Wie sicher darf es sein?

Wohnzimmerhostblogger

< Wie ich das hasse... | Persönlicher KK? >

Montag, 16. Januar 2006

Wie sicher darf es sein?

Einige meiner Kunden sind echte Sicherheitsfanatiker - das ist auch der Grund, warum ich stets bedacht bin ihren Wünschen vorzugreifen und so z.B. Passwörter mit einer Länge von bis zu 255 Zeichen anbiete, naja, ob das Sinnvoll ist stell ich mal so in den Raum, aber es liest sich zumindest schön ;-)

Der Einfachheit halber loggt mein PAM-Modul, das für so ziemlich jede Authentifizierung zuständig ist, jeden Login des es auf meinen Servern gibt mit - so kann man recht schnell rausfinden wer wo was mit welchem Dienst wann gemacht hat :-D

Mit allen Diensten? Nein, zwei kleine Dienste scheinen sich dagegen noch zu streuben: SSH und SMTP (+ Auth) - musste mir gerade eben auffallen. Logins werden zwar protokolliert, auch mit der Angabe des Benutzers und der Maschine auf der eingeloggt wird. Leider nur nicht der Host von dem der Benutzer kommt.

Muss wohl an der PAM-Implementation im jeweiligen Dienst liegen. Eine Sicherheitslücke entsteht dadurch nicht - die Hosts stehen natürlich noch im herkömmlichen Log und könnten so bei Bedarf auch recht schnell gefunden werden.

Ein Zustand, den ich wohl auch bald patchen werde - einfach, weil ich eine neue "Sicherheits-Option" im Hinterkopf habe: Beschränkung des Zugriffes für bestimmte User fürbestimmte Dienste auf bestimmte IP-Adressen :-D


Geschrieben von Bernd Holzmüller in Technik um 13:12 | Kommentare (9) | Trackback (1)

Trackbacks
Trackback-URL für diesen Eintrag

Misstrauen & Logging
Es gibt da draußen im Gespräch mit Menschen immer wieder ein paar Sachen die mich innerlich ziemlich auf die Palme bringen. Meistens verkneife ich mir in dem Moment es auch auszuleben, denn es könnte z.T. schon mal sehr extrem werden Ich gebe gerne zu,
Weblog: Wohnzimmerhostblogger
Aufgenommen: Jun 15, 09:57

Kommentare
Ansicht der Kommentare: (Linear | Verschachtelt)

Hmm, vorbildlich, wie du deine Dienstleistungen stets ausbaust. Da fällt mir beim besten Willen kein trolliger Kommentar ein.

Aber was ist mit deiner Blogpause? Ach was, mach doch, was du willst. Ablenkung ist in den meisten Fällen sowieso gut...
#1 Fabian (Homepage) am 16.01.2006 14:43 (Antwort)
Du hast schon recht...
Ich will nicht, dass jemand erwartet, dass ich blogge...
... wenn ich bloggen will, lass ich mich aber von niemandem abhalten :-P
#1.1 Bernd Holzmüller (Homepage) am 16.01.2006 15:13 (Antwort)
Was hälst du von User-Authentication Marke 'Vasco'?
www.vasco.com
#2 SAGM (Homepage) am 20.01.2006 11:16 (Antwort)
Erklärs mir ;-)
#2.1 Bernd Holzmüller (Homepage) am 20.01.2006 11:20 (Antwort)
Das ist Soft- und Hardware.

Die Hardware, sogenannte Token, generieren Einmalpasswörter welche mit der Software auf den Rechnern zum Login synchronisiert werden.
#2.1.1 SAGM (Homepage) am 20.01.2006 11:25 (Antwort)
QUOTE:
Das ist Soft- und Hardware.


Das hab ich verstanden :-)
Was mir nur ein Rätsel ist, wie das mit den Einmalpasswörtern funktionieren soll bzw. wie die Schnittstelle aussähe. Wie stellt man die Authentität des Benutzers fest und schafft eine systemweite Schnittstelle? :hmm:

Braucht man vielleicht noch das "herkömmliche" Passwort?

Ich bin immer offen für sowas - es muss nur integrierbar sein :-D
#2.1.1.1 Bernd Holzmüller (Homepage) am 20.01.2006 11:31 (Antwort)
schau dann mal hier:
http://www.wickhill.de/products/vasco/gmbh_default.asp
#2.1.1.1.1 SAGM (Homepage) am 20.01.2006 11:32 (Antwort)
Klingt für mein Business ein wenig nach "Mit Kanonen auf Fliegen schießen"...
... aber Interessant...

Schade nur, dass das alles Windows-Lösungen sind und ich ausschließlich auf Linux setze ;-) - eine Windows-Maschine ins Internet zu stellen kommt mir (noch) nicht in den Sinn...
#2.1.1.1.1.1 Bernd Holzmüller (Homepage) am 20.01.2006 11:40 (Antwort)
Ja, leider gibt es das (noch) nicht.
Nur Windows und Radius-Server...

Naja, ne idee war's wert ;-)
#2.1.1.1.1.1.1 SAGM (Homepage) am 20.01.2006 11:42 (Antwort)

Kommentar schreiben

Standard-Text Smilies wie :-) und ;-) werden zu Bildern konvertiert.

Um maschinelle und automatische Übertragung von Spamkommentaren zu verhindern, bitte die Zeichenfolge im dargestellten Bild in der Eingabemaske eintragen. Nur wenn die Zeichenfolge richtig eingegeben wurde, kann der Kommentar angenommen werden. Bitte beachten Sie, dass Ihr Browser Cookies unterstützen muss, um dieses Verfahren anzuwenden.
CAPTCHA

BBCode-Formatierung erlaubt
 
 

Suche

Read this blog!

Linux und Christoph
Pssssst!
magerquark.de
Mein Papa bloggt(e?) (inaktiv)
Löser, Schlichter, Papa
Bestatterweblog

Archive

Kategorien



Alle Kategorien

Blog abonnieren

Buttons

tiggersWelt.net

Written with s9y

Kommentare

Bernd Holzmüller zu Wir speichern ja keine Klartext-Passwörter, aber...
Fr, 20.10.2017 13:09
Das heißt dann ja eindeutig, d ass sie Dein Passwort in Klart ext speichern. Ist schon zu lange her, dass ich mich mit PPP(oE), CHAP und PAP auseinan derg [...]
Malte zu Wir speichern ja keine Klartext-Passwörter, aber...
Fr, 20.10.2017 13:05
Ich hatte (Wochen) bevor ich m einen DSL-Anschlussbrief von 1 &1 bekommen habe im Kundeninte rface das DSL-Passwort geänder t. Im Anschlussbrief war st and [...]
Bernd Holzmüller zu Domaintransfer #faireinfacht
Mi, 28.06.2017 11:29
Diese Information ist für Inte ressierte bereits in der Übers chrift enthalten. Ich glaub e nicht, dass es mir obliegt d en Marktbegleiter durch expliz ite [...]
Alphager zu Domaintransfer #faireinfacht
Mi, 28.06.2017 11:11
Hier hilft nur name and shame.
Tux2000 zu Bestes Firmware-Update der Geschichte
Mi, 12.04.2017 00:09
Klarer Fall von "Bootloader ve rgessen". Oder, fast noch schl immer: Bootloader so verkorkst , dass das Update nicht funkti oniert. Aber das Ding ist o hneh [...]

Notice this!

Impressum
Blog Top Liste - by TopBlogs.de