Diskussion:Administratorhandbuch:SSHServer

Ich halte den hier vorgestellten Weg den ssh-Zugang ohne besondere Authentifizierung zu öffnen für problematisch:

ssh sorgt ja hier lediglich dafür, dass die Kommunikation (inkl. Anmeldung) verschlüsselt wird, es genügt aber die Kenntnis von Benutzernamen und Kennwort, um sich bei Arktur anzumelden. - Wenn nun also ein Schüler (oder sonstwer) das Kennwort eines Lehrers mit ssh-Zugang erspäht, kann er sich direkt anmelden. - Wenn ein Lehrer ein unsicheres Kennwort (wie "Name des Hundes, leicht variiert") gewählt hat, hat ein Schüler durch Erraten des Kennworts nach X Fehlversuchen Zugriff. - Durch Brute-Force-Attacken können evtl. Kennwörter erraten werden.

Weitaus sicherer ist der Weg, wenn für jeden ssh-Benutzer auf dem Server ein privater Schlüssel hinterlegt wurde, zu dem der passende öffentliche Schlüssel auf dem von außen zugreifenden Rechner liegen muss. Das ist zwar durchaus aufwändiger, ließe sich aber teilweise automatisieren (z.B. könnte der Schlüssel eines Benutzers sogar über das Online-Interface erzeugt werden) und würde den Server deutlich sicherer machen!

Um der Frage vorzubeugen: Nein, ich habe leider für die Automatisierung aktuell keine Zeit...

-- Deckers 20:31, 14. Jun 2005 (CEST)

Gute Idee:

• 1. Vorwort mit Hinweis auf die Gefahren (ssh+Kennwort)
• 2. bisherige Doku (also ssh+Kennwort)
• 3. neuer Punkt (ssh+Schlüsselfile)

Ich bin dafür, hier zu ändern!

-- Schoffer 21:11, 14. Jun 2005 (CEST)

Die Idee hat mir wirklich gut gefallen!!

Ich hoffe, meine Änderungen gefallen auch den anderen genauso gut wie mir. Für morgen habe ich mir vorgenommen, die entsprechenden Bilder für Windows XP und Linux zu schießen. Vorbereitet habe ich jedenfalls diese gesamte Aktion.

-- Krause 21:46, 19. Jun 2005 (CEST)

Lieber Uwe,

so lange Seiten wie die zu SSH erfordern aus meiner Sicht ein Inhaltsverzeichnis!! Es ist extrem ehrbar, dass du versuchst, die Seiten auf gleiches Aussehen zu trimmen, aber ohne Inhaltsverzeichnis ertrage ich meine eigene Seite nicht. Meine Denkstrukturen erfordern eine Kurzübersicht .... also lass sie mir bitte wenigstens zum Nachdenken.

Ralf

Ja ist OK, solange dran gearbeitet wird. Aber wenn eine Seite zu lang wird, sollten wir über Teilen nachdenken. So (also mit Inhaltsverzeichnis) kann ich die Seite nicht in HTML wandeln für die eigentliche Doku, die ja auf die CD mit drauf kommt.

-- Schoffer 00:19, 25. Jun 2005 (CEST)

Zum Thema Trennen:

• Bitte SSH-Server und SSH-Client strickt voneinander trennen. (2 Seiten)
• evtl. auch die Windows- und die Linux-Client-Seite voneinander trennen

das dürfte eigentlich ausreichen und auch zu einer besseren Übersicht führen.

Lars

Ich hatte versucht, mit sshd: 192.168.0.10 : ALLOW in /etc/hosts.allow den Zugriff auf den Arbeitsplatz 192.168.0.10 zu beschränken ... das klappte aber nicht. Dann fand ich den speziellen Hinweis auf die Kompilierkonfiguration. Es wäre nett, wenn dies jemand testen könnte, ob dies stimmt oder ob ich mich nur zu dumm angestellt habe.

-- Krause 06:54, 28. Jun 2005 (CEST)

bin zufaellig auf diese seite gestossen. gefaellt mir gut! es ist richtig: damit der sshd ueber den tcp-wrapper angesprochen werden kann, muss dies beim kompilieren einkonfiguriert werden (--with-tcp-wrappers), sonst hat der eintrag in der /etc/hosts_allow keinerlei auswirkungen.

gruss georg (plachta@caesar.de)

Habe den Teil rund um /etc/hosts.allow und die Einschränkungen auf bestimmte Arbeitsplätze entsprechend angepasst. Ich halte den Eintrag in dieser Form in der Anleitung für notwendig, damit kein Administrator auf grund von Darstellungen auf anderen Seiten auf die Idee kommt, die Ausführungen würden für den Arktur 4.0 gelten.

-- Krause 18:44, 7. Jul 2005 (CEST)