© 1995-2013 by The FreeBSD Project. All rights reserved.URL: http://lists.de.freebsd.org
Marian Hettwer <MH(at)kernel32.de> wrote:
> Sebastian Stolz wrote:
> > [...]
> > ist das ein "Problem" und kann ich da irgendwas dagegen machen??? Leider
> > kann ich den Port nicht in
> > der Firewall beschränken, da ich öffter's Fernwartung per SSH von einer
> > Einwahlleitung machen muss.
>
> Naja, ein gängiger Weg wäre den sshd auf einen anderen Port als 22 zu
> legen. Gefällt mir aber nicht sonderlich gut (security by obscurity).
Davon würde ich auch eher abraten. Sowas ist häufig eher
schädlich als nützlich.
> Ansonsten gelten die üblichen Regeln
> - direkten rootlogin via ssh verbieten (PermitRootLogin No in sshd_config)
Ja (das sollte aber eh der Default sein).
> - wenn's geht public keys benutzen und keyboard-interactive (also
> direkte passworteingabe verbieten)
Keyboard-interactive würde ich nicht verbieten, denn dann
könntest Du z.B. OPIE nicht mehr benutzen. Aber Du meinst
vielleicht PasswordAuthentication; das kann man in der Tat
verbieten.
Public-Keys können sinnvoll sein, sofern man der Client-
Maschine vertrauen kann, von der aus man sie verwendet (was
bei einer Windows-Maschine meiner Meinung nach nicht gege-
ben ist). Alternativ kann man Einmal-Paßwörter verwenden
(OPIE, S/Key o.ä.)
Gruß
Olli
-- Oliver Fromme, secnetix GmbH & Co. KG, Marktplatz 29, 85567 Grafing Dienstleistungen mit Schwerpunkt FreeBSD: http://www.secnetix.de/bsd Any opinions expressed in this message may be personal to the author and may not necessarily reflect the opinions of secnetix in any way. "The ITU has offered the IETF formal alignment with its corresponding technology, Penguins, but that won't fly." -- RFC 2549 To Unsubscribe: send mail to majordomo(at)de.FreeBSD.org with "unsubscribe de-bsd-questions" in the body of the messageReceived on Wed 02 Nov 2005 - 11:08:41 CET