von schwacher Konfiguration sprechen. Vielleicht bin ich ja Paranoid,
aber der SSH Dämon bietet nicht umsonst die Option ...

,----
| PermitRootLogin yes|no
`----

Bei mir läuft das wie folgt ab:

1. Root darf sich per SSH nicht anmelden
2. Nur ein Benutzer am System darf su als auch sudo ausführen.
3. Dieser Benutzer hat einen eigenen SSH Prozess laufen über den auch
   nur er sich anmelden darf.
4. Die anderen Benutzer melden sich regulär über Port 22 an und sind
   in ihren Rechten stark eingeschränkt. Keine rbash sondern von Hand
   über ein CHROOT eingerichtet.
5. Muss ich administrative Tätigkeiten am Server ausführen, dann melde
   ich mit mit dem ssh-agent ein, brauche also die Passphrase gar nicht
   eingeben, sondern bin direkt am Server. Dort dann ein sudo -i und
   schon bin ich Cheffe. ;-)

Aber nebenbei:
Ich bin schon froh, wenn SSH unter Ubuntu und Debian den Sprung zur 5er
Version geschafft hat, denn dann kann man sich (den nicht unerheblichen
Aufwand) SSH CHROOT jail sparen, weil der neue Dämon, der unter BSD
schon offiziell in den Repositories enthalten ist, eine eigene chroot
Funktionalität mitbringt.

-- 
Freundliche Grüße
Uwe Walter