Guido Hennecke schrieb: > > > Ah, Du moechtest root Login via ssh? > > Ja, wie sonst? SSH als User um sich dann dem weiten Feld der > Welche Gefahren sollen denn da hoeher sein, als wenn man normaler > User ist? Und komme bitte nicht mit irgendwelchen weit hergeholten > und an den Haaren herbeigezogenen Beispielen, die an sich nur ein
Jedes Programm, dass der User verwendet hat die M�glichkeit eine Datei ~/bin/su anzulegen oder entsprechende Aliase ins Shell-Profil zu mogeln. Du kannst von Gl�ck reden, dass in Debian ~/bin erst aktiviert ist, nachdem der User h�ndisch eingegriffen hat. Bei anderen Distris ist der Pfad f�r ~/bin beim n�chsten Login von alleine da, sobald ein ~/bin existiert. Auf diese Weise kannst Du leicht ein modifiziertes su unterschieben, das das Root-Passwort zum Mutterschiff schickt und selbst Experten raffen es vermutlich erst mal nicht. Bei Sicherheitsthemen gibt es ein paar generelle Grundprinzipien. Eines davon lautet beispielsweise "Sicherheit ist immer nur so gut, wie das schw�chste Glied der Kette". Daraus folgend wird beim Entwurf sicherer Konzepte zuerst immer nach dem gleichen Prinzip verfahren: die Zahl der beteiligten Komponenten auf das geringst m�gliche Minimum zu reduzieren. Wenn sich Root ausschliesslich �ber SSH oder die lokale physikalische Konsole einloggt, ist (Programme mit suid jetzt mal aussen vor gelassen) die Situation sehr �bersichtlich und kontrollierbar. > Zu den Argumenten kannst Du dir mal Gedanken machen, warum es Ich soll f�r Dich denken, weil Du es nicht kannst? Formuliere bitte so, dass man verstehen kann, was Du sagen m�chtest. > inzwischen UsePrivilegeSeparation gibt und was dir das noch bringt, > wenn Du root login ueber shh erlaubst. Du bist jetzt also doch meiner Ansicht, dass root-Login �ber SSH sinnvoll ist? Wobei nicht klar ist, was PrivilegeSeparation mit Root-Login zu tun haben soll? Nur nebenbei: Root-Login per PW ist mittlerweile die Standardeinstellung in Debian. -- [EMAIL PROTECTED] -- Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)
