Hi all,
ich bin grad dabei meinen Root Server "sicher" zumachen. Mir schwebt davor, um mich vor möglichen PW Crackern zuschützen, zumindest den Root-Account mit einmal Passwörtern zuschützen. Nur leider bringt die Idee mir alleine nicht viel. Mit fehlt die nötige Software. Hat hier schon jemand so etwas gemacht und erfolgreich umgesetzt?
Einmal Passwörter
Re: Einmal Passwörter
Einmal Passwörter?
Die willst Du dir dann nach jedem Einloggen neu merken? ;)
Bessere Idee:
Root-Login per SSH abschalten
Dem Standard-User die Rechte eingrenzen
Allen usern lange Passwörter geben, die keinen Sinn ergeben, am besten viel mit Sonderzeichen.
Die willst Du dir dann nach jedem Einloggen neu merken? ;)
Bessere Idee:
Root-Login per SSH abschalten
Dem Standard-User die Rechte eingrenzen
Allen usern lange Passwörter geben, die keinen Sinn ergeben, am besten viel mit Sonderzeichen.
Re: Einmal Passwörter
Hi,
das war die Alternative. Ich wollte in der Tat aber eigendlich sowas haben wie PIN's bei der Bank. Man hat ne Liste und für jeden Login nimmt man ein Passwort. Nach dem Logout verfällt das dann und man streicht es auf deiner Liste durch. Wenn nur noch 10 Passwörter über sind generiert der Server eine neue Liste und legt sie im Home-Dir des Users ab. Sicher hilft das alles nichts wenn der Server per Remote Dienst angegriffen wird. Aber dem kann man ja anders vorbeugen.
das war die Alternative. Ich wollte in der Tat aber eigendlich sowas haben wie PIN's bei der Bank. Man hat ne Liste und für jeden Login nimmt man ein Passwort. Nach dem Logout verfällt das dann und man streicht es auf deiner Liste durch. Wenn nur noch 10 Passwörter über sind generiert der Server eine neue Liste und legt sie im Home-Dir des Users ab. Sicher hilft das alles nichts wenn der Server per Remote Dienst angegriffen wird. Aber dem kann man ja anders vorbeugen.
Re: Einmal Passwörter
Sorry, aber das ist doch alles Unsinn. Den Login per Passwort abschalten und nur noch key Authentifikation erlauben wäre das einfachste und sicherste.
Re: Einmal Passwörter
Dann habe ich wieder das Problem das die "Nutzbarkeit" leidet. Ich benutze den Server nicht alleine und meinen Mitnutzern kann ich das nicht zumuten, da sie mit den aktuellen Sicherheitsmaßnahmen schon belastet genug sind. Ihnen ist wohl auch der Sinn einer solchen Sicherung nicht klar sein und deswegen werde ich auf diese Lösung verzichten müssen.
Im mom habe ich es so wie oben schon beschrieben, das root sich nur über einen anderen User einloggen kann. Dabei wird es dann wohl auch bleiben wenn es keine sichere und sinnvolle Lösung für dieses Problem gibt.
Im mom habe ich es so wie oben schon beschrieben, das root sich nur über einen anderen User einloggen kann. Dabei wird es dann wohl auch bleiben wenn es keine sichere und sinnvolle Lösung für dieses Problem gibt.
Re: Einmal Passwörter
Wenn du für jeden deiner Kumpels eine Key-Authetification einrichtet, müssen sie nicht einmal mehr Username und Passwort eingeben, so wird es noch "leichter" für sie. Und wenn du ihnen zeigst oder erklärst, wie sie die Authetification einrichten, werden sie sicherlich nichts dagegen haben.
-
compositiv
- Posts: 193
- Joined: 2003-01-22 14:58
- Location: Hamburg
- Contact:
Re: Einmal Passwörter
Ã?brigends finde ich "Einmalpasswörter" generell nicht so unsinnig, auch wenn das IMHO eher weniger was für einen Internetserver ist.
Eine andere Form funktioniert so, dass man einen kleinen IC, häufig in EC-Karten-Form, hat, der ständig Passworter aus der eigenen NutzerID generiert, die nur kurze Zeit gültig sind, z.B. 30 Sekunden.
Für Linux kenne ich da allerdings überhaupt keine Implementation, da Linux, hauptsächlich wg. mangelnder Spezifikationen / Zertifizierungen in Hochsicherheitsbereichen i.d.R. icht eingesetzt wird.
SuSE und IBM unternehmen im Moment ja Anstrengungen Linux auch für den Bereich hoffähig zu machen, allerdings vermutlich nicht auf PC-Plattform %)
Ansonsten stimme ich meinen Vorrednern zu, SSH-Public-Key-Auth ist wohl eher das was Du suchst.
Eine andere Form funktioniert so, dass man einen kleinen IC, häufig in EC-Karten-Form, hat, der ständig Passworter aus der eigenen NutzerID generiert, die nur kurze Zeit gültig sind, z.B. 30 Sekunden.
Für Linux kenne ich da allerdings überhaupt keine Implementation, da Linux, hauptsächlich wg. mangelnder Spezifikationen / Zertifizierungen in Hochsicherheitsbereichen i.d.R. icht eingesetzt wird.
SuSE und IBM unternehmen im Moment ja Anstrengungen Linux auch für den Bereich hoffähig zu machen, allerdings vermutlich nicht auf PC-Plattform %)
Ansonsten stimme ich meinen Vorrednern zu, SSH-Public-Key-Auth ist wohl eher das was Du suchst.
-
captaincrunch
- Userprojekt
- Posts: 7066
- Joined: 2002-10-09 14:30
- Location: Dorsten
- Contact:
Re: Einmal Passwörter
Es gibt mehr als genug OTP-Implemetierungen für Linux. Kleine Auswahl:Für Linux kenne ich da allerdings überhaupt keine Implementation, da Linux, hauptsächlich wg. mangelnder Spezifikationen / Zertifizierungen in Hochsicherheitsbereichen i.d.R. icht eingesetzt wird.
http://www.google.de/search?q=linux+pam ... uche&meta=
http://www.google.de/search?hl=de&ie=UT ... uche&meta=
Auch die Behauptung, dass Linux nicht in "Hochsicherheitsumgebungen" genutzt wird, mag ich beim besten Willen gar nicht glauben. Einfaches Beispiel: NSA.
Um mal auf's Kernthema zurückzukommen:
1. root sollte sich erst gar nicht remote einloggen dürfen.
2. OTP will man dafür nicht nutzen.
3. PubKey-Auth ist die beste Methode, so etwas zu realisieren, dadurch kannst du darüber hinaus z.B. noch genau nachvollziehen, wer sich wann von wo eingeloggt hat.
DebianHowTo
echo "[q]sa[ln0=aln256%Pln256/snlbx]sb729901041524823122snlbxq"|dc
echo "[q]sa[ln0=aln256%Pln256/snlbx]sb729901041524823122snlbxq"|dc
Re: Einmal Passwörter
http://www.suse.de/en/company/press/pre ... /eal3.htmlCompositiv wrote:da Linux, hauptsächlich wg. mangelnder Spezifikationen / Zertifizierungen in Hochsicherheitsbereichen i.d.R. icht eingesetzt wird.
http://www.suse.de/de/company/press/pre ... /eal3.html
PayPal.Me/JoeUser ● FreeBSD Remote Installation
Wings for Life ● Wings for Life World Run
„If there’s more than one possible outcome of a job or task, and one
of those outcomes will result in disaster or an undesirable consequence,
then somebody will do it that way.“ -- Edward Aloysius Murphy Jr.
Wings for Life ● Wings for Life World Run
„If there’s more than one possible outcome of a job or task, and one
of those outcomes will result in disaster or an undesirable consequence,
then somebody will do it that way.“ -- Edward Aloysius Murphy Jr.
-
compositiv
- Posts: 193
- Joined: 2003-01-22 14:58
- Location: Hamburg
- Contact:
Re: Einmal Passwörter
,)Compositiv wrote:SuSE und IBM unternehmen im Moment ja Anstrengungen Linux auch für den Bereich hoffähig zu machen, allerdings vermutlich nicht auf PC-Plattform %)
aber sorry für OT
Re: Einmal Passwörter
Der "Moment" war vergangenes Jahr und die "Bemühungen" sind seit Monaten Stand der Technik ;)
PayPal.Me/JoeUser ● FreeBSD Remote Installation
Wings for Life ● Wings for Life World Run
„If there’s more than one possible outcome of a job or task, and one
of those outcomes will result in disaster or an undesirable consequence,
then somebody will do it that way.“ -- Edward Aloysius Murphy Jr.
Wings for Life ● Wings for Life World Run
„If there’s more than one possible outcome of a job or task, and one
of those outcomes will result in disaster or an undesirable consequence,
then somebody will do it that way.“ -- Edward Aloysius Murphy Jr.
-
captaincrunch
- Userprojekt
- Posts: 7066
- Joined: 2002-10-09 14:30
- Location: Dorsten
- Contact:
Re: Einmal Passwörter
Und wenn wir bereits OT sind: EAL3 und 4 sind zwar ganz nett, zeigen aber auch ncht viel mehr, als dass bei der Entwicklung in Teilbereichen auch an Sicherheit gedacht wurde. ;)
DebianHowTo
echo "[q]sa[ln0=aln256%Pln256/snlbx]sb729901041524823122snlbxq"|dc
echo "[q]sa[ln0=aln256%Pln256/snlbx]sb729901041524823122snlbxq"|dc
Re: Einmal Passwörter
Naja, das komplette System muss den jeweiligen Kriterien, welche auf internationalen Standards, wie etwa ISO15408 beruhen, genügen, nicht nur in Teilbereichen. Zudem sind die Kriterien sehr hoch gesteckt, sonst dürften die zertifizierten Systeme beispielsweise nicht im US-Verteidigungsministerium, der US-Navy und anderen sensible(re)n Umgebungen eingesetzt werden. Desweiteren lässt sich auch ein anspruchsloseres Hochverfügbarkeitssystem nicht ohne entsprechende Sicherheitsmerkmale ereichen.
PayPal.Me/JoeUser ● FreeBSD Remote Installation
Wings for Life ● Wings for Life World Run
„If there’s more than one possible outcome of a job or task, and one
of those outcomes will result in disaster or an undesirable consequence,
then somebody will do it that way.“ -- Edward Aloysius Murphy Jr.
Wings for Life ● Wings for Life World Run
„If there’s more than one possible outcome of a job or task, and one
of those outcomes will result in disaster or an undesirable consequence,
then somebody will do it that way.“ -- Edward Aloysius Murphy Jr.
Re: Einmal Passwörter
Und genau deshalb setzt (u.a.) die US Navy in sensiblen Bereichen auch Windows ein ... ;)Joe User wrote:... sonst dürften die zertifizierten Systeme beispielsweise nicht im US-Verteidigungsministerium, der US-Navy und anderen sensible(re)n Umgebungen eingesetzt werden.
SCNR
-
captaincrunch
- Userprojekt
- Posts: 7066
- Joined: 2002-10-09 14:30
- Location: Dorsten
- Contact:
Re: Einmal Passwörter
Schon klar. Ich bezog mich nur darauf, dass sich EAL3 und 4 zwar nett anhören, man aber auch damit noch weit entfernt von "echter Sicherheit" ist. ;)Naja, das komplette System muss den jeweiligen Kriterien, welche auf internationalen Standards, wie etwa ISO15408 beruhen, genügen, nicht nur in Teilbereichen.
DebianHowTo
echo "[q]sa[ln0=aln256%Pln256/snlbx]sb729901041524823122snlbxq"|dc
echo "[q]sa[ln0=aln256%Pln256/snlbx]sb729901041524823122snlbxq"|dc
Re: Einmal Passwörter
Was spricht gegen den Einsatz von zertifizierten NT4/NT5-Systemen?dea wrote:Und genau deshalb setzt (u.a.) die US Navy in sensiblen Bereichen auch Windows ein ... ;)
Umkehrschluss: Warum wird Adamantix nicht in sensiblen Bereichen eingesetzt?
PayPal.Me/JoeUser ● FreeBSD Remote Installation
Wings for Life ● Wings for Life World Run
„If there’s more than one possible outcome of a job or task, and one
of those outcomes will result in disaster or an undesirable consequence,
then somebody will do it that way.“ -- Edward Aloysius Murphy Jr.
Wings for Life ● Wings for Life World Run
„If there’s more than one possible outcome of a job or task, and one
of those outcomes will result in disaster or an undesirable consequence,
then somebody will do it that way.“ -- Edward Aloysius Murphy Jr.
Re: Einmal Passwörter
@CC
Du weisst es, ich weiss es, die Mehrzahl der Leser (leider/glücklicherweise) nicht ;)
Du weisst es, ich weiss es, die Mehrzahl der Leser (leider/glücklicherweise) nicht ;)
PayPal.Me/JoeUser ● FreeBSD Remote Installation
Wings for Life ● Wings for Life World Run
„If there’s more than one possible outcome of a job or task, and one
of those outcomes will result in disaster or an undesirable consequence,
then somebody will do it that way.“ -- Edward Aloysius Murphy Jr.
Wings for Life ● Wings for Life World Run
„If there’s more than one possible outcome of a job or task, and one
of those outcomes will result in disaster or an undesirable consequence,
then somebody will do it that way.“ -- Edward Aloysius Murphy Jr.
-
captaincrunch
- Userprojekt
- Posts: 7066
- Joined: 2002-10-09 14:30
- Location: Dorsten
- Contact:
Re: Einmal Passwörter
Dazu müsstest du "sensible Bereiche" definieren. ;)Umkehrschluss: Warum wird Adamantix nicht in sensiblen Bereichen eingesetzt?
Hauptgrund dürfte aber sein, dass Adamantix (noch) nicht die nötige Infrastruktur hat, um sicherheitstechnisch so up to date zu sein wie andere.
DebianHowTo
echo "[q]sa[ln0=aln256%Pln256/snlbx]sb729901041524823122snlbxq"|dc
echo "[q]sa[ln0=aln256%Pln256/snlbx]sb729901041524823122snlbxq"|dc
Re: Einmal Passwörter
Meine Wohnung 8)CaptainCrunch wrote:Dazu müsstest du "sensible Bereiche" definieren. ;)
Infrastruktur = Manpower?CaptainCrunch wrote:Hauptgrund dürfte aber sein, dass Adamantix (noch) nicht die nötige Infrastruktur hat, um sicherheitstechnisch so up to date zu sein wie andere.
Infrastruktur = Netzwerk?
PayPal.Me/JoeUser ● FreeBSD Remote Installation
Wings for Life ● Wings for Life World Run
„If there’s more than one possible outcome of a job or task, and one
of those outcomes will result in disaster or an undesirable consequence,
then somebody will do it that way.“ -- Edward Aloysius Murphy Jr.
Wings for Life ● Wings for Life World Run
„If there’s more than one possible outcome of a job or task, and one
of those outcomes will result in disaster or an undesirable consequence,
then somebody will do it that way.“ -- Edward Aloysius Murphy Jr.
-
captaincrunch
- Userprojekt
- Posts: 7066
- Joined: 2002-10-09 14:30
- Location: Dorsten
- Contact:
Re: Einmal Passwörter
Infrastruktur == Manpower
Mit z.Zt. drei aktiven Entwicklern sind Dinge wie pfeilschnelle Sicherheitsupdates etwas schwieriger. Auch hier ist aber Besserung in Sicht.
Mit z.Zt. drei aktiven Entwicklern sind Dinge wie pfeilschnelle Sicherheitsupdates etwas schwieriger. Auch hier ist aber Besserung in Sicht.
DebianHowTo
echo "[q]sa[ln0=aln256%Pln256/snlbx]sb729901041524823122snlbxq"|dc
echo "[q]sa[ln0=aln256%Pln256/snlbx]sb729901041524823122snlbxq"|dc