[linux-l] Rechner hinter Router administrieren
Peter Ross
Peter.Ross at alumni.tu-berlin.de
Mi Sep 19 20:21:35 CEST 2007
Hi Thorsten,
On Wed, 19 Sep 2007, Thorsten Stöcker wrote:
> Naja, das Problem ist, der Client baut den Tunnel auf, der Client hat keine
> feste IP, also kann jeder den Versuch starten, einen Tunnel aufzubauen.
Ja, zu einer abgeschirmten Box, bei der ausser ssh (nicht auf Port 22,
damit faellt schon mal 99% des Scannens) nichts geht, mit restriktiven
Accounts, die keine Daten enthaelt und die auch nichts weiter rauslaesst.
Ich mach das doch nicht zu meinem Desktop;-)
Vergleichs mal mit einem anonymen FTP-Server oder so. Was da liegt, kannst
Du haben (wenn Du wirklich ein Image fuer eine CentOS-Box brauchst..
aber selbst das braucht schon mal den ersten Hack, Du bekommst beim
Einloggen keine Shell;-)
> Auch das der Traffic umgeleitet und in Ruhe
> analysiert wird um später einen Angriff zu starten.
Nein.
> Es muß also zumindest eine starke Authentifizierung geben, hingegen
> dürfte der Aufwand für Einmal-verschlüsselung z.B. einen Token zu hoch
> sein.
Iwo. Du darfst als Client Dich gern verbinden, bei "mir" ist nichts zu
holen. Ich will nur auf _Deinen_ Desktop gucken..
> Und ihr hattet keine ungebetenen Gäste?
Nein.
> Meiner Meinung nach kann man ssh nur dann nach aussen zu lassen, wenn
> man vor dem Verbindungsaufbau sicher sein kann auch nur mit diesem einen
> Host zu kommunizieren.
Du bekommst auch einen Public-Host-Key frisch mit dem Firmenlaptop.
> In einem Tunnel kann ich bekanntlich alles druchschieben.
Auf meiner Seite (im Firmen-Netz) geht's nicht weiter, was Du als Client
preisgeben willst, ist Dein Problem.
Gruss
Peter
Mehr Informationen über die Mailingliste linux-l