Re: [Admin] Wartungsarbeiten an BNC.UUGRN.ORG, Downtime

Autor: Christian Weisgerber <naddy_at_mips.inka.de>
Datum: Sun, 18 Dec 2016 15:38:19 +0000 (UTC)
On 2016-12-18, Raphael Eiselstein <rabe_at_uugrn.org> wrote:

[identd]
> Früher in den 1980er Jahren, als Firmen und Unis nur einige wenige
> Server hatten, auf denen User Logins hatten.

Genau. Das damalige Sicherheitsmodell war, dass Admins, Hosts und
das verbindende Netz vertrauenswürdig waren; die Benutzer aber
nicht.

> Müsste mal einen Unix-Archäologen befragen, wozu das noch alles
> verwendet wurde.

Es gibt ja noch Zeitzeugen.

Ich kann mich nicht erinnern, dass das Ident-Protokoll ernsthaft
zur Authentisierung verwendet wurde. Aber man hat bei öffentlichen
oder campusweit verfügbaren Diensten (FTP, SMTP, NNTP, ...) so den
Benutzer mitprotokolliert, um Missbrauch nachgehen zu können.

> Vermutlich auch für die ganzen "r"-Tools 
> (rsh, rlogin, rcp, ... nur nicht rsync ;)

Nein. Die Authentisierung bei den r-Tools beruht nur auf IP-Adresse
oder Hostname und darauf, dass die Verbindung von einem privilegierten
Port, also < 1024, kommt und man deshalb der übermittelten Information,
welcher Benutzer das ist, vertrauen kann. Deshalb sind diese Programme
auch alle setuid root. Mit Benutzerrechten ist das nicht nachbildbar.

OpenSSH schleppt bis heute die Mechanik mit, um dieses Authentisierungs-
modell über ein unsicheres Netz hinweg nachzubilden. Man muss dazu
auf beiden Seiten HostbasedAuthentication einschalten. Serverseitig
müssen die öffentlichen Schlüssel der zu vertrauenden Hosts in
known_hosts stehen. Auf Clientseite muss man noch EnableSSHKeysign
freischalten. ssh(1) selbst läuft mit einfachen Benutzerrechten.
Für hostbasierte Authentisierung ruft es das Hilfsprogramm
ssh-keysign(8) auf, das setuid root ist, damit auf die privaten
Hostschlüssel Zugriff hat, und nach Prüfung, dass Host- und Benutzer-
name korrekt angegeben sind, eine Signatur beim Verbindungsaufbau
zur Verfügung stellt.

-- 
Christian "naddy" Weisgerber                          naddy_at_mips.inka.de
-- 
UUGRN e.V. http://www.uugrn.org/
http://mailman.uugrn.org/mailman/listinfo/uugrn
Wiki: https://wiki.uugrn.org/UUGRN:Mailingliste
Archiv: http://lists.uugrn.org/
Empfangen am 18.12.2016

Dieses Archiv wurde generiert von hypermail 2.2.0 : 18.12.2016 CET