© 1995-2013 by The FreeBSD Project. All rights reserved.URL: http://lists.de.freebsd.org
Hallo Clemens,
> Mein Ziel war eigentlich, eben solche "Zeitbomben" wie bind oder
> Sendmail nicht direkt einer Verbindung auszusetzen
Nun ja, bind oder sendmail werden von ein paar kompetenten Leuten in dieser
Welt durchleuchtet, wie es da z.B. bei squid oder apache aussieht, weiss ich
nicht.
Mit einer aelteren Version von squid hatte ich mal Probleme (gelegentliche
Abstuerze, die nur durch Neuanlegen des Cache-Directories zu beseitigen
waren), der Quellcode sah nicht unbedingt umwerfend vertrauenswuerdig aus.
Aber da kann ich mich taeuschen.
qmail ist sicher nicht die unsicherste Loesung - ich habe mich halt an
sendmail gewoehnt.
Manchmal ist Sicherheit ja auch durch Obskuritaet zu erreichen (wer Word
nicht nimmt, hat gute Chancen, von Makro-Viren verschont zu bleiben, obwohl
auch andere Office-Pakete genau die gleichen Sicherheitsprobleme haben).
Aber darauf moechte ich mich nicht unbedingt verlassen.
> wie baust Du sowas aber in eine DMZ ein? Ich hätte die Proxys gerne
> zwischen zwei ipfw-Kisten und dann geht es ja höchstens, den internen
> Server in die dmz zu stellen, oder?
>
Die "Proxies" stehen in der DMZ, von innen sind nur die Ports dahin
freigeschaltet (z.T. nur von den internen Servern, DNS und mail z.B.), die
"Proxies" duerfen dann ein bisschen mehr nach draussen, Verbindungsaufbau
von aussen nur, was noetig ist.
Groesserer Schutz ist fuer die auch durch "Befestigen" des Filesystems
moeglich (Read-Only-Mounts fuer / und /usr, Secure Flags fuer Binaries und
Logfiles)
Es gruesst
Peter
To Unsubscribe: send mail to majordomo(at)de.FreeBSD.org
with "unsubscribe de-bsd-questions" in the body of the message
Received on Thu 02 Aug 2001 - 13:28:59 CEST