SSH Zugriff beschränken

Mailings'AT'netzwerk.cc mailings at netzwerk.cc
Mon Jun 5 12:35:07 BST 2006

Vorherige Nachricht: SSH Zugriff beschränken
Nächste Nachricht: SSH Zugriff beschränken
Nachrichten sortiert nach: [ Datum ] [ Thema ] [ Betreff (Subject) ] [ Autor ]

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

Keywan Najafi Tonekaboni wrote:
> Hallo Sven und die anderen,
> 
> Am Sonntag, den 04.06.2006, 17:17 +0200 schrieb Mailings'AT'netzwerk.cc:
> 
>> mit 255.0.0.0 erlaubst du immer noch 2^24 Clients auf deinen Rechner zu
>> kommen.
> 
> Ja, ich weiss. Aber das ist eine Frage von Wahrscheinlichkeiten. Wenn
> jemand aus meinem Uni Netz meinen Rechner missbraucht ist nochmal was
> anderes, als wenn es jedeR aus dem Internet könnte. Und 16777214
> (255.0.0.0) ist ja auch nochmal kleiner als 4294967294 (0.0.0.0).
> 
> 
>> Ich würde dir vorschlagen den User Gast aufzuklaeren und ihm ein neues
>> Password zu geben. *hust* ... Gut das war nur Spass.
> 
> Habe ich auch schon daran gedacht. Oder ich nehme ein kompliziertes und
> schreibe es mit Edding auf das iBook drauf :)
> 
>> Aber benötigt der Gastuser auch ein SSH Zugang ? Oder braucht der nur
>> Samba, ... ?
> 
> Nee, wirklich (fast) alles. Unter anderem halt auch GNOME, ssh, eine
> bash. Freier Zugang zum Rechner halt.
> 
>> Eine weitere moeglichkeit besteht darin zu sagen
>>
>> iptables -P INPUT DROP
>> iptables -A INPUT -p tcp --source x.x.x.x --dport 22 -m state --state
>> NEW -j ACCEPT iptables -A INPUT -m state --state ESTABLISHED,RELATED -j
>> ACCEPT
>>
>> x.x.x.x Ist durch eine IP zu erweitern von welcher der extern Zugang
>> erlaubt ist.
> 
> Hmm, geht das auch mit einer Netzmaske? 
> 
> Danke erstmal für die ausführliche Mail. Ich werde mir mal deine
> Vorschläge genauer unter die Lupe nehmen.
> 
> Vielleicht mache ich auch sowas wie keine ausführrechte im home oder
> so. 
> 
> Grüße,
> 
> Keywan
> 
Hi Keywan,

du kannst auch --source x.x.x.x/xx angeben. Das bedeutet du gibst die IP
mit dem CIDR an. Zum Beispiel 10.0.0.0/8

Generell finde ich es eine bessere (nicht gute) Idee dir ein
kompliziertes Passwort aufzuschreiben, denn die Zahl derer die das
Passwort ablesen können sollte um ein vielfaches kleiner sein, als die
Zahl derer die als Benutzername:Passwort gast:gast ausprobieren :)

Ich denke mir aber das du hier schon genug von den anderen
Listmitglieder abbekommst.

Daher ein weiterer Loesungsvorschlag.

Wenn du z.B. VNC benötigen würdest, dann nehme mein "Firewall"-Script
von oben. Baue dir SSH Zertifikate
(http://www.debian-administration.org/articles/209#d0e435 - Punkt 7.1
und 7.2). Und Tunnel dann den VNC durch das SSH (ssh -L
4021:x.x.x.x:5904 x.x.x.x -l user) wobei 4021 der Lokale Port und 5904
der zu tunnelden Port ist.

Kombiniert mit den obrigen Sachen solltest du alles verschluesselt
sicher uebers Netz transportiert bekommen.

Solange du jedoch ein Account mit einem unsicheren Passwort auf dein
System laesst wird das ganze sinnlos.

Hoffe dir ein wenig weitergeholfen zu haben.

Gruss

Sven

-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.3 (MingW32)
Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org

iD8DBQFEhBbr14wE9a+nfwkRAjoLAJ42lftEu17nYo8xWJjFt8br7LGqvwCgvIC3
sWSw4QyL+Gd8M9opQ6qONR8=
=sJ//
-----END PGP SIGNATURE-----

Vorherige Nachricht: SSH Zugriff beschränken
Nächste Nachricht: SSH Zugriff beschränken
Nachrichten sortiert nach: [ Datum ] [ Thema ] [ Betreff (Subject)] [ Autor ]