At Wed, 27 Nov 2002 10:47:17 +0100, [EMAIL PROTECTED] wrote: > > En mellemløsning kunne være, at man i stedet skulle holde en > > SSH-forbindelse åben til firewallen hele tiden, mens man var på. Så > > skulle den onde bruger både hapse IP/MAC-adresse _og_ SSH-session. > > Du skal så til gengæld holde øje med, at SSH-forbindelsen stadig er > > åben, og brugeren skal have SSH + evt. noget som sikrer at du kan spore, > > at forbindelsen er åben. > Tja, bliver loggen ikke opdateret hvergang en ssh session åbner og lukker ?
Jo, loggen vil altid indeholde information om hvornår forbindelsen er lukket. Problemet er hvor lang tid der går før ssh-forbindelsen bliver lukket. Hvis ssh-forbindelsen bliver lukket korrekt ned fra klientens side, går der ganske få sekunder. Hvis ssh-forbindelsen ikke blive lukket korrekt ned fra klientens side, f.eks. pga. nedbrud, er situationen en helt anden. ssh-forbindelsen vil i givet fald kun blive lukket ned når der bliver sendt data over forbindelsen, og TCP-protokolstakken herefter opdager at der ikke er nogen maskine i den anden ende. Dette kan tage LANG tid, flere minutter. Hvis der ikke sendes data over ssh-forbindelsen, kan den forblive åben i timer selvom klient maskinen er slukket. Jeg ved ikke hvor lang tid det tager at hijacke en ssh/TCP session, men på timer burde det kunne lade sig gøre. Men pointen er med andre ord at det er nødvendigt løbende at sende data via ssh-forbindelsen for at sikre at denne bliver lukket ned ved nedbrud. Eksempelvis laver jeg ofte suspend på min bærbare, de fleste ssh-forbindelser kører stadig når jeg laver resume igen en time efter. -- Yours Per Marker Mortensen <[EMAIL PROTECTED]> Consultant, Advanced Network Consulting Phone : 32592041, Mobile: 20413070 Homepage : http://anc.dk/kontakt/marker/ _______________________________________________ kbhkol mailing list [EMAIL PROTECTED] http://kbhkol.dk/mailman/listinfo/kbhkol