Michael Hilscher schrieb: > ich moechte gerne auf die Ausgabe von > SSH-2.0-OpenSSH_3.4p1 Debian 1:3.4p1-1
Das ist hinreichend in Bug 139505 u.a. zerredet worden und es gibt gute Gr�nde diesen String so zu lassen. Du kannst aber im Source version.h und debian/rules �ndern und neu kompilieren. �brig bleiben muss ein "SSH-2.0-OpenSSH", weil es f�r's Protokoll ben�tigt wird. Ein Sicherheitsproblem ist es meines Erachtens nicht. Aber ein gutes Beispiel daf�r, dass Sicherheit relativ ist. Generell bef�rworte ich auch Versionsangaben knapp zu halten oder abzuschalten. Bei Apache konnte es vor kurzem vor dem Slapper-Wurm sch�tzen. Bei einem SSH-Wurm sollte man aber mittlerweile erwarten k�nnen, dass es aufgrund von standardm�ssiger Privilege Separation selbst im Ernstfall keine grossen Probleme geben sollte. Source selbst kompilieren kann auch ein Sicherheitsproblem sein, wie die letztens trojanisierten SSH-Versionen gezeigt haben. Ich halte es bei all den genannten Abw�gungen f�r wichtiger, die Sicherheitsticker zu verfolgen und zeitnah Updates einzuspielen oder zu reagieren. Und der wichtigste Sicherheitsticker sind die eigenen Logfiles. Es ist also in der Standardinstallation ein viel gr�sseres Problem, dass ich zu Deinem SSH-Server konnektieren k�nnte, um obige Angabe zu bekommen, ohne dass dieses auch in nur einem Logfile vermerkt w�re. -- [EMAIL PROTECTED] -- H�ufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)
