* Jochen Hein wrote/schrieb: > Der erste Teil ist ok - wenn das abgesprochen ist, dann ist das aus > meiner Sicht kein Problem. Nur das "ich mache es, weil es sowieso > keinem auff�llt" kann gelegentlich mehr �rger verursachen als einem > lieb ist. Als Firewall-Admin w�re ich da ziemlich hinterher - wohl > wissend, dass gen�gend Anwender versuchen werden die Technik zu > umgehen. Wie immer: die meisten Probleme in diesem Umfeld sind nicht > technischer Natur und daher mit technischen Mitteln auch nicht zu > l�sen.
Es kommt nat�rlich auf die eigene Position an. Wenn man wie Frank grade frisch bei einem neuen Arbeitgeber angekommen ist, kann man nat�rlich nicht auf die Kacke hauen, da� es nur so spritzt. Aber trotzdem halte ich es in gewissen F�llen durchaus f�r opportun, erstmal Tatsachen zu schaffen. Firewaller sind oft nicht in der Lage, sehr weit �ber ihren Paketfilterungs-Tellerrand hinauszusehen. Bei einem meiner Kunden gabs eine wochenlange Diskussion, ob OpenSSH erlaubt ist. Die IT-Revision hatte uns das ganze abgesegnet, w�hrend die Firewaller rumjammerten von wegen "ist nicht erlaubt", "ist nicht Standard", "gibts keinen Support f�r" und "sehe ich irgendwie dauernd auf Bugtraq". Es wurde Kommerz-SSH genommen, und rate mal, _wof�r_ es keinen vern�nftigen Support und keine vern�nftige Doku gab. Es wird �berall nur mit Wasser gekocht, und wenn ich als "Policy" h�re, "Authentisierung ohne Kennwort ist verboten", h�re ich daraus vor allem eine geh�rige Portion Halbwissen. Ich nehme an, da� diese Regel - so es sie denn gibt - nur besteht, um den Einsatz von kennwortlosen Keys im Tagesgesch�ft zu unterbinden. Ich tippe mal nicht auf �nderungsbedarf an der "Policy", sondern auf eine Fehlinterpretation. Mir wollte mal ein Kunde wegen "rsync" ins Gewissen reden. Ist ja ein "r-Protokoll" und somit verboten. �chz. Manche Regeln haben sich eben per �berlieferung gebildet, ohne einen reellen Hintergrund zu haben. > Beim Starten des Agents bekommt man eine PID und einen Socket, bei dem > man die Identity abholen kann. Die Infos in eine Datei und im > Cron-Job einlesen. Geht nat�rlich nur, wenn der Agent noch lebt, also > z.B. nicht nach einem Reboot. In welcher Weise ist das keine Umgehung der "Firewall-Policy"? Es ist noch nicht einmal betriebssicher und sieht richtig nach Bastelei wildgewordener Unix-Admins aus, w�hrend beim Forced Command wenigstens klar w�re, da� man sich �ber die Sicherheit Gedanken gemacht hat. -martin -- "Contrary to popular belief, Unix is user friendly. It just happens to be selective about who it makes friends with." ---------------------------------------------------------------------------- PUG - Penguin User Group Wiesbaden - http://www.pug.org
