Hallo allerseits!

Ich stehe kurz davor einem Freund ein komplettes Linux System (Kubuntu 8.04) einzurichten. Er soll/wird dann komplett und ausschliesslich damit arbeiten, so dass auch "kritischere" Anwendungen (Finanzverwaltung, Steuererklärung, berufliche Dokumente etc.) zum Einsatz kommen werden.
Da ich selber in einer anderen Stadt wohne, dachte ich mir am besten per ssh (ggf. auch mit grafischer Unterstützung wie NX Client (http://www.nomachine.com)) hin und wieder mal software zu installieren, updates einzuspielen etc. Man will ja Neulinge nicht gleich mit root und kommandozeile etc. verschrecken...
Selbt nutze ich auch ssh und hin und wieder auch den NX Client zur Wartung meines Servers. Wenn ich mir aber da die Logfiles anschaue und sehe wie jeden Tag zig Eindringversuche stattfinden (wie bekomm ich eigentlich mit wenn jemand tatsächlich zugang bekommen hat/hatte?) zweifle ich an meinen bescheidenen Linuxkenntnissen so ein Ding auch sicher zu halten (auf meinen server laufen nur unkritische dinge, nutze es fast mehr als fileserver...)! Es gäbe natürlich die Möglichkeit den ssh port nur für fragliche zeiten zu öffnen und ansonsten sicher und verschanzt zu agieren - selbst dann bleibt aber ja ggf. doch noch ein Restrisiko!?

Mich würde ganz einfach Eure Meinung interessieren: Kann man sowas "bedenkenlos" aufsetzen oder sollte man doch lieber per messenger und/oder telefon das ein oder andere erklären???

IMHO gibts nichts sichereres als STARKE PASSWÖRTER und ssh. Meistens ist das der letzte Port, der überhaupt noch offen ist. Kannst ja den sshd unter einem unüblichen Port laufen lassen, wenn Du besonders Angst vor Angriffen hast. Wenn Du den Zugriff auf keys beschränkst, kann nach menschlichem Ermessen kaum mehr was schiefgehen.

Ich stimme meinem Vorredner zu, aber ich hab noch nen anderen Tip, wenn dort ein DSL-Router (z.B.) eingesetzt wird. Auf diesem musst du ja eine Weiterleitung einrichten und da kannst du dann z.B. Port 28437 von extern auf intern Port 22 auf den Zielrechner lenken. Jemand der dann die IP vom Internet scannt, sieht zuerst mal keinen offenen Port 22 und die meisten Skripts versuchen standardmäßig auf Port 22 einzuloggen. Bei dieser Methode musst du nicht die Standardkonfiguration des Rechners ändern und den Router musst du so oder so konfigurieren. :-) Wenn nun ein besonders neugieriger Hacker kommt und den Port 28437 als SSH-Deamon erkennt, muss er immer noch an deinen hoffentlich starken Passwörtern vorbei.

Viel Erfolg,
Reiner

Danke Euch! Das ist ja ziemlich klare und eindeutige Meinung. Irgendwie auch beruhigend... :)

Eine Frag noch. Was meinst Du mit:

Wenn Du den Zugriff auf keys beschränkst

Also nur Zugriff über Konsole und nicht grafisch via NX?

Hallo,

Du kannst Dich per Schlüssel ("key") über ssh einloggen. Das schafft zusätzliche Sicherheit, weil Du dann praktisch nur noch mehr von Computern einloggen kannst, die das richtige Schlüsselpaar gespeichert haben. Das kann dann zusätzlich noch password-gesichert werden.

Mit den Stichwörtern "ssh key" findest sicher schnell gute Beschreibungen, was gemeint ist.

Danke. Das kannt ich ncoh nicht...

hin und wieder mal software zu installieren, updates einzuspielen etc. Man will ja Neulinge nicht gleich mit root und kommandozeile etc. verschrecken...
beides sollte er eigentlich auch ohne Deine Hilfe hinbekommen. Auf Updates weißt einen *buntu selbst durch ein nettes Icon in der Taskleiste hin und Software installieren geht ebenso ohne "root" - und sein eigenes Passwort wird er ja noch kennen und eintippen können.

die Konfiguration evtl. Dienste (so er das braucht - reine Desktopapplikationen kommen ja meist völlig ohne komplizierte Änderungen in irgendwelchen Dateien über die Shell aus) - klar, da ist ein ssh-Zugang eine feine Sache. Halt, wie hier schon oft erwähnt, entsprechend absichern...