---

Jeg bruger ssh(autossh med certifikater) til at lave tunnels men stunnel
kunne også bruges. Kan bare ikke finde ud af opsætningen til stunnel
grundet de certifikater der skal laves. Synes stunnel er meget mere
omstændigt end ssh.

Men burde jeg istedet bruge stunnel frem for ssh? Hvad foretrækker i, og
hvorfor?

Er der sikkerhedsaspekter jeg burde overveje når jeg bruger ssh til
tunnels ?


Hilsen Mikkel

---

Mikkel Bundgaard <mikkel@notfound.invalid> wrote:

>Er der sikkerhedsaspekter jeg burde overveje når jeg bruger ssh til
>tunnels ?

Al data trafik i ssh er krypteret, så protocollen er rimelig sikker.

Det væsentlig er at beskytte ssh-serveren mod fjentlige besøgende. Får
en hacker først adgang til ssh-serveren har han principielt fuld adgang
til hele til lokalnettet. Og det er du næppe interesseret i

Jeg skal derfor foreslå at du logger på med 'nøgler' og derefter
de-aktiverer brugen af password i ssh-serveren.

Princippet er simpelt: Du generer to nøgler med programmer ssh-keygen,
en privat nøgle og en offentlig nøgle.

Den private nøgle gemmer du i dit .ssh directory på clientsiden, den
offentlige nøgle lægges i filen 'authorized_keys' i dit .ssh directory
på server siden. Og herefter behøver du ikke længere password når du
logger på med ssh.....

Men alt er godt dokumenteret på http://www.openssh.org/
<mlr>

--

The two basic principles of Windows system administration:

* For minor problems, reboot
* For major problems, reinstall

---

Michael Rasmussen wrote:
> Mikkel Bundgaard <mikkel@notfound.invalid> wrote:
>
>
>>Er der sikkerhedsaspekter jeg burde overveje når jeg bruger ssh til
>>tunnels ?
>
>
> Al data trafik i ssh er krypteret, så protocollen er rimelig sikker.
>
> Det væsentlig er at beskytte ssh-serveren mod fjentlige besøgende. Får
> en hacker først adgang til ssh-serveren har han principielt fuld adgang
> til hele til lokalnettet. Og det er du næppe interesseret i
>
> Jeg skal derfor foreslå at du logger på med 'nøgler' og derefter
> de-aktiverer brugen af password i ssh-serveren.
>

Det er allerede gjort... Dog uden passwords fordi forbindelsen skal selv
genoprettes ved genstart af computeren... Sikkerhedsmæssigt er jeg ikke
så nervøs alligevel. Blot nysgerrig.

SSH forbindelsen oprettes fra lokal(root) til remote(vpn). Burde måske
opsætte det således at forbindelsen bliver oprettet som en anden bruger
end root ... Det kan jo blive næste projekt.

Og takker for infoen :)


Hilsen Mikkel

---

Michael Rasmussen wrote:
> Men alt er godt dokumenteret på http://www.openssh.org/

Jeg siger det igen: .com, ikke .org.

Mvh. Michael.
--
Rumour is information distilled so finely that it can filter through
anything.
-- (Terry Pratchett, Feet of Clay)

---

I dk.edb.system.unix, skrev Michael Knudsen:
> Michael Rasmussen wrote:
> > Men alt er godt dokumenteret på http://www.openssh.org/
>
> Jeg siger det igen: .com, ikke .org.

De er jo ens?

Jesper

--
../Jesper Krogh, jesper@krogh.cc, Jabber ID: jesper@jabbernet.dk
.... der er blevet medlem af Free Software Foundation i denne uge:
https://www.fsf.org/associate/join/am_join_form1

---

On 2005-04-20, Jesper Krogh <jesper@krogh.cc> wrote:
> I dk.edb.system.unix, skrev Michael Knudsen:
>> Michael Rasmussen wrote:
>> > Men alt er godt dokumenteret på http://www.openssh.org/
>>
>> Jeg siger det igen: .com, ikke .org.
>
> De er jo ens?

Det er en ukendt hollænder der ejer .org - men har lige nu sat den til
at pege på .com. Men ingen ved om han på et tidspunkt vil bruge det til
noget ondskabsfuldt, eksempelvis lokke folk til at installere en defekt
sshd.

--
Sune

---

Sune Vuorela wrote:
>
> Det er en ukendt hollænder der ejer .org - men har lige nu sat den til
> at pege på .com. Men ingen ved om han på et tidspunkt vil bruge det til
> noget ondskabsfuldt, eksempelvis lokke folk til at installere en defekt
> sshd.

Det kan jo være han registrerede openssh.org for at forhindre,
at en anden fandt på at misbruge det. Men det kan vi selvfølgelig
ikke vide noget om med sikkerhed.

--
Kasper Dupont

---

Den Thu, 14 Apr 2005 20:48:41 +0200 skrev Mikkel Bundgaard:
>
> Jeg bruger ssh(autossh med certifikater) til at lave tunnels men stunnel
> kunne også bruges. Kan bare ikke finde ud af opsætningen til stunnel
> grundet de certifikater der skal laves. Synes stunnel er meget mere
> omstændigt end ssh.
>
> Men burde jeg istedet bruge stunnel frem for ssh? Hvad foretrækker i, og
> hvorfor?

ssh, sålænge vi snakker om enkelte tcp-connections der skal forwardes.

Hvis det skal være mere avanceret er IPSEC nok den anbefalede løsning,
men også en del mere langhåret.

Mvh
Kent
--
Hard work may pay off in the long run, but lazyness pays off right now.

---

> ssh, sålænge vi snakker om enkelte tcp-connections der skal forwardes.

Det er bliver ikke mere end et par stykker som skal oprettes og forwardes.

>
> Hvis det skal være mere avanceret er IPSEC nok den anbefalede løsning,
> men også en del mere langhåret.

ja desværre

Har været igang med at se på det til noget vpn


takker for infoen.


Hilsen Mikkel