© 1995-2013 by The FreeBSD Project. All rights reserved.URL: http://lists.de.freebsd.org
Hallo Oliver!
Oliver Fromme wrote:
>
[...]
>
> Ich hoffe Du hast den public-key und/oder den Fingerprint
> überprüft, _bevor_ Du ihn der known_hosts hinzugefügt hast?
> Das ist nämlich der Sinn der Sache.
>
> Falls der Key tatsächlich stimmt, dann müssen sich ja die
> beiden Zeilen in der known_hosts (alte und neue) irgendwie
> unetrscheiden -- typisches Beispiel wäre, daß einmal die
> Domain mit drin ist und einmal nicht.
Geprüft? Wie, geprüft? Um ehrlich zu sein, habe ich ssh
bisher nur soweit beschnüffelt, bis lokal alles geht.
Da muß ich nochmal in die Doku steigen (schäm).
Und der Unterschied: Keys sind gleich, Name mit und ohne
Domain (puh). Und der erste ist hinzugefügt worden, bevor
der Rechner Verbindung nach draußen hatte.
>
> > Wie kann es kommen? Die einzige Spekulation
> > die ich anstellen kann, ist das der betreffende
> > Rechner ungewollten Besuch hatte, ohne das es
> > bemerkt wurde.
>
> Genau deswegen _mußt_ Du Key bzw. Fingerprint prüfen, bevor
> Du weitermachst. Ansonsten nützt Dir ssh nicht das gering-
> ste. Ein Eindringling kann ja den sshd auf Deiner Firewall
> ersetzt haben -- wenn Du dem dann vertraust, ohne den Key
> zu prüfen, dann gibt's Du ihm das komplette Netz in die
> Hand.
Autsch. Ist das eine realistische Gefahr? Der Rechner bekommt
die updates via nfs (obj und src).
Nun ja, der Firewall-Rechner ist nur per ISDN-dialup am Netz,
also nicht so lang, meistens läuft der nicht länger als eine
Viertelstunde und geht wieder aus. Nur wenn eine Verbindung
steht und traffic auftritt, bleibt die Leitung ja auch offen
... obwohl die firewall-rules nur Verbindungsaufbau von innen
zulassen sollten und die security-mails von periodic und die logs
haben keine Auffälligkeiten gezeigt.
>
> Das ist mal wieder ein typisches Beispiel dafür, daß die
> Benutzung von ssh nicht zur Sicherheit beiträgt, sondern
> eher zum Gegenteil ... :-]
>
Gibt es dazu nicht eine FAQ oder besser Kurzanleitung
'ssh für dummies'? Ich meine mich zu erinnern, das
jemand eine Security-FAQ angekündigt hatte.
Dank,
Marc
To Unsubscribe: send mail to majordomo(at)de.FreeBSD.org
with "unsubscribe de-bsd-questions" in the body of the message
Received on Mon 15 Oct 2001 - 17:17:47 CEST