Re: Jail- und Securelevel-Fragen

From: Oliver Fromme <olli(at)secnetix.de>
Date: Sun, 25 Nov 2001 00:40:30 +0100 (CET)

Bjoern Engels <bj(at)pumaman.dyndns.org> wrote:
> ich bin gerade dabei, mir einen Host mit 4.4 aufzusetzen, auf dem
> Apache, sendmail, Bind, der uwimapd, OpenSSH, PostgreSQL und vsftpd
> laufen sollen. Der Rechner soll von außen per HTTP/HTTPS und
> SMTP erreichbar sein, SSH und FTP nur von einem bestimmtem IP-Netz
> aus, IMAP, Bind und SQL werden nur über das interne Netz / localhost
> angesprochen.

ipfw, hosts.allow, ...

> Da die Kiste eine ständige Internetverbindung haben soll, denke
> ich jetzt darüber nach, die Dienste (außer SSH) zu "jailen".

Du kannst durchaus auch ssh jailen. Kommt drauf an, was Du
bezwecken willst.

> Würde es großartig Sinn machen, jeden der Dienste in ein eigenes
> Jail zu packen, oder wäre das übertrieben ?

Kann man durchaus machen.

> Die zweite Überlegung ist, welche Files ich für den Securelevel
> so flagge, daß sie unveränderbar / append only sind. Gibt's dazu
> irgendwelche Empfehlungen ?

Kandidaten für append-only sind Logfiles, d.h. was sich so
typischerweise unter /var/log tummelt. Immutable kann
prinzipiell alles unter /boot, /bin, /sbin, /usr/bin,
/usr/lib usw. sein, evtl. auch diverse Dinge in /etc.
Mit einem geeigneten Konzept kannst Du auch die root-
Partition komplett read-only mounten. Eine weitere Ergän-
zung, die in diese Kerbe schlägt, ist ein Überwachungstool
wie Tripwire.

Generell gilt: Die Paranoia-Skala ist nach oben offen.
Die Sicherheitsmaßnahmen, die nichts »kosten« (keinen
nennenswerten Aufwand und keine administrativen Hindernis-
se), solltest Du auf jeden Fall ergreifen. Ein Beispiel
ist der TCP-Wrapper (hosts.allow). Der ist schnell konfi-
guriert und macht keine Probleme. Er eignet sich sozusagen
als zweite Verteidigungsfront nach ipfw. Ein weiteres Bei-
spiel wäre das jailen von BIND, was relativ einfach ist.

Das Erhöhen des Secure-level ist dagegen schon etwas »teu-
rer«. Mit jedem Erhöhungsschritt schränkt man auch die re-
guläre Benutzbarkeit des Systems ein. Daher verzichte ich
persönlich meistens auf dieses Feature und setze auf andere
Sicherheitsmaßnahmen. Das muß aber jeder für sich selbst
entscheiden, man kann hier keine generellen Empfehlungen
geben.

Gruß
   Olli

-- 
Oliver Fromme, secnetix GmbH & Co KG, Oettingenstr. 2, 80538 München
Any opinions expressed in this message may be personal to the author
and may not necessarily reflect the opinions of secnetix in any way.
"All that we see or seem is just a dream within a dream" (E. A. Poe)
To Unsubscribe: send mail to majordomo(at)de.FreeBSD.org
with "unsubscribe de-bsd-questions" in the body of the message
Received on Sun 25 Nov 2001 - 00:40:37 CET

search this site