Jejerod

Hat hier jemand frisches Popcorn für mich?

nur salziges *reich*

Weil die Aussage falsch ist. Egal mit welchen Textschnipseln du nun argumentierst. Eine Busybox als Schnittstelle zum VMkernel mach ESX(i) nicht zu einem System mit unixoidem Grund. Aber stimmt schon. Hat mit dem Thread nix zu tun. Mea culpa.

Notize am Rande: Deine Aussage ist genauso falsch. Ich sprach nämlich von Virtualisierung, NICHT von VMWare. Das du das gleichsetzt - ist dein Problem. Es gibt andere virtuelle Maschinen als VMware.

Soso. Dementsprechend hast du source code von ESXi 5 gesichtet und kannst das 100% unterschreiben?

Persönlich habe ich mir den source nicht angeschaut, aber ich lerne auch nach 12 Jahren gerne dazu.

Any input appreciated

Zu unixoid gehört ein wenig mehr als eine Busybox.

Originally written by Bruce Perens in 1995 and declared complete for his intended usage in 1996, BusyBox's original purpose was to put a complete bootable system on a single floppy that would be both a rescue disk and an installer for the Debian distribution. Since that time it has been extended to become the de facto standard core userspace toolset for embedded Linux devices and Linux distribution installers.

BusyBox

Was möchtest du eigentlich relevantes zu dem ursprünglichen Thema sagen? Oder einfach nur mal ne Runde Haare spalten? m( Also genau das, was keiner in dieser Diskussion wollte?

Was ist nun näher dran an ESXi, Unix oder Windows?

Und warum reitest du eigentlich darauf rum?

Jetzt aber bitte nicht wieder die urban legend rauskramen, dass VMware ESX(i) mit einem Linux-Kernel läuft...

Ein OS das mir ssh-Zugang gibt, ls und cp versteht, nenne ich nun mal unixoid. Von Linux war nirgendwo die Rede.

The time and date of this login have been sent to the system logs.


VMware offers supported, powerful system administration tools.  Please

see www.vmware.com/go/sysadmintools for details.


The ESXi Shell can be disabled by an administrative user. See the

vSphere Security documentation for more information.

~ # uname -a

VMkernel vmwarexxxx.intern.xxxx.de 5.0.0 #1 SMP Release build-623860 Feb 17 2012 13:11:21 x86_64 unknown

Sieht das eher nach Unix oder nach Windows aus? Bissel viel Beissreflex Heute?

Kann Jemand bestätigen dass das Forum via Proxy Probleme macht?

Szenario:

Normalerweise nutze ich @home einen lokalen Proxy (squid 3.1)

Proxies schicken Via: und X-Forwarded-For: Header.

Existiert im http request ein X-Forwarded-For: Header, meldet der Server (nginx) einen 500 Server error zurück.

Das lässt sich mit curl nachvollziehen:

# curl -L -v http://www.fachinformatiker.de 2>&1 | grep '< HTTP/1.1'

< HTTP/1.1 303 See Other

< HTTP/1.1 301 Moved Permanently

< HTTP/1.1 200 OK

# curl -L -v -H "X-Forwarded-For: 1.1.1.1" \

             -H "Via: proxy (curlheaders/3.1)" \

  http://www.fachinformatiker.de 2>&1 | grep '< HTTP/1.1'

< HTTP/1.1 500 Internal Server Error

Mit den typischen Via: und X-Forwarded-For: Proxy Headern kommt direkt ein 500 zurück.

Der X-Forwarded-For alleine reicht bereits für den 500er. Dieser kann z.B. bei Squid nicht abgeschaltet werden (nur auf X-Forwarded-For: unknown gestellt).

PN an StefanE ist dazu raus.

Zum anderen gibt es Leute wie mich, die inzwischen von einem derartigen Anspruch abgekommen sind: ich zähle mich eher zu den Berufs-Pragmatisten. Du wirst bezahlt, gewisse Aufgaben zu erledigen und dazu brauchst Du ein gewisses "Arbeitswissen". Und wenn zu dem Arbeitswissen Linux nicht dazugehört, dann ist das kein Beinbruch.

Dem kann ich uneingeschränkt zustimmen.

Du wirst nicht mehr verdienen, wenn Du mehr weißt, sondern Du wirst für das bezahlt, was Du auch anwenden kannst.

Dem dagegen nicht, schon weil es kein Sinn macht. Je nach Fall kann man durchaus bessere Jobs bekommen wenn man nicht nur ein Betriebssystem kennt. Natürlich wirst du nur für das Bezahlt was du anwendest, aber wenn du in mehr Fällen "anwendbar" bist kannst du halt aus mehr Jobs wählen.

Davon ausgehend das du, lilith2k3, deinen Traumberuf gefunden hast, ist das jedoch eine korrekte, wenn auch subjektive, Sicht der Dinge.

Meine Kunden allerdings haben z.B. durchgehend heterogene Umgebungen. Das übliche Setup ist Windows im LAN, Unix/Windows Mix in der DMZ, Windows/Mac/Smartphones als mobile Clients.

Die eigentliche Frage ist also im Prinzip: Wo will der Threadersteller hin? Windows bringt ihn da eher zum Spezialist für LAN/Office Setups. Unix mehr zu den exponierten Servern in der DMZ oder im freien Internet. Und das berührt noch nicht mal Spezialwissen wie IOS (das Original, mit großem "I"), JunOS oder Firewalling.

Oder nimm Virtualisierung. Die meisten Virtualisierungsumgebungen haben einen unixoiden Grund, mit virtuellem Windowsmaschinen darüber.

Tendenziell bewegen sich die Betriebssysteme aufeinander zu, und das ist auch gut so. Windows hat gelernt das ein mächtiges Kommandozeilen-Werkzeug hilft (Powershell), Linux bemüht sich immer mehr Anwenderfreundlich zu sein, und OSX liegt irgendwo dazwischen, mit seinen Gemeinsamkeiten und Sonderlocken (es spielt aber keine nennenswerte Rolle im Serverbereich).

Willst du nach der Ausbildung bei deinem Betrieb bleiben (und kannst es auch), dann kannst du dich auf Windows festlegen. Willst du alternative Optionen haben, dann musst du deinen Horizont selbstständig erweitern.

Der Fokus sollte immer auf den Grundlagen liegen. Weißt du wie DHCP funktioniert, kannst du sowohl einen Windows DHCP als auch einen isc-dhcpd auf Linux konfigurieren. Betriebssysteme ändern sich von Version zu Version, Grundlagen bleiben.

und mal unter uns:

schau dich mal um in der welt, da haben menschen mal richtige problem und du jammerst, weil du mal früh aufstehen musst....

Es geht wohl weniger um das frühe Aufstehen als um 5 Stunden Reisezeit täglich - im besten Falle, also wenn alle Anschlüsse klappen - also fast soviel wie Arbeitszeit. Das sehe ich schon als stressig an, insbesondere wenn der Betroffene noch in der Ausbildung ist und die Zeit somit nicht mal gut vergütet wird.

Mal unter uns: ich kann das ewige "Du musst das Wegstecken, das haben wir auch alle gemacht" nicht mehr hören. Das fördert genau die unter-Wert-verkaufen Mentalität die hier sonst so verteufelt wird. Opfere dein Leben gefälligst für deine Arbeit! *double facepalm*

https://plus.google.com/117024231055768477646/posts/jGmNXd42RBt

Nimmt man das Angebot (http://media.de.indymedia.org/media/2008/09//227216.pdf) als echt an und legt es für eine wirtschaftliche Betrachtung zugrunde, dann kostet jeder Maßnahmenmonat ca. 6.000,- Euro.

Ich würde mal bundesweit 5 (vermutlich zu hoch gegriffen) parallel laufende Maßnahmen annehmen, dann kommt man auf 60 Maßnahmenmonate oder 360.000,- Euro pro Jahr. Bei einer typischen Kalkulation würde davon 1/3 in R&D gehen, d.h. 120.000,- Euro pro Jahr. Da eine solche Software keine lange Lebensdauer hat (Annahme <=3 Jahre), dürfte die Entwicklung nicht mehr als 300.000,- Euro kosten. Im Vergleich dazu hat Stuxnet geschätzt 20-50 Millionen US$ gekostet. Den Qualitätsunterschied spürt man halt.

Kosten für Quellen-TKÜ oder TKÜV sind immens. Dagegen rechnet sich eine Steuersünder-CD, auf die du wohl anspielst, finanziell immer. Schon die Drohung sie zu kaufen bringt Steuerhinterzier zum zahlen.

Sicherheit soll gefälligst die Provider kosten, oder die Dienstleister - nicht den Staat. Ist wie bei Bildung. Alle wollen mehr davon, keiner will es Bezahlen.

Oder wie jemand in meinen G+ Circles am Samstag so passend schrieb:

Man darf sich nicht wundern. Die Leute, die sowas zumindest handwerklich sauber drauf hätten, lachen über A16. Was einem Techniker bei der Polizei vermutlich ohnehin im Leben nicht geboten wird.

Gar nicht unter /bin/sh. Mit Klimmzügen unter /bin/bash. Macht aber keinen Spaß.

Arrays

Hier müssen wir Leerzeichen in den Namen erst mal ersetzen (ich nutze Underscores), dann den Separator mit einem Leerzeichen, dann erhalten wir eine bash-kompatible Liste, die wir als Array behandeln können. Man hat allerdings keine Möglichkeit herauszufinden wie viele Elemente im Array sind (außer in der Schleife zu prüfen ob das nächste Element leer ist). Sagte ich schon dass das keinen Spaß macht?

#!/bin/sh

function underscore2space {

        echo $1 | sed -e 's/_/ /g'

}

# convert space to underscore, then separator to space

WORK=`echo ${STRING1} | sed -e 's/ /_/g' | sed -e 's/,/ /g'`

# bash array - BASH specific!

ARRAY=( $WORK )

# use custom function to output

underscore2space ${ARRAY[0]}

underscore2space ${ARRAY[1]}

underscore2space ${ARRAY[2]}

#!/usr/bin/perl

use strict;

use warnings;


my $data = $ENV{'STRING1'};

exit(255) if (! defined($data));

my @names = split(/,/, $data);

printf("Namen im String: %d\n",scalar(@names));

foreach my $name (@names) {

        print $name."\n";

}

Erste Frage wie nennt man diese Identifikation unser Linux mit Basic ?

Primär nennt man das mal "Mist Idee" weil bei der Basic Auth Benutzername und Kennwort lesbar an den Server gesendet werden. Der Server benutzt also besser SSL, ansonsten kann jeder der im Netzwerk sniffen kann auch auf das Benutzerkonto von Lisa auf dem Linux zugreifen.

Sekundär benutzt man für eine Authentication gegen die shadow PAM (Plugable Authentication Modules). mod_auth_pam oder mod_auth_external mit passendem externen Modul sollte das leisten können was du willst.

Wie lege ich unter Linux für Lisa eine Homeverzeichnis an und den jeweiligen Rechten?

Wie funktioniert die Identifikation unter Linux in Verbindung mit den Dateien /etc/passwd | /etc/shadow?

Wie müssen die beiden Dateien aussehen

/etc/passwd

/etc/shadow

das Lisa sich mit Usernamen und Passwort Identifizieren kann und so ihr Homeverzeichnis einsehen kann?

useradd(8) - Linux man page

passwd(1): update user's authentication tokens - Linux man page

passwd(5): password file - Linux man page

shadow(5): encrypted password file - Linux man page

Also Ihr seht ich habe so einige Fragen und danach zu Googlen ist schwer wenn man nicht genau weiß wie diese Identifikation unter Linux heißt in Verbindung mit einer Domäne und dem Internet Explorer etc..

Das ganze ist in der Form kein Domänenlogin, das wäre in der tat mod_auth_ntlm_winbind. Das nächste an einer Domäne wäre hier imho ein Linuxserver der alle Benutzer via LDAP verwaltet, nicht in /etc/passwd und /etc/shadow. Dann würde man auch mod_authnz_ldap verwenden. Diesen weg gehe ich für meine Rootserver für gewöhnlich. Nur Administratoren haben Systemkonten in passwd und shadow.

Wie benutzt du das Query eig.? Führst du das immer per Hand aus oder Verwendest du es aus einem Programm heraus?

Bei letzterem würde ich mir das Query dann einfach immer zusammenbasteln.

Nach den ganzen Tagen, die der Thread schon läuft, hätte ich die Logik schon lange in die Software gepackt anstelle den perfekten Query zu suchen. Wenn man einen Query umständlich zusammenbauen muss ist das vermutlich auch der bessere Weg. Lieber frisst das Programm CPU Zeit für die Auswertung als für den Querybau.

Man möchte zwar soviel wie Möglich direkt auf der Datenbank machen, aber wenn es 3+ Tage dauert den Query zu finden ist auch mal Schluss. Das muss der Kunde schließlich auch alles Bezahlen.

Außerdem: Werden MySQL-Spezifische Queries gebaut, ist das migrieren auf andere Datenbanken wieder schwerer. Lässt sich das Problem nicht mit Standard SQL erschlagen und plant man eine Erweiterung auf andere DB Backends sollte die Logik eh besser in der Software liegen.

Hängt natürlich auch an den Anforderungen. Ist das ganze Zeitkritisch, will man eher den "perfekten Query".

Wenn es dein Programm erledigt und verarbeitet dann arbeite IMMER! ohne *, dasonst dein Programm probleme kriegen kann wenn in der Datenbank z.B. ein neues Feld angelegt wird o.ä. bzw. verursacht es unnötigen Traffic.

Korrekt. Full SELECTs sind Pflicht. Lieber schmeißt dein Programm einen Fehler als Unfug zu verarbeiten.

Warum trägst du so etwas in die root.hints/Stammhinweise? die root.hints enthält eine Liste von Servern über die rekursiv aufgelöst werden kann, d.h. die sogenannten Root-Nameserver.

Das ist vermutlich nicht das was du erreichen wolltest und daher funktioniert es auch nicht...

Willst du owa.axx.de auf eine bestimmte IP auflösen, muss dein DNS:

- primary für axx.de sein

- einen A record für owa.axx.de haben

Ob der DNS von 2k8 da mehr Möglichkeiten hat, kann ich aber nicht sagen.

Person:

persoID: 1 | persoName: M. Mustermann

persoID: 2 | persoName: F. Musterfrau

Eigenschaft:

SkillID: 1 | SkillKommentar: Finanzen

SkillID: 2 | SkillKommentar: Technik

SkillID: 3 | SkillKommentar: Sprachen

und entsprechend die Cross Tabelle

persoID: 1 SkillID:2 rating:100%

persoID: 1 SkillID:3 rating:80%

persoID: 2 SkillID:3 rating:80%

persoID: 2 SkillID:1 rating:20%

Unverifiziert, aber vielleicht ein Ansatz:

SELECT persoID, matches, total FROM (

        SELECT persoID, COUNT(persoID) AS matches, SUM(rating) AS total

        FROM crosstable WHERE SkillID IN (1,3)

        GROUP BY persoID ) AS groupview

WHERE matches=2 ORDER BY total DESC

davon ausgehend das rating eine aufsummierbare Zahl ist, und das der Subselect als matches die Anzahl der Treffer der WHERE Bedingung (SkillID IN (...)) rausrückt.

FTP benutzt Port 21 nur als command channel. Je nach Modus wird dann über eine andere Verbindung ein data channel aufgebaut. Dadurch kommt es immer wieder zu Problemen mit FTP durch Firewalls und/oder NAT.

Siehe https://secure.wikimedia.org/wikipedia/de/wiki/File_Transfer_Protocol#Verbindungsarten

Das Problem dürfte das session_start() sein, das immer ausgeführt werden muss - bereits angemeldete Benutzer werden sonst nicht mehr erkannt.

Diese Variante (ohne SQL) läuft auf meinem Testhost (PHP 5.3.3, lighttpd) einwandfrei:

<?php


// Sitzung starten damit $_SESSION gefuellt wird, wenn der Benutzer bekannt ist

@session_start();


// wurde einloggen gewaehlt?

if (isset ($_REQUEST["login"])) {

        $benutzer = $_REQUEST["user"];

        $password = $_REQUEST["passwort"];

        // kein SQL hier in der Testversion

        /* $sql = "SELECT id,user,passwort FROM benutzer WHERE user= '$benutzer' ";

         * $ergebnis = mysql_query($sql);

         * $zeile = mysql_fetch_assoc($ergebnis);

         */

        $id = 1;

        $user = "demouser";

        $pw = "demopasswort";

        if ( $benutzer == $user && $password == $pw) {

                $_SESSION['id'] = $id;

                $_SESSION['username'] = $user;

                // kein SQL...

                /* $sql = "UPDATE benutzer SET sessionnummer='$sess_id' WHERE user ='$benutzer'";

                 * mysql_query($sql);

                 */

        }

        else {

                echo "<script>alert('Fehler!')</script>";

        }

}

// oder wurde ausloggen gewaehlt?

elseif (isset ($_REQUEST["logout"])) {

        $sql = $sql = "UPDATE benutzer SET sessionnummer='' WHERE id={$_SESSION['id']}";

        printf("Würde Query %s ausführen<br/>",$sql);

        session_unset();

}


// Ist der Benutzer bereits Angemeldet?

if (isset($_SESSION['id'])) {

        printf("Hallo, %s. Deine Sitzungs-ID ist %s.<br/>",$_SESSION['username'],session_id());

        // Button zum Ausloggen anzeigen

        echo <<<EOHTML

<form action="" method="POST">

<input type="submit" name="logout" value="Logout">

</form>

EOHTML;

}

// Ansonsten login form zeigen

else {

        ?>

<form method="POST">

Benutzername:<br/><input type="text" name="user"/><br/>

Passwort:<br/><input type="password" name="passwort"/><br/>

<input type="submit" name="login" value="Login"/>

</form>

        <?php

}

?>

[/PHP]

Das ganze ist an deinen Code angelehnt. [b][u]Denk trotzdem daran deine Benutzereingaben noch zu überprüfen und vor Einbau in ein SQL-Query zu escapen. Alles was von Benutzern eingegeben wird ist grundsätzlich böse und will deine Datenbank kaputt machen.[/u][/b]

Um erfolgreich die SessionID löschen zu können musst du dir den Benutzer in der Session auch gemerkt haben. Variablen wie "$benutzer" sind nicht persistent. Das Superglobal $_SESSION ist dafür zuständig

if ( $benutzer == $user && $password == $pw) {

     session_start();

     $sess_id = session_id ();


     // Benutzer Merken

     $_SESSION['user_id'] = $id;


     mysql_query(sprintf("UPDATE benutzer SET sessionnummer='%s' WHERE id=%d",

          mysql_escape_string($benutzer),$id));

     echo ("<b>Hallo $benutzer</b></br>");

     echo "<script>alert('Erfolgreich eingeloggt!')</script>";

}

else {

     echo "<script>alert('Fehler!')</script>";

}


if (isset ($_REQUEST["logout"])) {


     $uid = $_SESSION['user_id'];

     mysql_query(sprintf("UPDATE benutzer SET sessionnummer='' WHERE id=%d",$uid));

     // jetzt koennen wir $_SESSION leeren


     session_unset();

}

[/php]

Ich Post euch mal meinen code, des Problem ist das ich auf die Variable auf den ersten IF nicht zugreifen kann.

----------------------------------------------------------------------------------------

if (isset ($_REQUEST["login"]))

{

// Lese aus Textfeld Benutzername und Passwort ein

$benutzer = $_POST["user"];

$password = $_REQUEST["passwort"];

$sql = "SELECT id,user,passwort FROM benutzer WHERE user= '$benutzer' ";

Ab dieser Stelle disqualifiziert sich dein Code bereits. Schlagworte:

https://secure.wikimedia.org/wikipedia/de/wiki/Sanity_Check

https://secure.wikimedia.org/wikipedia/de/wiki/SQL-Injection

Melde dich doch mal mit dem Benutzer

'; DROP TABLE benutzer;--

an

Auch beliebt ist

' OR id=1;--

Tipp: Wechseln auf mysqli, bind_param verwenden. Wenn schon, dann gleich richtig. Irgendwas wie

$benutzer = $_REQUEST['user'];

$password = $_REQUEST['password']


$sql = "SELECT id FROM benutzer WHERE user=? AND password=MD5(?)"; // you don't store passwords as plain text, do you? No, you don't.

if (! $stmt = mysqli_prepare($sql)) {

        # some error

}

mysqli_stmt_bind_param($stmt, "ss", $benutzer, $password);

mysqli_stmt_execute($stmt);

mysqli_stmt_bind_result($stmt, $id);

if ( ! mysqli_stmt_fetch($stmt) ) {

        # no such user, login failed

}

else {

        # yep, user found with id=$id. hooray.

[/PHP]

ist gleich um Welten sicherer.

Bezüglich des eigentlichen Problems: PHP: session_set_save_handler - Manual

Mir würde da ein Wrapperscript und eine restricted bash vorschweben. Lässt sich dann auch wunderbar auf Mitarbeiter x eingrenzen, der Rest behält die volle bash. Müsste man sich aber im Detail angucken.

Shameless self-quote.

cd /bin

ln -s bash rbash

useradd -c "restricted user" -m -s /bin/rbash ruser

cd ~ruser

rm .profile .bashrc

#!/bin/sh

# this is /usr/lib/restricted/bin/ssh


function local_error {

        echo "error: $1"

        exit 255

}


CMDLINE=$*

# check if commandline contains evil options -o or -F

echo $CMDLINE | /usr/bin/egrep -- '(-o|-F)' > /dev/null && local_error "illegal commandline"


# exec ssh with system config to override ~/.ssh/config settings

/usr/bin/ssh -F /etc/ssh/ssh_config $*

ruser@host:~> /usr/bin/ssh user@target

-rbash: /usr/bin/ssh: Verboten:  `/' ist in Kommandonamen unzulässig.

ruser@host:~> ssh -F myconfig user@target

error: illegal commandline

ruser@host:~> ssh -o UserKnownHostsFile=/dev/null user@target

error: illegal commandline

ruser@host:~> ssh user@target

The authenticity of host ...

So oder ähnlich würde das wohl gehen.

Nun, ich sehe ein Werkzeug, das bzgl. Sicherheit ein gewisses Maß Aufmerksamkeit verlangt, nicht auf dem gleichen Level wie deine Beispiele.

Es ist eigentlich recht Gleichwertig. Du kannst eine Policy ausgeben das niemand bei SSL-Verbindungen im Browser unsichere Zertifikate akzeptiert, aber machen kann der User es dann immer noch. Selbiges gilt für Mailclients die mit SSL/TLS arbeiten. Bei verantwortungslosen Handeln ist halt jeder Client eine Gefahr.

Salopp gesagt soll Mitarbeiter x ssh benutzen können, aber eben nur mit den in der globalen Config stehenden Vorgaben.

Falls das grundlegend nicht so gedacht ist - es müsste über ein Zwischenscript lösbar sein, richtig ?

Mir würde da ein Wrapperscript und eine restricted bash vorschweben. Lässt sich dann auch wunderbar auf Mitarbeiter x eingrenzen, der Rest behält die volle bash. Müsste man sich aber im Detail angucken.

Was ich eigentlich Denke: Wenn ein User verdächtigt wird das er unsauber arbeitet, dann kann man ihm nur den Zugang sperren. Man kann natürlich mit komplexen Workarounds allen das Leben schwerer machen; das dürfte aber nur dazu führen das noch mehr User versuchen das ganze zu umgehen. Ist mithin also eher Kontraproduktiv. Eine kurze Schulung des betroffenen Users warum die voreingestellten Werte gut und sinnvoll sind ist der bessere Weg.

Nur kenne ich die Situation nicht. Daher das nur als Anmerkung.

-Einfache unkomplizierte Berechtigungsstruktur mit Verschachtelung von Gruppen

Bei Squid kann man den Benutzer leider nur in eine Gruppe packen...

Um, seit wann das?

acl allebenutzer proxy_auth REQUIRED

acl rechtealle "/etc/squid/rechte_alle.acl"

acl gruppeeins proxy_auth "/etc/squid/gruppe_eins.acl"

acl gruppezwei proxy_auth "/etc/squid/gruppe_zwei.acl"

acl rechteeins dstdomain "/etc/squid/rechte_eins.acl"

acl rechtezwei dstdomain "/etc/squid/rechte_zwei.acl"


http_access allow allebenutzer rechtealle 

http_access allow gruppeeins rechteeins

http_access allow gruppezwei rechtezwei

http_access deny all

Jeder Benutzer kann doch in gruppe_eins.acl UND gruppe_zwei.acl eingetragen werden, und hat dann Zugang auf alles domains aus den drei rechte*acl files.

Ok, wenn man das direkt aus einem z.b. AD oder LDAP haben will, muss man sich was schlaues scripten um die lokalen acl files mit dem LDAP Server abzugleichen. Aber: Es geht

-evtl. Integration über das Protokoll c-icap

Da wird die Luft für freie Alternativen dann schon dünn. Sehr dünn.

Ich finde partout keine Doku, die aussagt, ob man spezifische Usercommands nicht in der /etc/sshd_config deny'en kann oder nicht ?

Gerade bzgl. StrictHostKeyChecking fände ich das eklatant wichtig...eher sogar bedenklich, wenn es das nicht gibt.

Warum sollte es das geben? Jeder kann den Client halt so Einstellen wie er möchte, wie bei jedem anderen Client (Browser, Mailclient...) eben auch.

Auch wenn es das geben würde, hält mich nichts davon ab ein modifiziertes ssh binary in mein $HOME zu packen und zu benutzen.

Auf welchen Wert würdest du StrictHostKeyChecking administrativ setzen wollen, und was möchtest du damit bezwecken?

Steht doch da, oder versteht man das so nicht? Wenn nicht, entschuldige.

Dein "inklusive" beißt sich mit dem "Zuwachs". Kann man also so oder so lesen. Wenn etwas zu wächst, wird es mehr

Na es ist ja dann so, das einfach 60 MB täglich neu dazu kommen.

Wieder so eine Formulierung. Kommen nun 60 MB neu dazu, oder werden 60 MB Bestandsdaten geändert? Letzteres erschließt sich nur aus dem Kontext.

Unterm Strich, in der Realität, würde sich niemand wegen 75 MB irgendeinen Kopf machen: Es wird immer ein Vollbackup gefahren.

Niemand macht sich über andere Strategien (die nur den Sinn haben Platz zu sparen) Gedanken in dieser Größenordnung. Wenn es um 75GB geht, sieht das anders aus.

Daher: Ist das eine akademische Aufgabe, oder an die Realität angelehnt?

Es erscheint schon mehr als fraglich, warum (Beispiel) ein angehender Einzelhandelskaufmann, der hier und da ein wenig Waren in Regale einräumt, ein paar Kostenkalkulationen einfachster Art durchführt und die Kasse abrechnet drei Jahre brauchen soll, um das zu lernen ...

Naja der Rahmenlehrplan ist schon etwas größer, wie beim FI eben auch. Und ich denke mal so mancher angehende FI wird auch nur hier und da mal einen Druckertreiber installieren, ein paar Softwareinstallationen einfachster Art durchführen und die Kasse abrechnen, die kleine 5-Personen-Bude als Ausbildungsbetrieb mal vorausgesetzt.