© 1995-2013 by The FreeBSD Project. All rights reserved.URL: http://lists.de.freebsd.org
Oliver Fromme wrote:
> Marian Hettwer <MH(at)kernel32.de> wrote:
> > Na das möchte ich bezweiflen, daß ein consolenzugang mit einem guten
> > console access server unsicher ist.
> > Wenn ich mir nen Cyclades TS angucke ist dort genug Sicherheit
> > vorhanden. Rauf auf den Consoleserver geht's nur via ssh, drin tickert
> > nen kleines linux was mit der aktuellesten unveränderten OpenSSH
> > ausgestattet ist. Reinzu muss man sich authentifizieren, raus zur
> > console des Rechners erneut, und die serielle Verbindung wird auch noch
> > in eine art ssh tunnel verpackt.
>
> Das würde mich mal interessieren, wie das gehen soll (ohne
> ssh-Support im Kernel oder gar im BIOS).
>
> Was ist, wenn jemand einfach das serielle Kabel von Deinem
> Port an eine andere Kiste stöpselt und diese so konfigu-
> riert, daß der Console-Login-Prompt genauso aussieht wie
> bei Dir? Hoppla ...
>
gut, gegen "physische attacken" ist natürlich ein consolen login nicht
gefeit. Jedoch ist wohl davon auszugehen, daß die meisten Rechenzentren
entsprechend gesichert sind und keine scherzadmins kabel und loginprompt
umstellen.
> Ich schließe mich Bernds Meinung an, daß der Zugriff über
> einen Consolen-Server nur für den Notfall ist. Der regulä-
> re Zugang über ssh (über's Netz) _ist_ sicherer und erheb-
> lich flexibler.
>
er ist vor allem schneller, was für mich gegen einen consolen login
sprechen würde ... (standard 9600 baud vs. 100 MBit)
dennoch bin ich nicht der Meinung, daß der consolen login unsicher ist
(abgesehen von physischen attacken). Und zum thema sichere
datenübertragung: der console server kann seiner seriellen
schnittstelle, an die der server angeschlossen ist, eine IP zuteilen,
oder eine tcp-port nummer. Als folge könnte man zu genau dieser ip von
einen ssh tunnel aufbauen. Wie gesagt, das einzig unsichere bleibt dann
die letzten 60 cm kabel von console server zum eigenen server, jedoch
_kann_ in einem guten rechenzentrum dort nichts passieren.
Meine Meinung :)
Gruß,
Marian
To Unsubscribe: send mail to majordomo(at)de.FreeBSD.org
with "unsubscribe de-bsd-questions" in the body of the message
Received on Fri 09 Aug 2002 - 07:57:09 CEST