Re: Webserver betreiben

On Fri, Aug 09, 2002 at 07:55:10AM +0200, Marian Hettwer wrote:
>
>
> Oliver Fromme wrote:
> >Marian Hettwer <MH(at)kernel32.de> wrote:
> > > Na das möchte ich bezweiflen, daß ein consolenzugang mit einem guten
> > > console access server unsicher ist.
> > > Wenn ich mir nen Cyclades TS angucke ist dort genug Sicherheit
> > > vorhanden. Rauf auf den Consoleserver geht's nur via ssh, drin tickert
> > > nen kleines linux was mit der aktuellesten unveränderten OpenSSH
> > > ausgestattet ist. Reinzu muss man sich authentifizieren, raus zur
> > > console des Rechners erneut, und die serielle Verbindung wird auch noch
> > > in eine art ssh tunnel verpackt.
> >
> >Das würde mich mal interessieren, wie das gehen soll (ohne
> >ssh-Support im Kernel oder gar im BIOS).
> >
> >Was ist, wenn jemand einfach das serielle Kabel von Deinem
> >Port an eine andere Kiste stöpselt und diese so konfigu-
> >riert, daß der Console-Login-Prompt genauso aussieht wie
> >bei Dir? Hoppla ...
> >
> gut, gegen "physische attacken" ist natürlich ein consolen login nicht
> gefeit. Jedoch ist wohl davon auszugehen, daß die meisten Rechenzentren
> entsprechend gesichert sind und keine scherzadmins kabel und loginprompt
> umstellen.

Diese Vorstellung verkauft man dir natürlich mit dem Hostingplatz
gleich mit, aber die Realität sieht manchmal anders aus.

> >Ich schließe mich Bernds Meinung an, daß der Zugriff über
> >einen Consolen-Server nur für den Notfall ist. Der regulä-
> >re Zugang über ssh (über's Netz) _ist_ sicherer und erheb-
> >lich flexibler.
> >
> er ist vor allem schneller, was für mich gegen einen consolen login
> sprechen würde ... (standard 9600 baud vs. 100 MBit)

Und man braucht sich keine Gedanken über die Termnialconfig zu machen.
Ich arbeite sehr viel auf der Cosnole zum Debuggen und um gestrauchelte
Maschinen wiederzubeleben.
Inzwischen kann ich einen ed im Schlaf bedienen.

> dennoch bin ich nicht der Meinung, daß der consolen login unsicher ist
> (abgesehen von physischen attacken). Und zum thema sichere
> datenübertragung: der console server kann seiner seriellen
> schnittstelle, an die der server angeschlossen ist, eine IP zuteilen,
> oder eine tcp-port nummer. Als folge könnte man zu genau dieser ip von
> einen ssh tunnel aufbauen. Wie gesagt, das einzig unsichere bleibt dann
> die letzten 60 cm kabel von console server zum eigenen server, jedoch
> _kann_ in einem guten rechenzentrum dort nichts passieren.
> Meine Meinung :)

Der Terminalserver selber als Unsicherheit bleibt.
Und gute Rechenzentren sind selten.
Wenn man mehr als einen Rechner unterstellt reicht man manchmal besser
seinen eigenen Terminalserver nach.

-- 
B.Walter              COSMO-Project         http://www.cosmo-project.de
ticso(at)cicely.de         Usergroup           info(at)cosmo-project.de
To Unsubscribe: send mail to majordomo(at)de.FreeBSD.org
with "unsubscribe de-bsd-questions" in the body of the message