php auf Kommandozeile

jahlives · 30. Okt 2008

itari schrieb:
Man sollte die Ports 5000 und 5001 nicht beim Router durchlassen. Also am besten ist es, wenn man keine (!) Systemadministration per Web-Interface außerhalb des lokalen Netzes macht (halt immer alles von außen per Telnet machen).

Per telnet??? Von aussen??? Unverschlüsselter Root Login??? Wenn schon per Secure Shell (meine Meinung

) Und wenn Sys Admin aus dem Web erreichbar sein soll dann nur über Port 5001 und somit verschlüsselt.
Für mich spricht eigentlich nix dagegen das Web Interface via Web erreichbar zu machen. Ich arbeite dann immer mit einer Whitelist von IP Adressen die zugreifen dürfen. Alle anderen kriegen einen 403-er vor den Latz geknallt. Mit dem Restrisiko kann ich leben...

kupferrafi · 30. Okt 2008

Ist zwar ein bischen Off-Topic, deshalb nur kurz:

jahlives schrieb:
Ich arbeite dann immer mit einer Whitelist von IP Adressen die zugreifen dürfen.

Nur was machst du mit den dynamisch vergebenen IP Adressen?
Falls man einen Namen in der .htaccess hat geht's doch nicht.
D.h. man kann den Zugang nur local verwenden?
Wie wärs mit einem nicht bekannten Port im Router freigeben, und den dann auf 5001 der DS weiterleiten?

Gut, es gibt schon so viel geschriebenes hierzu, werde bei Zeit das alles mal durcharbeiten.

itari · 30. Okt 2008

jahlives schrieb:
Per telnet??? Von aussen??? Unverschlüsselter Root Login??? Wenn schon per Secure Shell (meine Meinung ) Und wenn Sys Admin aus dem Web erreichbar sein soll dann nur über Port 5001 und somit verschlüsselt.
Für mich spricht eigentlich nix dagegen das Web Interface via Web erreichbar zu machen. Ich arbeite dann immer mit einer Whitelist von IP Adressen die zugreifen dürfen. Alle anderen kriegen einen 403-er vor den Latz geknallt. Mit dem Restrisiko kann ich leben...

Ja darfst auch Secure Shell nehmen.

Mein Tipp ist eher psychologischer Art. Wer kennt schon den telnet und wer kann schon mit einer Linux-Shell arbeiten. Also ist das sicherer als mit einem Web-Interface

Nix für ungut, aber ein Rechner, welcher ins Web guckt, ist an und für sich unsicherer als einer der nicht ins Web guckt. Auf so einen Rechner gehören einfach keine wichtigen Daten. Aber die Diskussion hatten wird schon an anderer Stelle.

itari

jahlives · 30. Okt 2008

kupferrafi schrieb:
Ist zwar ein bischen Off-Topic, deshalb nur kurz:

Nur was machst du mit den dynamisch vergebenen IP Adressen?
Falls man einen Namen in der .htaccess hat geht's doch nicht.
D.h. man kann den Zugang nur local verwenden?
Wie wärs mit einem nicht bekannten Port im Router freigeben, und den dann auf 5001 der DS weiterleiten?

Gut, es gibt schon so viel geschriebenes hierzu, werde bei Zeit das alles mal durcharbeiten.

Bei mir ging es hauptsächlich darum, dass ich auch von der Arbeit auf die DS zugreifen kann (Webmanager). Wir befinden uns hier hinter Proxy Servern damit sind die IPs praktisch fix

Ich habe es bei mir so gemacht, dass ich Port 443 extern auf Port 5001 intern weitergeleitet habe. Dies da Port 443 (https) normalerweise von Gateways und Proxyservern ungehindert durchgelassen wird. Ausserdem fällt Port 443 in den Logs ned so auf wie z.B Port 6874

itari · 30. Okt 2008

jahlives schrieb:
Bei mir ging es hauptsächlich darum, dass ich auch von der Arbeit auf die DS zugreifen kann (Webmanager). Wir befinden uns hier hinter Proxy Servern damit sind die IPs praktisch fix
Ich habe es bei mir so gemacht, dass ich Port 443 extern auf Port 5001 intern weitergeleitet habe. Dies da Port 443 (https) normalerweise von Gateways und Proxyservern ungehindert durchgelassen wird. Ausserdem fällt Port 443 in den Logs ned so auf wie z.B Port 6874

Oh, tobi

diese Diskussion wollte ich gerade nicht führen, weil ich es nicht so toll finde, wenn jemand von der Arbeit aus, auf seine DS zu Hause zugreift und dabei nicht auffallen will ... vielleicht sollten wir diese Posts einfach wieder vergessen.

itari

Suche

php auf Kommandozeile

jahlives

Benutzer

kupferrafi

Benutzer

itari

Benutzer

jahlives

Benutzer

itari

Benutzer

Kaffeautomat