[HaBo]

keksinat0r · 20.02.07, 17:06

öhm... joa...

Ich lese andauernd Berichte darüber wie man VNC knacken kann, dass Server mit VNC "entführt" werden, und und und (zb hier: milworm Ich hoffe das verstößt net schon wieder gegen die Regeln... wenn ja: bitte den Link löschen)

Wie dem auch sei...
Ich hab mir dann eRIC mal angeschaut, nur das sieht für mich auch net sicherer aus, im Gegenteil...
Mit eRIC kann man noch viel mehr machen wie mit VNC, dh. wenn das genkackt wird ist es also noch schlimmer...

Jetzt stellt sich mir die Frage:
Welche Soft-/Hardware soll ich zur Kontrolle des Servers nutzen?
Was könnt ihr empfehlen?

**Elderan** · 20.02.07, 17:12

Hallo,
hmm mit VNC bekommt man doch die Kontrolle über Maus und Tastertur, was geht den dort noch schlimmer? Nur (geknacktes) KVM wäre schlimmer, denn dann könnte man auch noch ins Bios.

Also VNC würde ich niemals direkt so anbieten. Zu gefährlich, desweitern werden die Daten meistens im Klartext übersendet.
Was man aber gut machen kann, ist VNC, welches man aber nur per VPN erreichen kann. So werden die Daten alle schön verschlüsselt übertragen (sollte bei VPN ja eigentlich Standard sein) und nur wenn in im VPN und im VNC eine Lücke ist, kann man den Server übernehmen. Aber IPSec oder OpenVPN sind eigentlich ganz sicher.

HaBo Ads

keksinat0r · 20.02.07, 17:19

wegen BIOS:
Genau das is meine Befürchtung bei eRIC, damit hat man nämlich echten Vollzugriff

Also du meinst n VPN-Tunnel reicht da vollkommen aus?
Was kannst du zum Aufbau des VPN's empfehlen?

**bitmuncher** · 20.02.07, 17:31

Wenn du einen Linux-Server verwalten willst (geht aus deiner Anfrage leider nicht hervor), nutze einfach SSH. Es gibt wohl kaum administrative Aufgaben auf einem Linux-Server, die man nicht über SSH machen kann. Wenn man mal ein Programm mit GUI nutzen will/muss, nutzt man halt das X-Forwarding über SSH.

keksinat0r · 20.02.07, 18:01

oh sorry, hab ich vergessen dazu zuschreiben...

Es handelt sich um einen Debian3.1-Server.

Naja ich bin mit Verschlüsselung jetzt nur vorsichtig,
da ich es in Sachen Sicherheit schonmal übertrieben, und mich aus versehn selbst ausgesperrt habe ^^

naja ich sag aber schonma danke

**bitmuncher** · 20.02.07, 18:10

Dann wirf mal einen Blick in http://www.debian.org/doc/manuals/se...rvices.de.html

**Elderan** · 20.02.07, 20:36

Hallo,
hmm naja ging eigentlich von einem Win Server aus, da VNC bei Linux Servern eher selten der Fall ist (außer evt. von Windows Admins

) , da benutzt man, wie gesagt, SSH. Man kann da ja eigentlich alles per Konsole Regeln.
Des Weiteren sind die meistens Unices-Server ohne graphische Oberfläche aufgesetzt bzw. laufen ohne diese, denn diese verbrauchen unnötig Resourcen und wenn der Server erst einmal eingerichtet ist, schaut man eh nur noch selten auf den Bildschirm (sofern vorhanden)*.

Zu eRIC: Also KVM Systeme brauchen immer zusätzliche Hardware, oder wie soll ein Programm den Screen übertragen, wenn der Rechner neu startet?

* Logs sollte man ja wenns geht auf einen Logging-Server auslagern

keksinat0r · 20.02.07, 21:19

wegen eRIC...
Das is mir schon klar dass man dafür ne extra Steck-Karte brauch...

wegen VNC, es geht darum dass der Server weitervermietet wird,und es desshalb für den Server mehrere Admins gibt,die zum Teil wohl netma wissen was Debian is, geschweigedenn etwas demit anfangen können...

Desswegen will ich dei Administration des Servers so einfach wie möglich gestalten, damit ich nicht wegen jedem kleinen Problem selbst hand anlegen muss...

**bitmuncher** · 20.02.07, 21:32

Dann pack denen ein Webadmin-Tool ala Webmin auf den Server und beschränke den Zugang dafür auf die IP-Ranges, von denen die Leute connecten.

keksinat0r · 20.02.07, 22:46

Webadmin-Tool kenn ich kein wirklich gutes,
und selbst schreiben hab ich ehrlich gesagt keine Lust... (würde auch zu lange dauern

)

Und IP-ranges...
Wie stellst du dir das vor?

Das sind ganz normale internet-user mit variabler IP, wie soll ich da vernünftige Einschränkungen treffen?

Gnome · 20.02.07, 23:04

Ich habe mir einmal eine Lösung für Probleme in der Art gebastelt. und zwar habe ich einen kleinen extraserver geschrieben, der auf einem beliebigen port lauscht. Dann hat ein Client, den ich auf USB-Stick hatte (java) einen befehl gesendet, der RSA-verschlüsselt war. Der Server hat dieses dann wieder Entschlüsselt und den dienst gestartet (bei mir ging es um SSH) Meine Überlegung war, dass ein Server, der nur eine ganz bestimmte Funktion hat an und für sich keinen schaden anrichten kann, und dann den eigentlich gefährdeten Dienst starten. Wenn ich einen Denkfehler gemacht hab dann klärt mich auf, das ding war sowieso mehr als Übung gedacht.

sheepd · 20.02.07, 23:20

Hab ich wohl schonmal irgendwo anders verlinkt, aber wenn dir nach der ersten Wahl (diesem Webadmin-Tool [würde ich übrigens webmin empfehlen]) noch was anderes vorschwebt, dann nimm NX.
http://www.nomachine.com/
edit:
@Gnome:
Naja, sollte dein Server irgendwelche Bugs (Buffer Overflows o.ä.) aufweisen oder irgendwie von anderen Benutzern veränderbar sein, dann kann man denn unvermeidlichen system()-call auch leicht auf etwas anderes umbiegen.

**bitmuncher** · 21.02.07, 04:19

Zitat:

Original von keksinat0r
Das sind ganz normale internet-user mit variabler IP, wie soll ich da vernünftige Einschränkungen treffen?

Und die sollen die Möglichkeit bekommen den Server zu verwalten? Bist du wahnsinnig?

Selbst mit GUI werden die keine Woche brauchen, bis der Server zerschossen ist.

keksinat0r · 21.02.07, 11:33

Naja ich bin da zuversichtlich, da jeder einen speziellen Bereich hat,
und auch nur innerhalb dieses Bereiches dann die entsprechenden Rechte bekommt

Wenn mir ma gaaaaaaanz langweilich is mach ich mich dann mal dran ein entsprechendes Webinterface zu schreiben, nur is da halt das Problem, dass ich garantiert wieder irgendeine Sicherheitslücke übersehe mit der man bestimmt "ganz tolle Sachen" machen kann

**bitmuncher** · 21.02.07, 11:54

Zitat:

Original von keksinat0r
Wenn mir ma gaaaaaaanz langweilich is mach ich mich dann mal dran ein entsprechendes Webinterface zu schreiben, nur is da halt das Problem, dass ich garantiert wieder irgendeine Sicherheitslücke übersehe mit der man bestimmt "ganz tolle Sachen" machen kann

Und genau deswegen würde ich an deiner Stelle auf ein bewährtes Interface wie Webmin zurückgreifen.

Empfehlung

20.02.07, 17:06	#1 (permalink)
keksinat0r Registriert seit: 06.01.07 Likes: 0	VNC -- ja / nein ? öhm... joa... Ich lese andauernd Berichte darüber wie man VNC knacken kann, dass Server mit VNC "entführt" werden, und und und (zb hier: milworm Ich hoffe das verstößt net schon wieder gegen die Regeln... wenn ja: bitte den Link löschen) Wie dem auch sei... Ich hab mir dann eRIC mal angeschaut, nur das sieht für mich auch net sicherer aus, im Gegenteil... Mit eRIC kann man noch viel mehr machen wie mit VNC, dh. wenn das genkackt wird ist es also noch schlimmer... Jetzt stellt sich mir die Frage: Welche Soft-/Hardware soll ich zur Kontrolle des Servers nutzen? Was könnt ihr empfehlen?

20.02.07, 17:31	#4 (permalink)
bitmuncher Moderator Registriert seit: 30.09.06 Likes: 371	Wenn du einen Linux-Server verwalten willst (geht aus deiner Anfrage leider nicht hervor), nutze einfach SSH. Es gibt wohl kaum administrative Aufgaben auf einem Linux-Server, die man nicht über SSH machen kann. Wenn man mal ein Programm mit GUI nutzen will/muss, nutzt man halt das X-Forwarding über SSH. __________________ Mein Blog - Mein Job - Diaspora Der Ring uns zu knechten besteht aus 12 Sternen auf blauem Grund. Neue Beiträge im Habo via Twitter - Das HaBo auf FB - Das HaBo bei G+

20.02.07, 18:10	#6 (permalink)
bitmuncher Moderator Registriert seit: 30.09.06 Likes: 371	Dann wirf mal einen Blick in http://www.debian.org/doc/manuals/se...rvices.de.html __________________ Mein Blog - Mein Job - Diaspora Der Ring uns zu knechten besteht aus 12 Sternen auf blauem Grund. Neue Beiträge im Habo via Twitter - Das HaBo auf FB - Das HaBo bei G+

20.02.07, 21:32	#9 (permalink)
bitmuncher Moderator Registriert seit: 30.09.06 Likes: 371	Dann pack denen ein Webadmin-Tool ala Webmin auf den Server und beschränke den Zugang dafür auf die IP-Ranges, von denen die Leute connecten. __________________ Mein Blog - Mein Job - Diaspora Der Ring uns zu knechten besteht aus 12 Sternen auf blauem Grund. Neue Beiträge im Habo via Twitter - Das HaBo auf FB - Das HaBo bei G+

Themen-Optionen
Druckbare Version zeigen Jemanden per E-Mail auf dieses Thema hinweisen
Ansicht
Linear-Darstellung Zur Hybrid-Darstellung wechseln Zur Baum-Darstellung wechseln

20.02.07, 17:12	#2 (permalink)
Elderan Moderator Registriert seit: 30.03.04 Likes: 14	Hallo, hmm mit VNC bekommt man doch die Kontrolle über Maus und Tastertur, was geht den dort noch schlimmer? Nur (geknacktes) KVM wäre schlimmer, denn dann könnte man auch noch ins Bios. Also VNC würde ich niemals direkt so anbieten. Zu gefährlich, desweitern werden die Daten meistens im Klartext übersendet. Was man aber gut machen kann, ist VNC, welches man aber nur per VPN erreichen kann. So werden die Daten alle schön verschlüsselt übertragen (sollte bei VPN ja eigentlich Standard sein) und nur wenn in im VPN und im VNC eine Lücke ist, kann man den Server übernehmen. Aber IPSec oder OpenVPN sind eigentlich ganz sicher.

20.02.07, 17:19	#3 (permalink)
keksinat0r Themenstarter Registriert seit: 06.01.07 Likes: 0	wegen BIOS: Genau das is meine Befürchtung bei eRIC, damit hat man nämlich echten Vollzugriff Also du meinst n VPN-Tunnel reicht da vollkommen aus? Was kannst du zum Aufbau des VPN's empfehlen?

20.02.07, 18:01	#5 (permalink)
keksinat0r Themenstarter Registriert seit: 06.01.07 Likes: 0	oh sorry, hab ich vergessen dazu zuschreiben... Es handelt sich um einen Debian3.1-Server. Naja ich bin mit Verschlüsselung jetzt nur vorsichtig, da ich es in Sachen Sicherheit schonmal übertrieben, und mich aus versehn selbst ausgesperrt habe ^^ naja ich sag aber schonma danke

20.02.07, 20:36	#7 (permalink)
Elderan Moderator Registriert seit: 30.03.04 Likes: 14	Hallo, hmm naja ging eigentlich von einem Win Server aus, da VNC bei Linux Servern eher selten der Fall ist (außer evt. von Windows Admins ) , da benutzt man, wie gesagt, SSH. Man kann da ja eigentlich alles per Konsole Regeln. Des Weiteren sind die meistens Unices-Server ohne graphische Oberfläche aufgesetzt bzw. laufen ohne diese, denn diese verbrauchen unnötig Resourcen und wenn der Server erst einmal eingerichtet ist, schaut man eh nur noch selten auf den Bildschirm (sofern vorhanden). Zu eRIC: Also KVM Systeme brauchen immer zusätzliche Hardware, oder wie soll ein Programm den Screen übertragen, wenn der Rechner neu startet? Logs sollte man ja wenns geht auf einen Logging-Server auslagern

20.02.07, 21:19	#8 (permalink)
keksinat0r Themenstarter Registriert seit: 06.01.07 Likes: 0	wegen eRIC... Das is mir schon klar dass man dafür ne extra Steck-Karte brauch... wegen VNC, es geht darum dass der Server weitervermietet wird,und es desshalb für den Server mehrere Admins gibt,die zum Teil wohl netma wissen was Debian is, geschweigedenn etwas demit anfangen können... Desswegen will ich dei Administration des Servers so einfach wie möglich gestalten, damit ich nicht wegen jedem kleinen Problem selbst hand anlegen muss...

20.02.07, 22:46	#10 (permalink)
keksinat0r Themenstarter Registriert seit: 06.01.07 Likes: 0	Webadmin-Tool kenn ich kein wirklich gutes, und selbst schreiben hab ich ehrlich gesagt keine Lust... (würde auch zu lange dauern ) Und IP-ranges... Wie stellst du dir das vor? Das sind ganz normale internet-user mit variabler IP, wie soll ich da vernünftige Einschränkungen treffen?

20.02.07, 23:04	#11 (permalink)
Gnome Senior Member Registriert seit: 16.11.05 Likes: 0	Ich habe mir einmal eine Lösung für Probleme in der Art gebastelt. und zwar habe ich einen kleinen extraserver geschrieben, der auf einem beliebigen port lauscht. Dann hat ein Client, den ich auf USB-Stick hatte (java) einen befehl gesendet, der RSA-verschlüsselt war. Der Server hat dieses dann wieder Entschlüsselt und den dienst gestartet (bei mir ging es um SSH) Meine Überlegung war, dass ein Server, der nur eine ganz bestimmte Funktion hat an und für sich keinen schaden anrichten kann, und dann den eigentlich gefährdeten Dienst starten. Wenn ich einen Denkfehler gemacht hab dann klärt mich auf, das ding war sowieso mehr als Übung gedacht.

20.02.07, 23:20	#12 (permalink)
sheepd Registriert seit: 15.10.04 Likes: 0	Hab ich wohl schonmal irgendwo anders verlinkt, aber wenn dir nach der ersten Wahl (diesem Webadmin-Tool [würde ich übrigens webmin empfehlen]) noch was anderes vorschwebt, dann nimm NX. http://www.nomachine.com/ edit: @Gnome: Naja, sollte dein Server irgendwelche Bugs (Buffer Overflows o.ä.) aufweisen oder irgendwie von anderen Benutzern veränderbar sein, dann kann man denn unvermeidlichen system()-call auch leicht auf etwas anderes umbiegen.

21.02.07, 11:33	#14 (permalink)
keksinat0r Themenstarter Registriert seit: 06.01.07 Likes: 0	Naja ich bin da zuversichtlich, da jeder einen speziellen Bereich hat, und auch nur innerhalb dieses Bereiches dann die entsprechenden Rechte bekommt Wenn mir ma gaaaaaaanz langweilich is mach ich mich dann mal dran ein entsprechendes Webinterface zu schreiben, nur is da halt das Problem, dass ich garantiert wieder irgendeine Sicherheitslücke übersehe mit der man bestimmt "ganz tolle Sachen" machen kann

Ähnliche Themen
Thema	Autor	Forum	Antworten	Letzter Beitrag
Ja/Nein Abfrage	TeeKayo2	(Web-) Design und webbasierte Sprachen	12	07.02.07 16:02
Linux auf G5, ja od. nein?	Orange	Mac OS & Co.	10	29.11.05 17:20
PCMCIA: DFÜ ja, LAN nein	pd33	Windows	2	15.10.03 08:50
cpu-tunnel - ja/nein ??	t3rr0r.bYt3	Hardware Probleme	6	30.08.03 13:02


HaBo Ads HaBOT

[HaBo]

VNC -- ja / nein ?