Neutrino_2003
05.01.12, 04:37
Hallo liebe Gemeinde :)
Ich hätte ein paar Fragen zu Serversicherheit, doch hier erstmal nur ssh...
Welche Sicherheiten sind mir bis dato bekannt...?
Passwort-Authentifizierung (mir bekannt; ähnlich wie localer Login)
PubKey-Authentifizierung (strebe ich an, root-login wird disabled, man kann ja auf dem Server zu beliebiger Zeit root werden - Anzustreben: Grösstmögliche Bitrate für die Keys)
Nun las ich heute, bzw wurde durch Testen an meiner Übungsplatform (für meinen Root später) auf ein weiteres mögliches Verfahren aufmerksam:
X.509 CACert-Authentification.
Im Internet fand ich einige Seiten - gar nicht schlechte HowTo´s darüber.
Nur wurde dies meist für Leute mit einigen verschiedenen Roots empfohlen. Bzw: Wenn es dutzende Pub und Private-Keys zu verwalten gilt.
Wie ist dazu Eure Einschätzung?
Also wenn ich die Sache mit SSH angehe:
wird Port garantiert nicht '22' sein... (bzw. bei erstem SSH-Login auf x geändert)
werde 8192 bit Algo (wenns geht - noch höher) wählen...
die Keys erzeugen...
auf dem Server einloggen...
Password-Auth disablen und Key dort hinterlegen...
Nutzt ihr X509? Also ich bin ja noch nicht DER Root-Experte (daher habe ich ja bei mir die Testplattform mit allem drum und dran aufgesetzt) doch kann ich mir irgendwie (noch) nicht vorstellen, warum ich noch eine X509 haben muss...
Anbei hätte ich noch eine Frage zu "X" in Verbindung mit SSH:
Ich kann openSSH (habe gentoo) mit oder ohne 'X' Unterstützung kompilieren.
Darüber las ich, das 'X' in diesem Falle eine 'X' - Weiterleitung (X-Forwarding) darstellt...
Nur da auf dem Root kein X laufen wird, denke ich das ich auch hier auf der testumgebung X als Useflag disablen kann, oder? Ich habe jedenfalls noch keinen Linux-Server mit X gesehen ;) (gut, meine testplatform hat jetzt X - klar - nur die ist ja auch nicht im RZ am offenen Inet) Ohne X wär ich beim gleichzeitigen Arbeiten und im Inet lernen etwas aufgeschmissen ;)
Gruß
Neutrino_2003
Ich hätte ein paar Fragen zu Serversicherheit, doch hier erstmal nur ssh...
Welche Sicherheiten sind mir bis dato bekannt...?
Passwort-Authentifizierung (mir bekannt; ähnlich wie localer Login)
PubKey-Authentifizierung (strebe ich an, root-login wird disabled, man kann ja auf dem Server zu beliebiger Zeit root werden - Anzustreben: Grösstmögliche Bitrate für die Keys)
Nun las ich heute, bzw wurde durch Testen an meiner Übungsplatform (für meinen Root später) auf ein weiteres mögliches Verfahren aufmerksam:
X.509 CACert-Authentification.
Im Internet fand ich einige Seiten - gar nicht schlechte HowTo´s darüber.
Nur wurde dies meist für Leute mit einigen verschiedenen Roots empfohlen. Bzw: Wenn es dutzende Pub und Private-Keys zu verwalten gilt.
Wie ist dazu Eure Einschätzung?
Also wenn ich die Sache mit SSH angehe:
wird Port garantiert nicht '22' sein... (bzw. bei erstem SSH-Login auf x geändert)
werde 8192 bit Algo (wenns geht - noch höher) wählen...
die Keys erzeugen...
auf dem Server einloggen...
Password-Auth disablen und Key dort hinterlegen...
Nutzt ihr X509? Also ich bin ja noch nicht DER Root-Experte (daher habe ich ja bei mir die Testplattform mit allem drum und dran aufgesetzt) doch kann ich mir irgendwie (noch) nicht vorstellen, warum ich noch eine X509 haben muss...
Anbei hätte ich noch eine Frage zu "X" in Verbindung mit SSH:
Ich kann openSSH (habe gentoo) mit oder ohne 'X' Unterstützung kompilieren.
Darüber las ich, das 'X' in diesem Falle eine 'X' - Weiterleitung (X-Forwarding) darstellt...
Nur da auf dem Root kein X laufen wird, denke ich das ich auch hier auf der testumgebung X als Useflag disablen kann, oder? Ich habe jedenfalls noch keinen Linux-Server mit X gesehen ;) (gut, meine testplatform hat jetzt X - klar - nur die ist ja auch nicht im RZ am offenen Inet) Ohne X wär ich beim gleichzeitigen Arbeiten und im Inet lernen etwas aufgeschmissen ;)
Gruß
Neutrino_2003