© 1995-2013 by The FreeBSD Project. All rights reserved.URL: http://lists.de.freebsd.org
On Sunday, 25. November 2001 00:40, Oliver Fromme wrote:
> > Da die Kiste eine ständige Internetverbindung haben soll, denke
> > ich jetzt darüber nach, die Dienste (außer SSH) zu "jailen".
>
> Du kannst durchaus auch ssh jailen. Kommt drauf an, was Du
> bezwecken willst.
Hatte ich zunächst nicht vor, aber angesichts der immer wieder
aufgetretenen Sicherheitslücken bei der SSH werde ich das wohl
doch tun.
>
> > Würde es großartig Sinn machen, jeden der Dienste in ein eigenes
> > Jail zu packen, oder wäre das übertrieben ?
>
> Kann man durchaus machen.
Hmm, da mir irgendwann der Plattenplatz ausgeht, werde ich wohl
die den Webserver und Sendmail gemeinsam in eins packen und den
Rest in ein zweites. Wie war das noch mal mit dem inetd ? Der
läßt sich nicht einsperren, oder ?
> > Die zweite Überlegung ist, welche Files ich für den Securelevel
> > so flagge, daß sie unveränderbar / append only sind. Gibt's dazu
> > irgendwelche Empfehlungen ?
>
> Kandidaten für append-only sind Logfiles, d.h. was sich so
> typischerweise unter /var/log tummelt. Immutable kann
Wie extrem wirkt sich das nicht mehr mögliche Logrotate denn auf
die Größen der Logs aus ? Ich kann das z.Zt. schlecht hochrechnen,
da noch nicht alles läuft und ich noch häufig hoch-/runterfahre.
> Das Erhöhen des Secure-level ist dagegen schon etwas »teu-
> rer«. Mit jedem Erhöhungsschritt schränkt man auch die re-
> guläre Benutzbarkeit des Systems ein. Daher verzichte ich
Das sollte kein Problem darstellen, da ich den Rechner nicht zur
täglichen Arbeit nutzen werde, sondern nur als Zugang ins Internet
für mein LAN und die angesprochenen Dienste.
> Olli
Gruß
Bjoern
To Unsubscribe: send mail to majordomo(at)de.FreeBSD.org
with "unsubscribe de-bsd-questions" in the body of the message
Received on Sun 25 Nov 2001 - 16:19:13 CET