RootForum Community

Hi all,

ich bin grad dabei meinen Root Server "sicher" zumachen. Mir schwebt davor, um mich vor möglichen PW Crackern zuschützen, zumindest den Root-Account mit einmal Passwörtern zuschützen. Nur leider bringt die Idee mir alleine nicht viel. Mit fehlt die nötige Software. Hat hier schon jemand so etwas gemacht und erfolgreich umgesetzt?

Einmal Passwörter?
Die willst Du dir dann nach jedem Einloggen neu merken? ;)
Bessere Idee:
Root-Login per SSH abschalten
Dem Standard-User die Rechte eingrenzen
Allen usern lange Passwörter geben, die keinen Sinn ergeben, am besten viel mit Sonderzeichen.

Hi,

das war die Alternative. Ich wollte in der Tat aber eigendlich sowas haben wie PIN's bei der Bank. Man hat ne Liste und für jeden Login nimmt man ein Passwort. Nach dem Logout verfällt das dann und man streicht es auf deiner Liste durch. Wenn nur noch 10 Passwörter über sind generiert der Server eine neue Liste und legt sie im Home-Dir des Users ab. Sicher hilft das alles nichts wenn der Server per Remote Dienst angegriffen wird. Aber dem kann man ja anders vorbeugen.

Sorry, aber das ist doch alles Unsinn. Den Login per Passwort abschalten und nur noch key Authentifikation erlauben wäre das einfachste und sicherste.

Dann habe ich wieder das Problem das die "Nutzbarkeit" leidet. Ich benutze den Server nicht alleine und meinen Mitnutzern kann ich das nicht zumuten, da sie mit den aktuellen Sicherheitsmaßnahmen schon belastet genug sind. Ihnen ist wohl auch der Sinn einer solchen Sicherung nicht klar sein und deswegen werde ich auf diese Lösung verzichten müssen.

Im mom habe ich es so wie oben schon beschrieben, das root sich nur über einen anderen User einloggen kann. Dabei wird es dann wohl auch bleiben wenn es keine sichere und sinnvolle Lösung für dieses Problem gibt.

Wenn du für jeden deiner Kumpels eine Key-Authetification einrichtet, müssen sie nicht einmal mehr Username und Passwort eingeben, so wird es noch "leichter" für sie. Und wenn du ihnen zeigst oder erklärst, wie sie die Authetification einrichten, werden sie sicherlich nichts dagegen haben.

Ã?brigends finde ich "Einmalpasswörter" generell nicht so unsinnig, auch wenn das IMHO eher weniger was für einen Internetserver ist.

Eine andere Form funktioniert so, dass man einen kleinen IC, häufig in EC-Karten-Form, hat, der ständig Passworter aus der eigenen NutzerID generiert, die nur kurze Zeit gültig sind, z.B. 30 Sekunden.

Für Linux kenne ich da allerdings überhaupt keine Implementation, da Linux, hauptsächlich wg. mangelnder Spezifikationen / Zertifizierungen in Hochsicherheitsbereichen i.d.R. icht eingesetzt wird.

SuSE und IBM unternehmen im Moment ja Anstrengungen Linux auch für den Bereich hoffähig zu machen, allerdings vermutlich nicht auf PC-Plattform %)

Ansonsten stimme ich meinen Vorrednern zu, SSH-Public-Key-Auth ist wohl eher das was Du suchst.

Für Linux kenne ich da allerdings überhaupt keine Implementation, da Linux, hauptsächlich wg. mangelnder Spezifikationen / Zertifizierungen in Hochsicherheitsbereichen i.d.R. icht eingesetzt wird.

Es gibt mehr als genug OTP-Implemetierungen für Linux. Kleine Auswahl:
http://www.google.de/search?q=linux+pam ... uche&meta=
http://www.google.de/search?hl=de&ie=UT ... uche&meta=

Auch die Behauptung, dass Linux nicht in "Hochsicherheitsumgebungen" genutzt wird, mag ich beim besten Willen gar nicht glauben. Einfaches Beispiel: NSA.

Um mal auf's Kernthema zurückzukommen:
1. root sollte sich erst gar nicht remote einloggen dürfen.
2. OTP will man dafür nicht nutzen.
3. PubKey-Auth ist die beste Methode, so etwas zu realisieren, dadurch kannst du darüber hinaus z.B. noch genau nachvollziehen, wer sich wann von wo eingeloggt hat.

Compositiv wrote:da Linux, hauptsächlich wg. mangelnder Spezifikationen / Zertifizierungen in Hochsicherheitsbereichen i.d.R. icht eingesetzt wird.

http://www.suse.de/en/company/press/pre ... /eal3.html
http://www.suse.de/de/company/press/pre ... /eal3.html

Compositiv wrote:SuSE und IBM unternehmen im Moment ja Anstrengungen Linux auch für den Bereich hoffähig zu machen, allerdings vermutlich nicht auf PC-Plattform %)

,)
aber sorry für OT

Der "Moment" war vergangenes Jahr und die "Bemühungen" sind seit Monaten Stand der Technik ;)

Und wenn wir bereits OT sind: EAL3 und 4 sind zwar ganz nett, zeigen aber auch ncht viel mehr, als dass bei der Entwicklung in Teilbereichen auch an Sicherheit gedacht wurde. ;)

Naja, das komplette System muss den jeweiligen Kriterien, welche auf internationalen Standards, wie etwa ISO15408 beruhen, genügen, nicht nur in Teilbereichen. Zudem sind die Kriterien sehr hoch gesteckt, sonst dürften die zertifizierten Systeme beispielsweise nicht im US-Verteidigungsministerium, der US-Navy und anderen sensible(re)n Umgebungen eingesetzt werden. Desweiteren lässt sich auch ein anspruchsloseres Hochverfügbarkeitssystem nicht ohne entsprechende Sicherheitsmerkmale ereichen.

Schau Dir mal RSA SecureID an.

Joe User wrote:... sonst dürften die zertifizierten Systeme beispielsweise nicht im US-Verteidigungsministerium, der US-Navy und anderen sensible(re)n Umgebungen eingesetzt werden.

Und genau deshalb setzt (u.a.) die US Navy in sensiblen Bereichen auch Windows ein ... ;)

SCNR

Naja, das komplette System muss den jeweiligen Kriterien, welche auf internationalen Standards, wie etwa ISO15408 beruhen, genügen, nicht nur in Teilbereichen.

Schon klar. Ich bezog mich nur darauf, dass sich EAL3 und 4 zwar nett anhören, man aber auch damit noch weit entfernt von "echter Sicherheit" ist. ;)

dea wrote:Und genau deshalb setzt (u.a.) die US Navy in sensiblen Bereichen auch Windows ein ... ;)

Was spricht gegen den Einsatz von zertifizierten NT4/NT5-Systemen?

Umkehrschluss: Warum wird Adamantix nicht in sensiblen Bereichen eingesetzt?

@CC

Du weisst es, ich weiss es, die Mehrzahl der Leser (leider/glücklicherweise) nicht ;)

Umkehrschluss: Warum wird Adamantix nicht in sensiblen Bereichen eingesetzt?

Dazu müsstest du "sensible Bereiche" definieren. ;)

Hauptgrund dürfte aber sein, dass Adamantix (noch) nicht die nötige Infrastruktur hat, um sicherheitstechnisch so up to date zu sein wie andere.

CaptainCrunch wrote:Dazu müsstest du "sensible Bereiche" definieren. ;)

Meine Wohnung 8)

CaptainCrunch wrote:Hauptgrund dürfte aber sein, dass Adamantix (noch) nicht die nötige Infrastruktur hat, um sicherheitstechnisch so up to date zu sein wie andere.

Infrastruktur = Manpower?
Infrastruktur = Netzwerk?

Infrastruktur == Manpower

Mit z.Zt. drei aktiven Entwicklern sind Dinge wie pfeilschnelle Sicherheitsupdates etwas schwieriger. Auch hier ist aber Besserung in Sicht.