Re: SSH-Security-Check a la ssllabs.com/ssltest

Forside
Vedhæftede filer:
Indlæg som e-mail
+ (text/plain)
Slet denne besked
Besvar denne besked
Skribent: Daniel Laczi
Dato:  
Til: list
Emne: Re: SSH-Security-Check a la ssllabs.com/ssltest
Wenn du von einem Server und einem Admin sprichst, dann mag das passen.
Dann würde ich auch nicht extra eine VPN Lösung und einen Jump Host
installieren.

Wenn du aber mehrere Admins auf mehrere Server lassen musst, dann viel
Spaß ;) Ich bin auch ein Freund des KISS-Prinzips und das kommt hier zum
Tragen, denn den/die Jump Host/s kannst du viel einfacher auditieren und
die Logfiles regelmäßig wegschreiben. Ich kenne Kunden, die angegriffen
wurden und keine Logfiles mehr haben. Das ist dann kein Spaß mehr.

Gruß
Daniel

Am 18.12.19 um 10:41 schrieb Sven Velt:
> Moin!
>
> Daniel Laczi wrote:
>> VPN -> SSH/etc. auf Jump Host in der DMZ -> Server
>>
>> Manche Kunden haben auch eine Firewall, die eine Preauthentication
>> machen kann. Nach der Authentifizierung geht's dann direkt auf den Jump
>> Host.
>>
>> Wenn was spackt, dann spackt es halt. Was wenn dein Internet spackt, die
>> Firewall etc.? ;)
> "Simplicity is enemy of complex" - Je mehr Bausteine dazwischen stecken,
> desto eher versagt Einer.
>
> Und wie schon in einer meiner Mails angedeutet:
> Wenn das Hotel-WLAN, aus welchem Grund auch immer, den einen Port, den
> Du für's Port-Knocking bräuchtest, filtert - dann nimmst Du doch wieder
> das Handy und ärgerst Dich dann ggf. über die Telekom, die via LTE
> standortabhängig(!) Ports >8000 blockt... 😤
>
> Oder anders rum gesprochen: In Deinem Fall musst Du VPN und/oder
> Firewall optimieren. Und ich hab noch keinen gehört, der bei seinem
> (kommerziellen) VPN *aus* *Sicherheitsgedanken* angefangen an, irgendwas
> an der Crypto zu schrauben ;)
>
> BTW, würde Deine/diese Lösung für mich bedeuten, dass ich zu jedem meiner
> Server in den verschiedenen RZ ein VPN aufbauen müsste, wenn ich dort
> (per SSH) drauf will. Oder generell ein (voll)vermaschtes Netz via VPN
> aufbauen. Aber dann ist ja die Angriffsfläche noch größer, da ein
> kompromittierter Rechner ausreicht, um in das Netz rein zukommen.
>
> So, ich denke, wir sind an dem Punkt angekommen, wo weitere Diskussionen
> dazu eher bei einem Bier/Wein (oder einem Smoothie für Martin ;) )
> weitergeführt werden sollten.
>
> Prost!
>
> Sven
>

-- 
Mailing-Liste der Linux User Schwabach (LUSC) e.V.
Vor und beim Posten bitte
        => http://lusc.de/List-Netiquette <=    und
        => http://lusc.de/List-Howto      <=    beachten. Danke!