[linux-l] Passwort bei rsync
Lutz Willek
lutz.willek at belug.de
Mi Okt 5 00:26:44 CEST 2011
Am 02.10.2011 11:31, schrieb Marek Froehlich:
> ... Wir k�nnen ja
> Verbesserungsvorschl�ge sammeln und Volker "spielt" den
> boesen root-admin auf A, der schlimme Dinge auf B mit rsync
> anstellen will ;-)
Ich will mitspielen! Au fein ja Volker lass uns spielen!
Das Ergebnis passt dann sicher noch auf eine Seite auf meinen
ssh-Vortrag; da fällt mir ein den wollte ich ja noch online stellen...
> Ein alternativer Ansatz w�re ein rsync-Daemon auf B laufen
> zu lassen - pruefe ich auch mal.
>
>> Hat diese Konstruktion irgendeinen Vorteil gegenüber dem
>> Eintragen des SSH-Keys direkt für den Root-Account?
Ja, Du machst es Volker viel leichter :)
> [...]
>>> root at A:/root/keys ssh-keygen -v -t dsa -f rsync-key
>>
>> Hier kann man statt "-t dsa" auch "-t rsa" verwenden. Das
>> soweit ich weiß Geschmackssache. Soweit mir bekann ist, weiß
>> noch keiner genau, welches dieser Verfahren sicherer ist.
> [...]
>> Oder gibt es inzwischen schon Erkenntnisse, dass eines von
>> beiden sicherer ist?
>
> Keine Ahnung, bin kein Sicherheitsexperte. Gibts dazu Meinungen
> auf der Liste?
Ich fange mal damit an:
http://serverfault.com/questions/40071/ssh-keypair-generation-rsa-or-dsa/40075#40075
Der ganze thread ist gut, nicht nur der direkter Link auf eine der sehr
guten Antworten. Im Endeffekt geht es um die "Kosten" einen Schlüssel zu
brechen.
Und da ist es wie im wahren Leben auch: Die Länge macht den Unterschied,
nicht der Algorithmus. (zumindest hier in diesen Vergleich stimmt das)
Da DSA den "längeren" hat könnte man jetzt hingehen und sagen das DSA
besser ist. Andererseits, wer aber schon mal versucht hat, mit einem
4096 bit Schlüssel auf einem 100Mhz Router per ssh einen Login zu
versuchen, kann auch ein Lied von "Überlänge" singen. Lied? Ach was,
Lieder, ganze Arien.. zumindest hat man die Zeit dazu, während man auf
seinen Login wartet.
Von daher mein Rat: Wissen anlesen und dann für sich entscheiden wie
viel "Sicherheit" man wirklich durch einen längeren Schlüssel bekommt.
Meine persönliche Meinung:
Nach Lektüre erkennt man eigentlich schnell das man auf einem viel zu
hohen Niveau nachdenkt, da es viel zu viele Sicherheitslücken gibt die
sich viel einfacher ausnutzen lassen. Für fast alle Standardfälle ist
die Standardeinstellung von ssh also gut genug.
Eine gute Erklärung zu rsa/dsa gibt auch ibm developerworks:
http://www.ibm.com/developerworks/library/l-keyc/index.html
(Eine auch ansonsten zu empfehlende Quelle für Lesestoff an langen
Winterabenden..)
hth Lutz
>
> Mit freundlichen Gr��en
>
> Marek Fr�hlich
Mehr Informationen über die Mailingliste linux-l