[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
Re: [Admin] Wartungsarbeiten an BNC.UUGRN.ORG, Downtime
[Thread Prev] | [Thread Next]
- Subject: Re: [Admin] Wartungsarbeiten an BNC.UUGRN.ORG, Downtime
- From: Christian Weisgerber <naddy@xxxxxxxxxxxx>
- Date: Sun, 18 Dec 2016 15:38:19 +0000 (UTC)
- To: uugrn@xxxxxxxxxxxxxxx
On 2016-12-18, Raphael Eiselstein <rabe@xxxxxxxxx> wrote: [identd] > Frueher in den 1980er Jahren, als Firmen und Unis nur einige wenige > Server hatten, auf denen User Logins hatten. Genau. Das damalige Sicherheitsmodell war, dass Admins, Hosts und das verbindende Netz vertrauenswuerdig waren; die Benutzer aber nicht. > Muesste mal einen Unix-Archaeologen befragen, wozu das noch alles > verwendet wurde. Es gibt ja noch Zeitzeugen. Ich kann mich nicht erinnern, dass das Ident-Protokoll ernsthaft zur Authentisierung verwendet wurde. Aber man hat bei oeffentlichen oder campusweit verfuegbaren Diensten (FTP, SMTP, NNTP, ...) so den Benutzer mitprotokolliert, um Missbrauch nachgehen zu koennen. > Vermutlich auch fuer die ganzen "r"-Tools > (rsh, rlogin, rcp, ... nur nicht rsync ;) Nein. Die Authentisierung bei den r-Tools beruht nur auf IP-Adresse oder Hostname und darauf, dass die Verbindung von einem privilegierten Port, also < 1024, kommt und man deshalb der uebermittelten Information, welcher Benutzer das ist, vertrauen kann. Deshalb sind diese Programme auch alle setuid root. Mit Benutzerrechten ist das nicht nachbildbar. OpenSSH schleppt bis heute die Mechanik mit, um dieses Authentisierungs- modell ueber ein unsicheres Netz hinweg nachzubilden. Man muss dazu auf beiden Seiten HostbasedAuthentication einschalten. Serverseitig muessen die oeffentlichen Schluessel der zu vertrauenden Hosts in known_hosts stehen. Auf Clientseite muss man noch EnableSSHKeysign freischalten. ssh(1) selbst laeuft mit einfachen Benutzerrechten. Fuer hostbasierte Authentisierung ruft es das Hilfsprogramm ssh-keysign(8) auf, das setuid root ist, damit auf die privaten Hostschluessel Zugriff hat, und nach Pruefung, dass Host- und Benutzer- name korrekt angegeben sind, eine Signatur beim Verbindungsaufbau zur Verfuegung stellt. -- Christian "naddy" Weisgerber naddy@xxxxxxxxxxxx -- UUGRN e.V. http://www.uugrn.org/ http://mailman.uugrn.org/mailman/listinfo/uugrn Wiki: https://wiki.uugrn.org/UUGRN:Mailingliste Archiv: http://lists.uugrn.org/