[linux-l] Scanner unterwegs
Oliver Beck
lists at inetmx.de
Mo Sep 6 13:14:45 CEST 2004
On Mon, 6 Sep 2004 10:57:02 +0200
"Sven 'Rae the Git' Grounsell" <sven at tuxhilfe.de> wrote:
> Den Kunden empfehle ich seitdem dasselbe Verfahren, wie ich auch
> meinen Server (vorher) schon abgesichert habe:
> Wie Christoph richtig anmerkt, Root-Login verbieten, sowie eine
> weitere Zeile mit dem Parameter "AllowUsers", wo ausschliesslich
> diejenigen eingetragen werden, die explizit einen Shell-Zugang
> bekommen sollen.
> Desweiteren ist der Login ausschliesslich unter Verwendung eines
> DSA-Keys moeglich, der per Direktive mehr als 1024bit haben muss; die
> Passwortlaenge des Schluessels kann ich leider anhand des
> oeffentlichen Schluessels nicht nachvollziehen, sonst gaebe es auch
> hier eine Mindestlaenge - da bin ich auf das Verantwortungsbewusstsein
> des Users angewiesen.
Weiterhin bleibt noch die einfache, aber sehr effektive Möglichkeit,
sshd auf einem anderen Port als 22 (vorzugsweise auf einem weniger
privilegierten Port >1024) laufen zu lassen. Sicher, es schützt auch
nicht vor Crackern, die nur diesen einen Rechner knacken wollen, aber
solch Wurm-Attacken kann man getrost aus seiner Gewissensbelastenden
Liste streichen, weil die sich nur über Port 22 verbinden wollen. Ich
habe extern noch 3 Rechner in einem 3 verschiedenen Rechenzentren und
bei keinem dieser solch Login-Versuche.
Mit freundlichen Gruessen/Best Regards Oliver Beck
--
/"\ -ASCII-Ribbon-Campaign- | Linux && EPIA-> http://epia.std-err.de
\ / Against HTML Mail | --- ---
X | -- German GNU/Hurd documentation --
/ \ | - http://de-hurd-doc.berlios.de -
Mehr Informationen über die Mailingliste linux-l