Wie sicher darf es sein?

Wohnzimmerhostblogger

< Wie ich das hasse... | Persönlicher KK? >

Montag, 16. Januar 2006

Wie sicher darf es sein?

Einige meiner Kunden sind echte Sicherheitsfanatiker - das ist auch der Grund, warum ich stets bedacht bin ihren Wünschen vorzugreifen und so z.B. Passwörter mit einer Länge von bis zu 255 Zeichen anbiete, naja, ob das Sinnvoll ist stell ich mal so in den Raum, aber es liest sich zumindest schön ;-)

Der Einfachheit halber loggt mein PAM-Modul, das für so ziemlich jede Authentifizierung zuständig ist, jeden Login des es auf meinen Servern gibt mit - so kann man recht schnell rausfinden wer wo was mit welchem Dienst wann gemacht hat :-D

Mit allen Diensten? Nein, zwei kleine Dienste scheinen sich dagegen noch zu streuben: SSH und SMTP (+ Auth) - musste mir gerade eben auffallen. Logins werden zwar protokolliert, auch mit der Angabe des Benutzers und der Maschine auf der eingeloggt wird. Leider nur nicht der Host von dem der Benutzer kommt.

Muss wohl an der PAM-Implementation im jeweiligen Dienst liegen. Eine Sicherheitslücke entsteht dadurch nicht - die Hosts stehen natürlich noch im herkömmlichen Log und könnten so bei Bedarf auch recht schnell gefunden werden.

Ein Zustand, den ich wohl auch bald patchen werde - einfach, weil ich eine neue "Sicherheits-Option" im Hinterkopf habe: Beschränkung des Zugriffes für bestimmte User fürbestimmte Dienste auf bestimmte IP-Adressen :-D


Geschrieben von Bernd Holzmüller in Technik um 13:12 | Kommentare (9) | Trackback (1)

Trackbacks
Trackback-URL für diesen Eintrag

Misstrauen & Logging
Es gibt da draußen im Gespräch mit Menschen immer wieder ein paar Sachen die mich innerlich ziemlich auf die Palme bringen. Meistens verkneife ich mir in dem Moment es auch auszuleben, denn es könnte z.T. schon mal sehr extrem werden Ich gebe gerne zu,
Weblog: Wohnzimmerhostblogger
Aufgenommen: Jun 15, 09:57

Kommentare
Ansicht der Kommentare: (Linear | Verschachtelt)

Hmm, vorbildlich, wie du deine Dienstleistungen stets ausbaust. Da fällt mir beim besten Willen kein trolliger Kommentar ein.

Aber was ist mit deiner Blogpause? Ach was, mach doch, was du willst. Ablenkung ist in den meisten Fällen sowieso gut...
#1 Fabian (Homepage) am 16.01.2006 14:43 (Antwort)
Du hast schon recht...
Ich will nicht, dass jemand erwartet, dass ich blogge...
... wenn ich bloggen will, lass ich mich aber von niemandem abhalten :-P
#1.1 Bernd Holzmüller (Homepage) am 16.01.2006 15:13 (Antwort)
Was hälst du von User-Authentication Marke 'Vasco'?
www.vasco.com
#2 SAGM (Homepage) am 20.01.2006 11:16 (Antwort)
Erklärs mir ;-)
#2.1 Bernd Holzmüller (Homepage) am 20.01.2006 11:20 (Antwort)
Das ist Soft- und Hardware.

Die Hardware, sogenannte Token, generieren Einmalpasswörter welche mit der Software auf den Rechnern zum Login synchronisiert werden.
#2.1.1 SAGM (Homepage) am 20.01.2006 11:25 (Antwort)
QUOTE:
Das ist Soft- und Hardware.


Das hab ich verstanden :-)
Was mir nur ein Rätsel ist, wie das mit den Einmalpasswörtern funktionieren soll bzw. wie die Schnittstelle aussähe. Wie stellt man die Authentität des Benutzers fest und schafft eine systemweite Schnittstelle? :hmm:

Braucht man vielleicht noch das "herkömmliche" Passwort?

Ich bin immer offen für sowas - es muss nur integrierbar sein :-D
#2.1.1.1 Bernd Holzmüller (Homepage) am 20.01.2006 11:31 (Antwort)
schau dann mal hier:
http://www.wickhill.de/products/vasco/gmbh_default.asp
#2.1.1.1.1 SAGM (Homepage) am 20.01.2006 11:32 (Antwort)
Klingt für mein Business ein wenig nach "Mit Kanonen auf Fliegen schießen"...
... aber Interessant...

Schade nur, dass das alles Windows-Lösungen sind und ich ausschließlich auf Linux setze ;-) - eine Windows-Maschine ins Internet zu stellen kommt mir (noch) nicht in den Sinn...
#2.1.1.1.1.1 Bernd Holzmüller (Homepage) am 20.01.2006 11:40 (Antwort)
Ja, leider gibt es das (noch) nicht.
Nur Windows und Radius-Server...

Naja, ne idee war's wert ;-)
#2.1.1.1.1.1.1 SAGM (Homepage) am 20.01.2006 11:42 (Antwort)

Kommentar schreiben

Standard-Text Smilies wie :-) und ;-) werden zu Bildern konvertiert.

Um maschinelle und automatische Übertragung von Spamkommentaren zu verhindern, bitte die Zeichenfolge im dargestellten Bild in der Eingabemaske eintragen. Nur wenn die Zeichenfolge richtig eingegeben wurde, kann der Kommentar angenommen werden. Bitte beachten Sie, dass Ihr Browser Cookies unterstützen muss, um dieses Verfahren anzuwenden.
CAPTCHA

BBCode-Formatierung erlaubt
 
 

Suche

Read this blog!

Linux und Christoph
Pssssst!
magerquark.de
Mein Papa bloggt(e?) (inaktiv)
Löser, Schlichter, Papa
Bestatterweblog

Archive

Kategorien



Alle Kategorien

Blog abonnieren

Buttons

tiggersWelt.net

Egoload - Sensibler Macher

Written with s9y

Kommentare

Gerald zu PHP 5.3.9 nicht mehr verfügbar
Mo, 06.02.2012 22:25
Ich nicht ;-) Habe eben vers ucht 5.3.10 zu kompilieren, da s ergibt aber immer Fehler bei 'make test': ============= ============================== ==== [...]
wolframcgn zu Englische Wikipedia geschwärzt
Mi, 18.01.2012 18:29
Es hätte auch gereicht, auf "L earn more" zu klicken und im d ann erscheinenden Artikel über SOPA das dort normal stehende Artikelsuchfeld zu nutzen :-)
renke zu Englische Wikipedia geschwärzt
Mi, 18.01.2012 16:12
schneller im DOM-tree rumfumme ln können als den Javascript-A us-Knopf zu finden :-) harr, großartig!
Lukas zu Englische Wikipedia geschwärzt
Mi, 18.01.2012 16:11
... Oder einfach während dem L aden auf ESC drücken. Muss ja nicht immer so kompliziert sein ;-)
Bernd Holzmüller zu Englische Wikipedia geschwärzt
Mi, 18.01.2012 15:24
Das stimmt mit großer Wahrsche inlichkeit! Da müsste ich abe r länger suchen, wo mein Brows er das kann :-D Sehen wir das o ben genannte einfach als Alter native.

Notice this!

Impressum
Blog Top Liste - by TopBlogs.de