Hi,
On Mon, January 29, 2018 19:16, Luca Bertoncello wrote:
SSH ist nur __EIN__ Teil der Geschichte... Hier könnte ich problemlos auf die externe IP verzichten, aber für HTTP/HTTPs sicher nicht. Da will ich auf alle Fälle wissen, wer die Seite abruft...
Mal aus Security-Sicht gesprochen: IP Adressen sind kein Authentifikationsmerkmal, weil fälschbar. Punkt. Aus. Ende der Diskussion.
SSH: arbeite mit Keys, keine Passwortauth. Passwortauth ist böse!
HTTP: nur für öffentliche Informationen, die jeder wissen darf. Kein Schreibzugriff. HTTP im Intranet kann man gerade noch erlauben wenn es aus irgendwelchen Gründen keine andere Möglichkeit gibt.
HTTPS: Client-Zertifikate, sichere Passworte und/oder Token (OTP oder U2F). Je nach Paranoia-Level.
Konrad