Hallo zusammen, Am 23.05.2015 um 21:42 schrieb Helmut Hullen: >> Oder würdest Du das eher kritisch sehen, da ich ja Zugang zum Host >> > (und seinem Dateisystem) habe? > Rechne einfach damit, dass irgendein gelabgweilter Schüler Dein Passwort > als Betreuer des päd. Netzes knackt - Du wärest nicht der Erste, dem das > passiert ist. Anschliessend hat er alle Zeit der Welt, auch ins > Verwaltungsnetz einzudringen.
Ich würde mir sowieso überlegen, von wo ich den Host erreichbar machen. Einfach mit Passwort sollte man weder auf den Virtualisierungshost noch auf den Verwaltungsserver kommen - vor allem nicht von außen. Eigener (abgeschlossener) Raum, abgesprochene Regeln für den Zugang, etc. Das kann man doch schon ziemlich sicher gestalten. Auch ein zweiter Server hilft ja nichts, wenn ein Schüler sich physischen Zugang verschafft und die (idR unverschlüsselte?) Festplatte mitgehen lässt - die gehen bei Servern so praktisch einfach raus. Auf Benutzerebene ist das ganze im Arbeitsalltag natürlich strikt zu trennen. Aber auf Admin-Ebene muss man eben genau schauen, wie da die Zugriff (ungleich "Betreuung") gegeben ist und wer wem wieweit vertraut (auch ungleich "Betreuung"). Wenn ich Zugang zum Serverraum habe, in dem beide getrennten Server stehen... dann ist es doch völlig egal, ob ich Zugriff auf den Virtualisierungshost habe oder nicht. Die Daten wären vor mir im Regelfall nicht sicher - einen entsprechenden USB-Stick habe ich am Schlüsselbund bzw. ein Netzwerkkabel ist schnell gepatcht! Ich kann mir für alle Schulen, die ich kenne, derzeit kein Szenario vorstellen, wo man ohne Absprachen und ohne ein gewisses Vertrauen (z.B. dem Netzwerkbetreuer gegenüber) auf technischem Wege ausschließen kann, dass man sich unberechtigt Zugriff auf Verwaltungsdaten verhindern kann. Da fehlt es ja schon an grundsätzlichem Knowhow. Ich kann zwar aufmalen, was sich mit Verschlüsselung und physischer Trennung alles machen lässt, aber DIESE (todsichere) Maschine (physische Trennung, auch räumlich (zweiter Serverraum?!), eigenes Netz, Komplettverschlüsselung, etc.) wird hier im weiten Umkreis kein Schulträger bezahlen wollen und einrichten oder betreuen können! Was schon eher passt: ich kann mit meinem Wissen auch das Verwaltungsnetz deutlich sicherer machen, als es vor meiner Zeit je gewesen ist... Viele Grüße, Thomas _______________________________________________ linuxmuster-user mailing list [email protected] https://mail.lehrerpost.de/mailman/listinfo/linuxmuster-user
