Also sprach Wolfgang Jeltsch <[EMAIL PROTECTED]> (Wed, 14 Dec 2005 20:17:39 +0100): > Am Mittwoch, 14. Dezember 2005 16:54 schrieb Christian Schmidt: > > [...] > > > > Nun suche ich nach einer Möglichkeit, den Rechner remote zu warten. Ich > > > will mich also insbesondere in ihn über das Internet mittels ssh > > > einloggen können. Wie stelle ich das an? > > > > Du musst auf der FritzBox das "PortForwarding" konfigurieren, damit > > von aussen auf Port 22 eintreffende Verbidungswuensche an den > > entsprechenden Rechner nach "innen" weitergereicht werden. > > Ach sowas geht mit der guten Box? Das ist dann natürlich wesentlich > einfacherer und sauberer.
_Wenn_ es Fritz kann ;) > > Sichere den Rechner aber entsprechend ab! > > Was heißt das eigentlich konkret? Bis jetzt dachte ich an folgendes: > > * alle TCP- und UDP-Ports nach außen schließen bis auf TCP-Port 22 Halt TCP 22 auf dem internen Rechner offen lassen und darauf durchreichen. > * sshd so konfigurieren, dass > > * root-Logins nicht möglich sind + AllowUsers <name> (damit ist ein evtl. angelegter User "test" mal ausgeschlossen) > * Public-Key-Authentifizierung die einzige mögliche > Authentifizierungsmethode ist > > * SSH-Protokoll 1 nicht verwendet wird > > * zeitnah Sicherheitsupdates einspielen, zumindest wenn sie direkt oder > indirekt sshd betreffen > > Was sollte man vielleicht noch machen und warum? Wenn manche boesen Bots im Netz einen offenen Port 22 finden, probieren sie gern allerhand Benutzernamen und Kennwoerter durch. Ist die Box nur selten im Netz, kann man ssh auf Port 22 belassen, ansonst verwende einen anderen (freien) Port am Fritz um diese zu verwirren. > > [...] > > > Gruss, > > Christian Schmidt > > Viele Grüße > Wolfgang sl ritch
