Re: ssh, openvpn: Beratung erbeten

Bernd Hohmann <bernd.hohmann.20090228@xxxxxxxxxxxxxxxx> wrote:
Michael Grimm wrote:

auf diesen Servern eingerichteter Servicejails. Da die zu
synchronisierenden Directories unterschiedlichsten Usern zuzuordnen
sind, bedürfte es wegen unison leider root (oder anderweitig
privilegierter) Rechte.

Naja (so ins Blaue, weil ich Unison nicht kenne) könnte man das auch
über alle anzusprechenden User laufen lassen - was natürlich
fürchterlicher Zirkus ist.

Das ist ein fürchterlicher Zirkus. Ich habe es kürzlich versucht.

Nach meinen Recherchen böte sich ein OpenVPN-Tunnel oder aber eine
ssh-Verbindung auf root-Ebene an. Gerade mit dieser ssh-Verbindung
habe ich Probleme, selbt wenn ich die Authentifikation auf
ausschließlich keys, ohne PAM, ohne Passwörter beschränkte.

Sicherheitsbedenken dass Du OpenVPN dem SSH vorziehst?

Nein. Ich bin mir generell unsicher, was einen *sicheren* remote Zugriff
anbelangt. SSH hätte den Charme, daß ich keine zusätzliche Software
(OpenVPN) installieren müßte, aber den Nachteil, daß ich hier einen
Login seitens root zulassen müßte. Ok, ich würde dann meiner pf
vorschreiben, außschließlich ssh von IP1 nach IP2 auf port x zuzulassen.
Aber nochmals, ich bin alles andere als ein Sicherheitsfachmann, und ich
daher unsicher.

Ich hab jetzt doch mal das Manual von UNISON überflogen.

Entweder nimmst Du SSH als Transportmedium (dann müssen entsprechend
die Schlüssel eingerichtet werden) oder die Socket-Methode (dann ist
der Transport Klartext und Du musst über sowas wie OpenVPN gehen - und
auch dort Schlüsel einrichten).

Ja. Die Socket-Methode liefe unter root (sofern ich das richtig
verstehe). Aber nochmals: root login über keys-only? Nicht sicherheits-
relevant?

Vielleicht bin ich da etwas naiv, aber von der Sicherheit und dem
Aufwand geben sich beide nichts.

Hmm. Wirklich? No offense, ausschließlich Unwissenheit meinerseits.

Gruß,
Michael
--
Heute im Angebot der ATK: Pranafasten bei Chakrainkontinenz
.

Relevant Pages

  • Re: ssh, openvpn: Beratung erbeten
    ... weil ich Unison nicht kenne) könnte man das auch ... Sicherheitsbedenken dass Du OpenVPN dem SSH vorziehst? ... Die Socket-Methode liefe unter root (sofern ich das richtig ...
    (de.comp.security.misc)
  • Re: ssh, openvpn: Beratung erbeten
    ... weil ich Unison nicht kenne) könnte man das auch ... Sicherheitsbedenken dass Du OpenVPN dem SSH vorziehst? ... Die Socket-Methode liefe unter root (sofern ich das richtig ...
    (de.comp.security.misc)
  • Re: SSH in SSL Tunnel auffinden
    ... SSL-Tunnel über unseren Proxy nutzt.. ... OpenVPN ist im Gegensatz zu SSH nicht trivial am Protokoll zu erkennen ... IP-over-DNS richtig implementiert ist nur heuristisch am ...
    (de.comp.security.misc)
  • Re: keeping tunnel open
    ... > Now the problem is that I can't get ssh to setup a LocalForward on port ... > on that port. ... Unison instead to ... then synchronize when you're done. ...
    (comp.security.ssh)
  • Re: openvpn from extras
    ... i installed it as a routed tunnel. ... ping and ssh, but smtp, imap, web do not work at all. ... Allow TUN interface connections to OpenVPN server ...
    (Fedora)