Re: DC hinüber nach Änderung von Privilegien (OpenSSH auf Server 2
- From: Thorsten Kampe <thorsten@xxxxxxxxxxxxxxxx>
- Date: Thu, 21 Apr 2005 13:03:31 +0100
On Wed, 20 Apr 2005 23:31:02 -0700, Christian Jacob wrote:
>>> eine OpenSSH Distribution, die nur das nötigste der Cygwin Umgebung
>>> mitbringt.
>>
>> Schlecht. "NEWS - 9 July 2004" (http://sshwindows.sourceforge.net/).
>> Deinstallieren und Cygwin installieren.
>
> Cygwin selbst besteht ja im Grunde genommen auch nur aus den nötigen
> Registry Keys für die Konfiguration (Mount Points, etc...) und den Binaries.
> OpenSSH verwendet nicht alle der Binaries. Insofern kann das eigentlich nicht
> das Problem sein... oder?
Dein Problem ist, dass du keinen Support und keine Updates hast.
Beides bekommst du /nur/ bei Cygwin. Die 10 MB mehr, die Cygwin
mitbringt, tun nicht weh.
>> Ich mache Public Key Authentifizierung schon immer unter LocalSystem
>> (das heisst ohne Privilige Separation - unter anderem weil mir nicht
>> einleuchtet, warum ein dedizierter User unter dem der Dienst laeuft,
>> sicherer sein soll).
>
> Auf die Idee, Privilege Seperation abzuschalten, bin ich in der Tat nicht
> gekommen. wahrscheinlich hätte das mein Problem bereits gelöst. Ganz sicher
> sogar. Der Grund übrigens warum PS Sinn macht ist einfach der, dass Zugriffe
> auf sensitive Daten wie z.B. die Keys unter den Privilegien des Benutzers
> stattfinden, statt den administrativen Privilegien des OpenSSH Daemon. Falls
> dort beispielsweise ein Programmierfehler zu Buffer Overflows führen sollte
> und in Form von Exploits dazu genützt würde, "beliebigen Code auszuführen",
> dann geschieht das wenigstens nicht mit Admin-Rechten. Im Strict mode sind
> zudem die Verzeichnisberechtigungen so gesetzt, dass damit eine durchweg
> sicherere Umgebung geschaffen wird, als ohne strict mode und ohne Privilege
> Seperation.
Da verwechselst du etwas grundlegendes. "StrictMode" heisst nur, dass
der sshd checkt, ob die Homedirectories und User-Dateien nicht 777
sind. Das hat mit Privilege Separation nichts zu tun.
> Problem ist halt nur, dass das unter Server 2003 als Local System nicht
> funktioniert und auf einem Domain Controller die Konfiguration zu Problemen
> zu führen scheint.
Das funktioniert sogar mit Sicherheit.
>> Installier das Original. Das funktioniert und du hast ausserdem
>> Support ueber die Cygwin-Mailingliste.
>
> Ich bin zunächst einen anderen Weg gegangen. das WinSSH Paket ist ziemlich
> outdated (OpenSSH 3.8p1, etc). Daher habe ich es mit copSSH probieren wollen.
> Diese Distribution setzt bereits auf OpenSSH 4.0 und die (fast) neueste
> Cygwin.dll. In meiner Testumgebung ging auch alles... aber dann bin ich auf
> freeSSHd gestossen und bin darauf umgesattelt:
Warum installierst du nicht einfach das Original statt einer der
unzaehligen Klone? Du gehst die Sache fundamental falsch an.
Sicherheit = Suppport + aktuelle Updates
Thorsten
.
- References:
- DC hinüber nach Änderung von Privilegien (OpenSSH auf Server 2003)
- From: Tronex
- Re: DC hinüber nach Änderung von Privilegien (OpenSSH auf Server 2003)
- From: Thorsten Kampe
- Re: DC hinüber nach Änderung von Privilegien (OpenSSH auf Server 2
- From: Thorsten Kampe
- Re: DC hinüber nach Änderung von Privilegien (OpenSSH auf Server 2
- From: Christian Jacob
- DC hinüber nach Änderung von Privilegien (OpenSSH auf Server 2003)
- Prev by Date: TS Licensing findest keinen Server
- Next by Date: Re: SBS Serververwaltung. jetzt geht jetzt doch
- Previous by thread: Re: DC hinüber nach Änderung von Privilegien (OpenSSH auf Server 2
- Next by thread: Re: DC hinüber nach Änderung von Privilegien (OpenSSH auf Server 2
- Index(es):
Relevant Pages
|
