Hallo Niels, Niels Stargardt, 09.09.2006 (d.m.y):
> ich habe einen öffentlich zugänglichen SSH-Server (tine). Dieser wird per
> autossh regelmäßig von meinem Arbeitsplatzrechner (mit Einverständnis des
> Arbeitgebers) kontaktiert. Zur Zeit habe ich folgende Sicherheitsmaßnahmen
>
> 1. Ein Login ist nur per public-key möglich.
OK.
> 2. Der Key der für autossh genutzt wird (und kein Passwort haben kann) ist
> für einen Benutzer, der als Shell /bin/false hat, so dass damit keiner
> Unfug treiben kann, außer Ports weiterzuleiten.
OK.
> Ich würde eigentlich gerne sicherstellen, dass nur Ports in die ein Richtung
> gefordert werden, also wenn ich mich intern an tine wende, dass die zum
> Firmenrechner geforwardet werden. Geht das?
Meinst Du PortForwarding?
Oder schwebt Dir eine generelle Beschraenkung des SSH-Logins auf einen
bestimmten Rechnerkreis vor?
Letzteres kannst Du durch entsprechende Eintraege in /etc/hosts.allow
bzw. /etc/hosts.deny erreichen.
Zusaetzlich koenntest Du mit iptables einen Paketfilter
drumherumstricken.
> Das zweite was mir noch wichtiger ist. Wie kann ich erkennen, ob jemand
> versucht über meinen SSH-Server einzudringen?
Du koenntest Dir mit "logwatch" eine taegliche Zusammenfassung (nicht
nur der SSH-Logins) schicken lassen.
Gruss,
Christian Schmidt
--
Nichts vermittelt so sehr das Gefühl von Unendlichkeit als die
menschliche Dummheit.
-- Ödön von Horváth
signature.asc
Description: Digital signature
