---

vil gerne ha at jeg kan logge på med putty på mit lan med root
men over wan vil jeg gerne ha jeg kun kan logge på med normal user, og
derefter "su" til root

kan dette lade sig gøre ? og hvis ja hvordan ?

--
-Cb

---

Bob Fox?

"Cyberbob" <mail@cyberbob.dk> skrev i en meddelelse
news:avsshh$tdt$1@news.cybercity.dk...
[SNIP]


---
Outgoing mail is certified Virus Free.
Checked by AVG anti-virus system (http://www.grisoft.com).
Version: 6.0.441 / Virus Database: 247 - Release Date: 10-01-2003

---

"TH" <th@cogito.dk> wrote in news:3e21f7b2$0$122
$edfadb0f@dtext02.news.tele.dk:

> Bob Fox?

hvad er det ?


--
-Cb

---

Sun, 12 Jan 2003 23:31:30 +0000 (UTC)
skrev Cyberbob <mail@cyberbob.dk>:

> "TH" <th@cogito.dk> wrote in news:3e21f7b2$0$122
> $edfadb0f@dtext02.news.tele.dk:
>
> > Bob Fox?
>
> hvad er det ?
>
Robert Fox alias Bob Fox alias CyberBob fra filmen "The net" med bla.
Sandra Bullock.

--
Med venlig hilsen / Best regards / Mit freundlichen Grüssen

Andreas Hinz

---

Cyberbob <mail@cyberbob.dk> writes:

> vil gerne ha at jeg kan logge på med putty på mit lan med root
> men over wan vil jeg gerne ha jeg kun kan logge på med normal user, og
> derefter "su" til root

Den eneste måde jeg lige kan komme på er at bruge et nøglepar uden en
passphrase til brug på lan'et og så enten have et andet nøglepar eller
bruge unix-password til andre forbindelser.

Du skal så i det første nøglepar angive at nøglen kun skal bruges på
lan'et. Dette gøres når du indsætter nøglen i
authorized_keys. (Formatet af denne fil er beskrevet i sshd(8)).


(IIRC så er Bob Fox en af personerne i The Net med Sandra Bullock. Man
"ser" ham vidst kun på et chatsted hvor han bruger nicket CyberBob og
så hans hoveddør hvor hans rigtige navn står.)

--
Peter Makholm | Emacs is the only modern general-purpose
peter@makholm.net | operating system that doesn't multitask
http://hacking.dk |

---

Peter Makholm <peter@makholm.net> wrote in
news:878yxp7at4.fsf@xyzzy.adsl.dk:

> Cyberbob <mail@cyberbob.dk> writes:
>
>> vil gerne ha at jeg kan logge på med putty på mit lan med root
>> men over wan vil jeg gerne ha jeg kun kan logge på med normal user, og
>> derefter "su" til root
>
> Den eneste måde jeg lige kan komme på er at bruge et nøglepar uden en
> passphrase til brug på lan'et og så enten have et andet nøglepar eller
> bruge unix-password til andre forbindelser.
>
> Du skal så i det første nøglepar angive at nøglen kun skal bruges på
> lan'et. Dette gøres når du indsætter nøglen i
> authorized_keys. (Formatet af denne fil er beskrevet i sshd(8)).


det lyder meget godt, men hvordan og hvorledes ? nogen fornuftige guides
der er noget værd ? eller måske du selv kan give mig en lille guide???



--
-Cb

---

"Cyberbob" <mail@cyberbob.dk> wrote in message
news:avsshh$tdt$1@news.cybercity.dk...
> vil gerne ha at jeg kan logge på med putty på mit lan med root
> men over wan vil jeg gerne ha jeg kun kan logge på med normal user, og
> derefter "su" til root

> kan dette lade sig gøre ? og hvis ja hvordan ?

ja, men det er en dårlig ide, så har jeg allerede en af 3 informationer, jeg
skal bruge for at trænge ind i dit system....

men sætter du "PermitRootLogin yes" i sshd_config, så har du, hvad du
ønsker.

--
Kim Emax

---

"Kim Emax" <news@remove-emax.dk> wrote in
news:ejWU9.35554$Hl6.4072094@news010.worldonline.dk:

> "Cyberbob" <mail@cyberbob.dk> wrote in message
> news:avsshh$tdt$1@news.cybercity.dk...
>> vil gerne ha at jeg kan logge på med putty på mit lan med root
>> men over wan vil jeg gerne ha jeg kun kan logge på med normal user,
>> og derefter "su" til root
>
>> kan dette lade sig gøre ? og hvis ja hvordan ?
>
> ja, men det er en dårlig ide, så har jeg allerede en af 3
> informationer, jeg skal bruge for at trænge ind i dit system....
>
> men sætter du "PermitRootLogin yes" i sshd_config, så har du, hvad du
> ønsker.
>
> --
> Kim Emax
>
>
så vidt jeg er klar over, er det så ikk lidt småfarligt at ha direkte "root
access" udefra ?

er det ikk nemmere at hacke sig adgang til serveren så ?



--
-Cb

---

Cyberbob wrote:

> så vidt jeg er klar over, er det så ikk lidt småfarligt at ha direkte
> "root access" udefra ?
>
> er det ikk nemmere at hacke sig adgang til serveren så ?

Jo, det var også det jeg skrev til dig... Har lige nærlæst din org. posting
og kan se at du vil det ene, hvis du kommer fra lokalnettet og noget andet,
hvis du kommer udefra... ved ikke om det kan lade sig gøre, med noget if(ip
= 192.168.1.*) men det er i hvert fald som jeg skriver PermitRootLogin du
skal kigge på.

--
Kim Emax

---

"Kim Emax" <newsgroup@fjerndette-emax.dk> wrote in
news:qSlV9.36386$Hl6.4354848@news010.worldonline.dk:

> Cyberbob wrote:
>
>> så vidt jeg er klar over, er det så ikk lidt småfarligt at ha direkte
>> "root access" udefra ?
>>
>> er det ikk nemmere at hacke sig adgang til serveren så ?
>
> Jo, det var også det jeg skrev til dig... Har lige nærlæst din org.
> posting og kan se at du vil det ene, hvis du kommer fra lokalnettet og
> noget andet, hvis du kommer udefra... ved ikke om det kan lade sig
> gøre, med noget if(ip = 192.168.1.*) men det er i hvert fald som jeg
> skriver PermitRootLogin du skal kigge på.
>


okay! den eneste anden løsning jeg har fundet mig er at køre telnet på
lokalnettet da der alligevel kun er mine maskiner på lokalnettet og så
kører ssh udad til... men jeg ved ikk hvor god en ide det er....????

--
-Cb

---

"Cyberbob" wrote

> okay! den eneste anden løsning jeg har fundet mig er at køre telnet på
> lokalnettet da der alligevel kun er mine maskiner på lokalnettet og så
> kører ssh udad til... men jeg ved ikk hvor god en ide det er....????

tjaeee.. hvis du stoler på folk på dit interene netværk(60% af alle cracks
laves indefra), så er det nok ikke et problem. Ved telnet er der altid en
risiko for at dit password bliver sniffet. Hvorfor ikke bare bruge ssh og så
lige SU, når du har brug for det? Det generer sgu ikke mig

--
Kim Emax

---

Cyberbob wrote:

> så vidt jeg er klar over, er det så ikk lidt småfarligt at ha direkte
> "root access" udefra ?

Teoretisk, ja. I praksis, nej.

/Hvis/ du er i stand til at knække ssh, så vil direkte root access
udefra selvfølgelig være værre end ingen root access.

Men i praksis er det sådan, at hvis du først er inde på en maskine
som almindelig bruger, så er der så mange muligheder for at opnå
root privilegier, at det kan være det samme. Hvis du abonnerer på
RedHat Network, så læg mærke til, hvor mange gange der kommer
opdateringer ud, der omhandler "local root exploit". Så hvis du
bare er lidt langsom til at opdatere din maskine, har crackeren
allerede overtaget kontrollen med den.

En meget bedre måde at sikre sig på, er at justere din firewall
således, at der kun kan logges ind med ssh fra bestemte IP adresser.

-Claus

---

Claus Rasmussen skrev Torsdag den 16. januar 2003 11:26 i
dk.edb.system.unix:

> En meget bedre måde at sikre sig på, er at justere din firewall
> således, at der kun kan logges ind med ssh fra bestemte IP adresser.

Og når man har det, og har kontrol over hvem der har adgang til de IP
adresser, f.eks. fordi det er LAN IP'er, og der ikke er adgang udefra,
så kan man lige så godt slå PW fra i SSHD.
Er det en simpel linie i configfilen der skal ændres?
Har ikke haft tid til at læse på det endnu,,,

--
Med venlig hilsen

Ivar Madsen

---

Ivar Madsen wrote:

> Og når man har det, og har kontrol over hvem der har adgang til de IP
> adresser, f.eks. fordi det er LAN IP'er, og der ikke er adgang udefra,
> så kan man lige så godt slå PW fra i SSHD.

Nej !!

Hvis der er tale om LAN, betyder det, at enhver med en bærbar
PC og en stump ethernetkabel har adgang til _alt_. Ligeså med
IP adresser på internettet: Bliver de maskiner, der har adgang
til dit netværk cracket, er det det samme som at du selv bliver
cracket.

-Claus

---

Claus Rasmussen <clr@cc-consult.dk> wrote in news:b06ss6$2lm$1
@sunsite.dk:

> Ivar Madsen wrote:
>
>> Og når man har det, og har kontrol over hvem der har adgang til de IP
>> adresser, f.eks. fordi det er LAN IP'er, og der ikke er adgang udefra,
>> så kan man lige så godt slå PW fra i SSHD.
>
> Nej !!
>
> Hvis der er tale om LAN, betyder det, at enhver med en bærbar
> PC og en stump ethernetkabel har adgang til _alt_. Ligeså med
> IP adresser på internettet: Bliver de maskiner, der har adgang
> til dit netværk cracket, er det det samme som at du selv bliver
> cracket.
>
> -Claus
>

det er rigtig hvad du siger, jeg tror jeg vil holde mig til ssh, et lang
root password og en rigtig god firewall!

tusind tak for jeres hjælp

--
-Cb

---

Claus Rasmussen skrev Torsdag den 16. januar 2003 19:15 i
dk.edb.system.unix:


>> Og når man har det, og har kontrol over hvem der har adgang til de IP
>> adresser, f.eks. fordi det er LAN IP'er, og der ikke er adgang
>> udefra, så kan man lige så godt slå PW fra i SSHD.
> Nej !!

Vi kan blive enig så langt som til at der skal være en sikkerhed mod
adgang for udvedkommende.

> Hvis der er tale om LAN, betyder det, at enhver med en bærbar
> PC og en stump ethernetkabel har adgang til _alt_. Ligeså med
> IP adresser på internettet: Bliver de maskiner, der har adgang
> til dit netværk cracket, er det det samme som at du selv bliver
> cracket.

På min ADSL har jeg en router, der ikke lader trafik komme ind på LAN
siden, og derved føler jeg at jeg er sikker på at der ikke kommer nogen
udefrakommende ind og laver balade. Naturligvis kan de bærke døren til
mig hjem op og komme ind den vej, men jeg har aligevel maskinen stående
tænt så der vil en PW på SSH ikke gavne

Men du mener måske at jeg ikke kan stole på routeren?

--
Med venlig hilsen

Ivar Madsen

---

>> En meget bedre måde at sikre sig på, er at justere din firewall
>> således, at der kun kan logges ind med ssh fra bestemte IP adresser.
>
> Og når man har det, og har kontrol over hvem der har adgang til de IP
> adresser, f.eks. fordi det er LAN IP'er, og der ikke er adgang udefra,
> så kan man lige så godt slå PW fra i SSHD.
> Er det en simpel linie i configfilen der skal ændres?
> Har ikke haft tid til at læse på det endnu,,,
>

hvis du har nogen links til lige nøagtig hvad man skal gøre så ku det være
fedt! ;)

--
-Cb

---

Cyberbob wrote:

> hvis du har nogen links til lige nøagtig hvad man skal gøre så ku det
> være fedt! ;)

har du kigget i sshd_config?

--
Take Care
Kim Emax - Freelance programmør
http://www.emax.dk - http://www.ayianapa.dk
Køb din vin online på http://www.gmvin.dk,
Danmarks måske mest avancerede VinWebShop

---

"Kim Emax" <newsgroup@fjerndette-emax.dk> wrote in news:WGFV9.38192
$Hl6.4461282@news010.worldonline.dk:


> har du kigget i sshd_config?
>
>

ja men nu står der jo ikk alt i sshd_config ;)



--
-Cb

---

tak den med firewall er en god ide! ;)


--
-Cb