845 Fragen zu It

Der Begriff "Managed Services Angebotsprojekte" bezieht sich auf Projekte, bei denen ein Unternehmen (meist ein IT-Dienstleister) einem Kunden ein Angebot für sogenannte Managed Services unterbreitet. Managed Services sind ausgelagerte Dienstleistungen, bei denen der Dienstleister bestimmte IT-Aufgaben oder -Prozesse dauerhaft übernimmt und betreibt – zum Beispiel Netzwerkmanagement, IT-Support, Cloud-Services oder Security-Services. Ein Angebotsprojekt umfasst typischerweise folgende Schritte: 1. **Bedarfsanalyse:** Ermittlung der Anforderungen und Ziele des Kunden. 2. **Lösungskonzept:** Entwicklung eines passenden Service-Konzepts (z.B. Umfang, Service Level Agreements, Betriebsmodelle). 3. **Kalkulation:** Erstellung einer Kostenkalkulation und Preisgestaltung. 4. **Angebotserstellung:** Ausarbeitung und Präsentation des Angebotsdokuments. 5. **Verhandlung:** Klärung offener Fragen, Anpassung des Angebots und Vertragsverhandlungen. 6. **Abschluss:** Vertragsunterzeichnung und Übergang in die Implementierungsphase. Typische Inhalte eines Managed Services Angebots sind: - Beschreibung der zu erbringenden Services - Service Level Agreements (SLAs) - Verantwortlichkeiten (RACI-Matrix) - Preis- und Abrechnungsmodelle - Laufzeiten und Kündigungsfristen - Reporting und Kommunikation - Eskalationsmechanismen Solche Projekte erfordern meist die enge Zusammenarbeit von Vertrieb, Technik, Service Management und ggf. Recht/Vertragswesen. Weitere Informationen zu Managed Services findest du z.B. bei [Heise](https://www.heise.de/thema/Managed-Services) oder [Gartner](https://www.gartner.com/en/information-technology/glossary/managed-services).

Ein ICAP-Server (z. B. ein Virusscanner) antwortet auf eine ICAP `OPTIONS`-Anfrage mit einer Liste von unterstützten Methoden, Features und Konfigurationsparametern. Die wichtigsten und laut [RFC 3507](https://datatracker.ietf.org/doc/html/rfc3507#section-4.5) standardisierten Header und Optionen sind: **Mögliche Optionen/Headers in der ICAP OPTIONS Response:** - `Methods`: Unterstützte Methoden (z. B. `REQMOD`, `RESPMOD`) - `Service`: Name oder Beschreibung des Dienstes - `ISTag`: Service-Tag (zur Identifikation der Version) - `Options-TTL`: Gültigkeitsdauer der Optionen in Sekunden - `Allow`: Unterstützte HTTP-Methoden (optional) - `Preview`: Maximale Größe des Preview-Bodys in Bytes - `Transfer-Preview`: Unterstützte Transfer-Preview-Größe (optional) - `Transfer-Ignore`: Zu ignorierende Header (optional) - `Transfer-Complete`: Unterstützte Transfer-Complete-Header (optional) - `Max-Connections`: Maximale Anzahl gleichzeitiger Verbindungen (optional) - `Date`: Datum der Antwort (optional) **Beispiel einer ICAP OPTIONS Response:** ``` ICAP/1.0 200 OK Methods: REQMOD, RESPMOD Service: "VirusScanner 1.2" ISTag: "W3E4R5T6Y7U8I9O0" Options-TTL: 3600 Allow: 204 Preview: 1024 Transfer-Preview: * Max-Connections: 100 Date: Wed, 12 Jun 2024 10:00:00 GMT ``` **Erklärung:** - `Methods`: Der Server unterstützt die Methoden `REQMOD` und `RESPMOD`. - `Service`: Name des Dienstes. - `ISTag`: Eindeutiger Tag für die Service-Version. - `Options-TTL`: Die Antwort ist 3600 Sekunden gültig. - `Allow`: Unterstützt den HTTP-Statuscode 204 (No Content). - `Preview`: Bis zu 1024 Bytes werden als Vorschau akzeptiert. - `Transfer-Preview`: Akzeptiert beliebige Preview-Größen. - `Max-Connections`: Bis zu 100 gleichzeitige Verbindungen erlaubt. - `Date`: Zeitpunkt der Antwort. **Hinweis:** Nicht alle Header sind verpflichtend; einige sind optional und abhängig von der Server-Implementierung. Die wichtigsten sind jedoch `Methods`, `Service`, `ISTag`, `Options-TTL` und `Preview`.

Ein Virenscanner, der das **ICAP-Protokoll** (Internet Content Adaptation Protocol) verwendet, gibt auf eine Anfrage (z. B. von einem Proxy) eine ICAP-Response zurück. Die wichtigsten Optionen bzw. Statuscodes, die ein ICAP-Server (z. B. ein Virenscanner) zurückgeben kann, sind im RFC 3507 definiert. ### Wichtige ICAP-Statuscodes und Optionen 1. **200 OK** Die Anfrage wurde erfolgreich bearbeitet. Der Inhalt ist entweder unverändert oder wurde modifiziert (z. B. ein Virus wurde entfernt oder ein Hinweis eingefügt). 2. **204 No Modification** Der Inhalt wurde nicht verändert. (Wird oft verwendet, wenn keine Bedrohung gefunden wurde.) 3. **400 Bad Request** Die Anfrage war fehlerhaft. 4. **404 Not Found** Der angeforderte ICAP-Service existiert nicht. 5. **500 Server Error** Interner Fehler auf dem ICAP-Server. 6. **501 Not Implemented** Die angeforderte Methode wird nicht unterstützt. 7. **ICAP-spezifische Header** - `X-Infection-Found`: Gibt an, ob ein Virus gefunden wurde (z. B. `X-Infection-Found: 1; MaliciousObject=EICAR-Test-File`). - `X-Virus-ID`: Name des gefundenen Virus. - `X-Virus-Status`: Status der Überprüfung (z. B. `Clean`, `Infected`, `Error`). ### Beispiel für einen ICAP-Response (Virus gefunden) ```http ICAP/1.0 200 OK Date: Mon, 10 Jun 2024 12:00:00 GMT Server: Example-VirusScanner/1.0 Connection: close ISTag: "ICAPServer-123456" X-Infection-Found: 1; MaliciousObject=EICAR-Test-File X-Virus-ID: EICAR-Test-File X-Virus-Status: Infected Encapsulated: res-hdr=0, res-body=137 HTTP/1.1 200 OK Content-Type: text/html Content-Length: 123 <html> <body> <h1>Virus gefunden!</h1> <p>Datei: EICAR-Test-File</p> </body> </html> ``` ### Beispiel für einen ICAP-Response (kein Virus gefunden) ```http ICAP/1.0 204 No Modification Date: Mon, 10 Jun 2024 12:00:00 GMT Server: Example-VirusScanner/1.0 ISTag: "ICAPServer-123456" X-Virus-Status: Clean ``` ### Zusammenfassung der wichtigsten Optionen - **200 OK** (Inhalt evtl. modifiziert, z. B. Virus entfernt oder Warnung eingefügt) - **204 No Modification** (Inhalt unverändert, kein Virus) - **400 Bad Request** - **404 Not Found** - **500 Server Error** - **501 Not Implemented** - **ICAP-spezifische Header** wie `X-Infection-Found`, `X-Virus-ID`, `X-Virus-Status` **Hinweis:** Die tatsächlichen Header können je nach Virenscanner variieren. Die wichtigsten Statuscodes und Header sind jedoch wie oben beschrieben. Weitere Informationen findest du im [RFC 3507 (ICAP)](https://datatracker.ietf.org/doc/html/rfc3507).

Um in der Windows-Eingabeaufforderung (cmd.exe) zu sehen, in welchen Active Directory-Gruppen dein Benutzerkonto Mitglied ist, kannst du folgenden Befehl verwenden: ```cmd whoami /groups ``` Dieser Befehl listet alle Gruppen auf, in denen dein aktueller Benutzer angemeldet ist, einschließlich der AD-Gruppen. Die Ausgabe enthält sowohl die Namen als auch die SIDs der Gruppen. Weitere Informationen zu diesem Befehl findest du in der offiziellen Microsoft-Dokumentation: https://learn.microsoft.com/de-de/windows-server/administration/windows-commands/whoami

Spezialisten für gehackte WLAN-Netzwerke findest du in Saarbrücken am ehesten bei IT-Sicherheitsfirmen, spezialisierten IT-Dienstleistern oder auch bei Computer-Forensikern. Adressen, an die du dich wenden kannst, sind zum Beispiel: - **IT-Systemhäuser** wie [Bechtle Saarbrücken](https://www.bechtle.com/de/standorte/bechtle-it-systemhaus-saarbruecken) oder [PC-SPEZIALIST Saarbrücken](https://www.pcspezialist.de/standorte/saarbruecken.html) - **IT-Sicherheitsfirmen** wie [SaarSec](https://www.saarsec.de/) (Saarbrücken) - **Computer-Forensik-Dienstleister** in der Region Du kannst auch bei der [Polizei Saarland](https://www.saarland.de/polizei/DE/home/home_node.html) nachfragen, falls ein strafrechtlich relevanter Vorfall vorliegt. Achte darauf, dass der Dienstleister Erfahrung mit IT-Sicherheit und WLAN-Forensik hat. Ein Erstgespräch klärt, ob deine Anforderungen abgedeckt werden.

Um in der Windows Aufgabenplanung (Task Scheduler) mit PowerShell ein zweites Programm zu starten, gibt es verschiedene Möglichkeiten. Die Aufgabenplanung selbst kann pro Aufgabe nur ein Programm direkt starten. Möchtest du mehrere Programme nacheinander starten, kannst du das mit einem PowerShell-Skript lösen. **Beispiel für ein PowerShell-Skript, das zwei Programme startet:** ```powershell Start-Process "C:\Pfad\zu\Programm1.exe" Start-Process "C:\Pfad\zu\Programm2.exe" ``` Speichere dieses Skript z.B. als `start_beide.ps1`. **So gehst du vor:** 1. Erstelle das PowerShell-Skript wie oben gezeigt. 2. Öffne die Aufgabenplanung und erstelle eine neue Aufgabe. 3. Wähle als Aktion „Programm starten“. 4. Gib als Programm/Skript `powershell.exe` an. 5. Gib als Argumente ein: `-ExecutionPolicy Bypass -File "C:\Pfad\zu\start_beide.ps1"` 6. Speichere die Aufgabe. **Hinweis:** Falls die Programme nacheinander und nicht gleichzeitig starten sollen, kannst du zwischen den Befehlen ein `Start-Sleep -Seconds 10` (für 10 Sekunden Pause) einfügen. **Weitere Infos zur Aufgabenplanung:** [Microsoft Dokumentation – Aufgabenplanung](https://learn.microsoft.com/de-de/windows/win32/taskschd/task-scheduler-start-page) **Weitere Infos zu Start-Process:** [Microsoft Dokumentation – Start-Process](https://learn.microsoft.com/de-de/powershell/module/microsoft.powershell.management/start-process) So kannst du beliebig viele Programme in einer Aufgabe starten.

Das Großvater-Vater-Sohn-Prinzip ist eine klassische Backup-Strategie, bei der drei Generationen von Sicherungen aufbewahrt werden: 1. **Sohn**: Das ist das jüngste Backup, meist das tägliche. 2. **Vater**: Das ist ein älteres Backup, meist das wöchentliche. 3. **Großvater**: Das ist das älteste Backup, meist das monatliche. **Was aufheben?** - **Tägliche Backups (Sohn)**: Nur für eine kurze Zeit, z.B. die letzten 7 Tage. - **Wöchentliche Backups (Vater)**: Für einen längeren Zeitraum, z.B. die letzten 4-5 Wochen. - **Monatliche Backups (Großvater)**: Für einen noch längeren Zeitraum, z.B. die letzten 6-12 Monate oder sogar länger, je nach Bedarf und Speicherplatz. **Zusammengefasst:** Du hebst also immer eine bestimmte Anzahl an täglichen, wöchentlichen und monatlichen Backups auf. Ältere Backups werden jeweils durch neuere ersetzt, sodass du immer auf verschiedene Zeitpunkte zurückgreifen kannst. Weitere Infos findest du z.B. hier: [Wikipedia: Großvater-Vater-Sohn-Prinzip](https://de.wikipedia.org/wiki/Gro%C3%9Fvater-Vater-Sohn-Prinzip)

Der Pfad **/var/cron/tabs/** (oft auch **/var/spool/cron/crontabs/** oder **/var/spool/cron/**, je nach System) ist ein Verzeichnis auf Unix- und Linux-Systemen, in dem die sogenannten **Crontab-Dateien** für einzelne Benutzer gespeichert werden. **Crontab-Dateien** enthalten Zeitpläne für wiederkehrende Aufgaben (Cronjobs), die vom Cron-Daemon automatisch ausgeführt werden. Jeder Benutzer, der Cronjobs eingerichtet hat, bekommt in diesem Verzeichnis eine eigene Datei, die seine geplanten Aufgaben enthält. **Wichtige Hinweise:** - Die Dateien in diesem Verzeichnis sollten nicht direkt bearbeitet werden. Stattdessen sollte der Befehl `crontab -e` verwendet werden, um die Crontab eines Benutzers zu bearbeiten. - Die Zugriffsrechte auf dieses Verzeichnis sind in der Regel so gesetzt, dass nur der Systemadministrator (root) und der jeweilige Benutzer Zugriff auf die eigene Crontab haben. **Beispiel für einen Eintrag in einer Crontab-Datei:** ``` 0 5 * * * /home/user/backup.sh ``` Dieser Eintrag würde das Skript `backup.sh` jeden Tag um 5:00 Uhr morgens ausführen. **Weitere Informationen:** - [Wikipedia: Cron](https://de.wikipedia.org/wiki/Cron) - [crontab(5) Manpage](https://man7.org/linux/man-pages/man5/crontab.5.html)

Der HostKey bei SSH (Secure Shell) dient dazu, die Identität des Servers gegenüber dem Client zu bestätigen. Wenn du dich per SSH mit einem Server verbindest, sendet der Server seinen öffentlichen HostKey an den Client. Der Client prüft, ob dieser Schlüssel bereits bekannt und vertrauenswürdig ist (z. B. in der Datei known_hosts gespeichert). So wird sichergestellt, dass du dich tatsächlich mit dem gewünschten Server verbindest und nicht mit einem Angreifer (Man-in-the-Middle). Der HostKey ist also ein zentrales Element für die Authentizität und Sicherheit der SSH-Verbindung.

Um den Benutzer `tg` auf Ubuntu 22.04 anzulegen und ihm Sudo-Rechte zu geben, sind folgende Schritte notwendig: 1. **Neuen Benutzer anlegen:** ```bash sudo adduser tg ``` Folge den Anweisungen, um ein Passwort und ggf. weitere Informationen zu setzen. 2. **Benutzer zur Gruppe `sudo` hinzufügen:** ```bash sudo usermod -aG sudo tg ``` Damit erhält der Benutzer `tg` die Berechtigung, Befehle mit `sudo` auszuführen. 3. **(Optional) Überprüfen, ob der Benutzer in der Gruppe `sudo` ist:** ```bash groups tg ``` Die Ausgabe sollte unter anderem `sudo` enthalten. **Hinweis:** Nach diesen Schritten kann sich der Benutzer `tg` anmelden und mit `sudo` administrative Befehle ausführen. Weitere Informationen findest du in der offiziellen Ubuntu-Dokumentation: [https://ubuntu.com/server/docs/user-management](https://ubuntu.com/server/docs/user-management)

Active Directory (AD) ist ein von Microsoft entwickelter Verzeichnisdienst, der in Windows-basierten Netzwerken eingesetzt wird. Es dient dazu, Informationen über Objekte im Netzwerk – wie Benutzer, Computer, Gruppen und Ressourcen – zentral zu speichern, zu organisieren und zu verwalten. Mit Active Directory können Administratoren Benutzerkonten, Zugriffsrechte und Sicherheitsrichtlinien zentral steuern. Es ermöglicht die Authentifizierung und Autorisierung von Benutzern und Computern, sodass beispielsweise ein Benutzer sich mit einem einzigen Konto an verschiedenen Computern im Netzwerk anmelden kann (Single Sign-On). Active Directory ist ein zentraler Bestandteil vieler Unternehmensnetzwerke und bildet die Grundlage für viele weitere Microsoft-Dienste, wie z.B. Exchange oder SharePoint. Weitere Informationen findest du auf der offiziellen Microsoft-Seite: https://learn.microsoft.com/de-de/windows-server/identity/active-directory-domain-services/

Um die Datei `/etc/ssl/openssl.cnf` vorab auf Fehler zu prüfen, kannst du das OpenSSL-Tool selbst verwenden. Es gibt keinen dedizierten "Syntax-Check"-Befehl, aber du kannst OpenSSL so aufrufen, dass es die Konfigurationsdatei einliest und dabei auf Fehler prüft. Ein häufiger Ansatz ist: ```bash openssl req -new -x509 -config /etc/ssl/openssl.cnf -noout ``` Dabei wird versucht, ein Zertifikat zu erstellen, ohne tatsächlich eine Datei zu schreiben. OpenSSL liest dabei die Konfigurationsdatei ein und gibt Fehler aus, falls die Datei fehlerhaft ist. **Hinweise:** - Die Option `-noout` sorgt dafür, dass keine Zertifikatsdaten ausgegeben werden. - Falls du eine andere OpenSSL-Konfiguration testen möchtest (z.B. für CA oder andere Zwecke), kannst du auch andere OpenSSL-Kommandos mit der `-config`-Option verwenden. **Beispiel für einen allgemeinen Syntax-Check:** ```bash openssl req -config /etc/ssl/openssl.cnf -noout ``` Wenn die Datei Fehler enthält, gibt OpenSSL eine entsprechende Fehlermeldung aus. Wenn keine Ausgabe erfolgt, ist die Datei syntaktisch in Ordnung. **Weitere Tipps:** - Prüfe die Datei auch mit einem Texteditor auf Tippfehler oder ungültige Zeichen. - Ein reiner Syntax-Check prüft nicht, ob alle referenzierten Dateien (z.B. Schlüssel, Zertifikate) existieren oder korrekt sind. Weitere Informationen findest du in der [OpenSSL-Dokumentation](https://www.openssl.org/docs/manmaster/man5/config.html).

Die ICAP-Protokoll-Modi REQMOD, RESMOD und OPTIONS unterscheiden sich in ihrer Funktion und im Ablauf der Kommunikation zwischen ICAP-Client (z. B. Proxy) und ICAP-Server (z. B. Virenscanner): **REQMOD (Request Modification):** Hier wird die HTTP-Anfrage (z. B. ein Download-Request) vom Proxy an den ICAP-Server geschickt, damit dieser sie analysieren oder verändern kann, bevor sie an das Ziel weitergeleitet wird. **Beispiele für REQMOD:** 1. Ein Benutzer möchte eine Datei herunterladen; der Proxy sendet die HTTP-GET-Anfrage an den Virenscanner, um zu prüfen, ob die URL oder die Anfrage schädlich ist. 2. Ein Proxy leitet eine POST-Anfrage mit einem Dateiupload an den Virenscanner, um den Upload-Inhalt auf Viren zu prüfen. 3. Ein Proxy schickt eine HTTP-Anfrage an den ICAP-Server, der bestimmte Header (z. B. User-Agent) entfernt oder modifiziert. --- **RESMOD (Response Modification):** Hier wird die HTTP-Antwort (z. B. eine heruntergeladene Datei) vom Proxy an den ICAP-Server geschickt, damit dieser sie analysieren oder verändern kann, bevor sie an den Client ausgeliefert wird. **Beispiele für RESMOD:** 1. Ein Benutzer lädt eine Datei herunter; der Proxy sendet die HTTP-Response mit der Datei an den Virenscanner, um sie auf Malware zu prüfen. 2. Der Proxy leitet eine HTML-Seite an den ICAP-Server, der schädliche Skripte entfernt oder Warnhinweise einfügt. 3. Der Proxy schickt eine Bilddatei an den ICAP-Server, der prüft, ob sie schädliche Inhalte enthält, und ggf. blockiert. --- **OPTIONS:** Mit diesem Modus fragt der Proxy den ICAP-Server nach seinen Fähigkeiten und unterstützten Methoden ab, ohne eigentliche Inhalte zu übertragen. **Beispiele für OPTIONS:** 1. Der Proxy sendet eine OPTIONS-Anfrage, um zu erfahren, ob der ICAP-Server REQMOD und/oder RESMOD unterstützt. 2. Der Proxy fragt per OPTIONS nach der maximalen Größe von Nachrichten, die der ICAP-Server verarbeiten kann. 3. Der Proxy prüft mit OPTIONS, welche ICAP-Services (z. B. Virenscan, Inhaltsfilter) auf dem Server verfügbar sind. --- **Weitere Informationen zu ICAP:** - [ICAP-Protokoll (Wikipedia)](https://de.wikipedia.org/wiki/Internet_Content_Adaptation_Protocol) - [Beispiel für ICAP-Server: C-ICAP](http://c-icap.sourceforge.net/)

Um bei OpenSSH bestimmte Kurven (für ECDSA/ECDH) und Algorithmen (z.B. Cipher, MAC, Kex) auszuschließen, nutzt du die Konfigurationsoptionen in der **sshd_config** (für den Server) oder **ssh_config** (für den Client). Hier kannst du explizit festlegen, welche Algorithmen erlaubt sind – alles, was du nicht angibst, ist ausgeschlossen. **Beispiel: Ausschluss von Kurven und Algorithmen in der sshd_config** 1. **KexAlgorithms** – Schlüsselaustauschverfahren 2. **Ciphers** – Verschlüsselungsalgorithmen 3. **MACs** – Message Authentication Codes 4. **HostKeyAlgorithms** – Hostschlüssel-Algorithmen 5. **PubkeyAcceptedKeyTypes** – akzeptierte öffentliche Schlüsseltypen 6. **CASignatureAlgorithms** – CA-Signaturalgorithmen 7. **HostKey** – Hostschlüssel (z.B. bestimmte Kurven für ECDSA) **Beispielkonfiguration:** ```text # Nur bestimmte Kex-Algorithmen erlauben (alle anderen ausgeschlossen) KexAlgorithms curve25519-sha256,curve25519-sha256@libssh.org # Nur bestimmte Ciphers erlauben Ciphers chacha20-poly1305@openssh.com,aes256-gcm@openssh.com # Nur bestimmte MACs erlauben MACs hmac-sha2-512-etm@openssh.com,hmac-sha2-256-etm@openssh.com # Nur bestimmte HostKey-Algorithmen erlauben (z.B. keine ecdsa) HostKeyAlgorithms ssh-ed25519,rsa-sha2-512,rsa-sha2-256 # Nur bestimmte Kurven für ECDSA/ECDH erlauben # (Ausschluss z.B. von nistp256, nistp384, nistp521) ``` **Kurven explizit ausschließen:** OpenSSH bietet keine direkte "Blacklist", sondern du gibst die erlaubten Kurven/Algorithmen explizit an. Alles, was nicht gelistet ist, wird ausgeschlossen. **Beispiel:** ```text KexAlgorithms curve25519-sha256,curve25519-sha256@libssh.org ``` Damit sind z.B. die NIST-Kurven ausgeschlossen. **Nach Änderungen:** - Konfiguration speichern - SSH-Dienst neu starten: ```bash sudo systemctl restart sshd ``` **Weitere Infos:** - [OpenSSH Manual: sshd_config](https://man.openbsd.org/sshd_config) - [OpenSSH Manual: ssh_config](https://man.openbsd.org/ssh_config) **Tipp:** Mit `ssh -Q <category>` (z.B. `ssh -Q kex`) kannst du dir die unterstützten Algorithmen anzeigen lassen. **Fazit:** Du schließt Kurven und Algorithmen aus, indem du in der Konfiguration nur die gewünschten explizit erlaubst. Alles andere ist dann automatisch ausgeschlossen.

Um die genannten MAC-Algorithmen (Message Authentication Codes) in OpenSSH zu unterbinden, musst du die erlaubten MACs in der Konfigurationsdatei des SSH-Servers (`/etc/ssh/sshd_config`) explizit festlegen und dabei die unerwünschten Algorithmen weglassen. **Schritte:** 1. Öffne die Datei `/etc/ssh/sshd_config` mit einem Editor, z.B.: ``` sudo nano /etc/ssh/sshd_config ``` 2. Füge eine Zeile hinzu oder passe sie an, z.B.: ``` MACs hmac-sha2-256-etm@openssh.com,hmac-sha2-512-etm@openssh.com,hmac-sha2-256,hmac-sha2-512 ``` **Wichtig:** In dieser Liste dürfen die zu unterbindenden MACs **nicht** enthalten sein. Die von dir genannten MACs (z.B. `hmac-sha1-etm@openssh.com`, `umac-64-etm@openssh.com`, `umac-128-etm@openssh.com`, `umac-64@openssh.com`, `hmac-sha1`) lässt du einfach weg. 3. Speichere die Datei und starte den SSH-Dienst neu: ``` sudo systemctl restart sshd ``` (oder `sudo service ssh restart` je nach System) **Hinweis:** Du kannst mit folgendem Befehl prüfen, welche MACs dein Server aktuell anbietet: ``` ssh -Q mac ``` Oder von einem Client aus: ``` ssh -o 'MACs=?' user@host ``` **Weitere Infos:** - [OpenSSH MACs Dokumentation](https://man.openbsd.org/sshd_config#MACs) - [OpenSSH Projektseite](https://www.openssh.com/) **Zusammenfassung:** Definiere in der `sshd_config` explizit die gewünschten MACs und lasse die unerwünschten weg. So werden sie unterbunden.