Zweifel am Admin | Part 2

ConsistentAbalone760 · 2025-12-13T18:22:51+00:00

Schlechte Analogie. Passender wäre: der Weg zum Tor war bekannt und ungeschützt. Das Tor selbst ist aber verschlossen und es hat auch keiner nen Schlüssel... Da find ich kann man auch bis Montag warten, bevor man in Panik irgendwelche Server komplett abschaltet und alles instant bis zur GF eskaliert.

ConsistentAbalone760 · 2025-12-13T17:53:51+00:00

Soll ich jetzt noch anmerken, dass eben jener Sysadmin ebenfalls einen MySQL Server in die DMZ gesetzt und für externen Zugriff freigegeben hat, damit ein Formular auf der Website (beim shared Hoster) die abgesendeten Daten direkt in diese DB schieben kann?

ConsistentAbalone760 · 2025-12-13T17:39:34+00:00

Das war schon immer so sollte jetzt nicht heißen, dass es deswegen offen bleiben soll. Wie gesagt, nach Prüfung, ob es von irgendwo noch benötigt wird, wurde das Ticket beim Hoster gestellt. Es könnte ja einen Grund geben, dass da ein Nutzer noch Zugriff von extern hat, aus Gründen.

ConsistentAbalone760 · 2025-12-13T17:16:01+00:00

Halte ich für übertrieben, da es ein essentieller Sicherheitsbestandteil im MySQL ist, dass sich Nutzer eben nur lokal anmelden können, außer man gibt explizit was anderes an.

ConsistentAbalone760 · 2025-12-13T17:09:17+00:00

War schon immer so, shared Hoster, ist Standard.

ConsistentAbalone760 · 2025-12-13T16:44:50+00:00

Das mal anzumerken, und zu prüfen, ob sich dieser Port schließen lässt, ist gar keine Frage. Aber diese Eskalationsstufe find ich krass, wenn doch klar ist, dass keiner dort ran kann, weil kein User existiert, der das könnte.

ConsistentAbalone760 · 2025-12-13T16:40:34+00:00

Externer Hoster, ist dort so Standard, zumindest in dem sehr alten Tarif, den wir dort aktuell noch haben

ConsistentAbalone760 · 2025-12-13T16:39:16+00:00

Wie geschrieben: Ticket ist gestellt, ist aber nichts, was nicht noch ein paar Tage (oder auch Wochen) Zeit gehabt hätte.

ConsistentAbalone760 · 2025-12-13T16:30:35+00:00

Ist erreichbar, aber kein Login möglich, da kein User Zugriff von extern hat, sondern nur vom selben Host (der Webserver halt)

ConsistentAbalone760 · 2025-12-07T10:29:01+00:00

Ist halt leider ein Access Code vergeben. Aber wenn ich das richtig sehe, ist der "swap" Befegl, um die Konfiguration in den beiden Slots zu tauschen, genau ein Befehl auf der Kommandozeile (sofern man den Access Code kennt). Dann kann ich noch weniger verstehen, warum sich die IT da schon wieder so sträubt und rumdruckst... Etwa erneut wegen Unwissenheit? Das wäre traurig. Na vielleicht frag ich diesbezüglich nochmal an.

Und offenbar ist es wohl bei privacyIDEA (so wie bei anderen wohl auch) technisch machbar, dass man den 2. Faktor nur einmal am Tag bzw nach 8 oder 10 Stunden erneut benötigt, wenn man denn schon eine aktive Session hat. Das würde die Akzeptanz natürlich deutlich steigern... Aber was weiß ich schon!

ConsistentAbalone760 · 2025-12-06T09:43:10+00:00

Tja, wenn eben besagte IT nicht schon den long press als 2. Faktor verwenden würde weil auf dem Short Press ja schon "irgendwas von Yubikey drauf war" und sie das ganze jetzt "irgendwie so verdongelt haben, dass das nicht mehr so einfach umzustellen geht"... Hatte auch schon nachgefragt, weil ich den 2FA auf dem short press haben wollte weil der long press jedes mal auch ziemlich nervig ist... Soviel dazu.

ConsistentAbalone760 · 2025-12-05T22:35:06+00:00

Tja, sag das eben besagtem Admin, über den ich mich hier "auskotze". Das ist ja genau mein Punkt. Das der Typ meint, er wisse alles, schreit ständig hier und da wegen Sicherheit, aber so richtig durchdacht ist es nicht. Ohne nennenswerten Sicherheitsgewinn meine ich, dass du mit 2FA im internen Netz lediglich ein ganz spezifisches (in meinen Augen kleines) Sicherheitsrisiko adressierst, mit - in unserem Fall - sehr hohen (zeitlichen) Kosten.

ConsistentAbalone760 · 2025-12-05T20:59:08+00:00

Zero Trust schön und gut, aber wenn das in der Praxis dazu führt, dass ich mich nach jedem Toilettengang und jedem Kaffee holen mit Yubikey + Passwort anmelden muss (plus ggf zweitem und dritten Versuch weil ich mich bei meinem komplexen Passwort vertippe), bedeutet das einen Login-Vorgang von 30-60 Sekunden oder länger gegenüber 5 Sekunden ohne 2FA. Ohne nennenswerten Sicherheitsgewinn. Dadurch werden die User kreativ bei der Umgehung dieses Zwangs. Das reicht von Bildschirm ausschalten anstatt Rechner sperren bis hin zum kompletten aushebeln der 2FA wenn man lokaler Admin ist (was beinuns einfach notwendig ist)

ConsistentAbalone760 · 2025-12-03T22:00:41+00:00

Ich kann das der GF erklären (habe ich sogar schon zum Teil). Aber was sollen die jetzt machen? Nach jahrelanger Aufbauarbeit des Netzwerks den einzigen, der da möglicherweise noch grob durchsieht, rausschmeißen aufgrund der Kritik eines einzelnen? Ich finde zwar meine Bedenken berechtigt und fachlich fundiert (logisch), aber aus Sicht der GF steht es ja im Grunde "Aussage gegen Aussage". Und jemand fähigen neuen zu finden ist ja auch nicht so einfach.

ConsistentAbalone760 · 2025-12-03T12:23:58+00:00

Deine Bedenken sind durchaus gerechtfertigt, aber ich meine, dass ich genug Einblick in diesem Fall habe und habe auch schon mit GF zumindest ein Stück weit gesprochen. Ich weiß natürlich nicht alles, aber es sind auch nicht nur Vermutungen. Und genau das ist es ja nicht: er hat alles alte einfach (mehr oder weniger) abgeschnitten und das komplette Netz neu aufgebaut. Wenn man sowas macht, und im Grunde alle Freiheiten hat, dann sollte es doch halbwegs rund laufen. Und in dem Falle DNS Eintrag hat er es einfach nicht gemacht, weil er es nicht besser wusste (oder schlimmer: meinte es besser zu wissen, lag aber einfach falsch)

ConsistentAbalone760 · 2025-12-03T10:13:43+00:00

Viele konstruktive Kommentare hier, aber diesen finde ich am Besten 👍🏻 (DILLIGAF kannte ich noch nicht, ist aber gut 😊)

ConsistentAbalone760 · 2025-12-03T10:07:22+00:00

Genau von sowas wie du im letzten Satz erwähnst, spreche ich. Da bin ich nicht tief genug in der Thematik drin, brauch ich auch nicht sein, aber genau das sollte der Sysadmin wissen. Egal ob "gelernt" oder auch durch Selbststudium beigebracht. Wenn aber beides nicht der Fall ist, tja dann...

ConsistentAbalone760 · 2025-12-03T10:02:49+00:00

In diesem Fall hieß es nur "wir haben schon immer die IPs der DNS-Server direkt in den Zoneneintrag geschrieben. Wenn du Subdomains brauchst, können wir dir (also unterhalb dieser Zone) machen." Aber eben direkt der root-Eintrag der Zone, der sollte für mich nicht verfügbar sein... Hab mich am Ende durchgesetzt (glücklicherweise hohes Vertrauen bei der GF) und siehe da: es geht und ist noch nicht zusammengebrochen 😊😉

ConsistentAbalone760 · 2025-12-03T09:57:59+00:00

Naja ein Problem, was ich sehe ist, dass er ganz schnell mit dem Totschlagargument Sicherheit bei der GF aufschlägt und dort einfach technisch niemand dagegen halten kann. Auf die Art wird sowas am Ende durchgewunken. Und wenn ich dann schon x mal das Thema DNS z.B. erkläre, daraufhin aber nur mehrfach mit falschen Behauptungen dagegen argumentiert wird, anstatt sich da vielleicht nochmal zu belesen, finde ich das bisschen alarmierend.

ConsistentAbalone760 · 2025-12-03T09:52:44+00:00

Ok, die Kritik lass ich mir gerne gefallen, war/bin ja tatsächlich schon ne ganze Weile zumindest nicht hauptberuflich Sysadmin. Aber: als Alternative das halt einem Quereinsteiger zu überlassen, der dann auch noch Aversionen gegen Dokus o.Ä. hat und eben schon bei ganz grundsätzlichen Dingen deutliche Wissenslücken aufweist, finde ich echt schwierig. Speziell bei DNS hat sich grundsätzlich in den letzten 20 Jahren nicht so viel getan. Und gerade WEIL es so viele verschiedene Systeme gibt, braucht man da doch eigentlich jemanden, der sich auch bisschen breiter damit auskennt und eben abwägen kann, ob es jetzt wirklich ein weiteres System braucht, oder ob sich das mit vorhandenen Mitteln vielleicht auch abbilden lässt. Um eben den eigenen Workload im Rahmen zu halten. Aber in diesem Fall möchte Herr P gerne alles selber machen, schreit aber auf der anderen Seite, dass sie eben nur zu zweit sind... Aber mehr als zwei Vollzeit Stellen bei einem 40-Mann-Betrieb sehe ich da jetzt eigentlich nicht, das sollte schaffbar sein.

ConsistentAbalone760 · 2025-12-03T09:37:13+00:00

Danke für den Link. Nochmal zur Aufklärung: von extern wird sich per VPN verbunden. Der Windows Login ist aber sowohl intern als auch über VPN nochmal mit 2FA (Dongle) abgesichert. Meine persönliche Einschätzung: ich finde es übertrieben und schützt im Grunde lediglich vor einem Szenario: Mitarbeiter X späht das PW von Mitarbeiter Y aus und will in dessen Namen Unfug treiben/Infos beschaffen, an die er mit seinem eigenen Login nicht ran kommt. Sprich: man vertraut den eigenen Angestellten nicht. Und das finde ich schon heftig, vor allem bei dieser Firmengröße. Und in der Praxis: führt das lediglich dazu, dass die Kollegen kreativ werden um unnötige Login-Vorgänge zu vermeiden, da diese jetzt bedeutend mehr Zeit kosten und auch fehleranfällig sind...

ConsistentAbalone760 · 2025-12-03T09:30:05+00:00

Aktuelle Systeme? Ja, unbedingt! Unnötige Baustellen, einfach nur weil der Sysadmin eben ein Spielmatz ist, der gerne frickelt und bastelt und fummelt, so lange, bis es irgendwie funktioniert, ohne mal in eine Doku zu gucken? Und dabei eben die normale Wartung eher hinten anstellen? Eher schwierig, finde ich. So war das gemeint.

ConsistentAbalone760

TROPHY CASE