© 1995-2013 by The FreeBSD Project. All rights reserved.URL: http://lists.de.freebsd.org
Hallo,
nur kurz zur Praezesierung meines Ansatzes:
Mir geht es nicht zuerst darum, ob ich einen oder 50 Apachen abschiessen
kann. Loecherstopfen gehoert zur Aufgabe eines Admins dazu, mit/ohne Jail
etc.
Ich moechte mit einem Jail vorallem erreichen, dass Kunden eine gewisse
Sicherheit haben, dass ihre Daten (z.B. eine Kundendatei) nur fuer sie
einsehbar sind. Und auch in einer Art, dass ich davon ueberzeugt bin, dass
das einigermassen sicher ist. Nobody is perfect, aber..
Restricted shells etc. sind mir dafuer zu schwach, vorallem wenn die
Kunden Hosting inklusive Skripts wollen.
Entschuldigt die Abschweifung. Ich habe zehn Wochen lang annaehernd
taeglich Internetcafes aufgesucht. Diese haben zum Teil irgendwelche
Sicherheitsmechanismen, um einen Explorer zu zaehmen. Ein PC bietet nur
ein Fenster an, der "Neues Fenster"-Button ist disabled, Workaround: Suche
eine Seite, auf der ein Link ein neues Fenster oeffnet. Wordpad laesst
sich nicht starten: Workaround: Suche eine Word-Datei und oeffne sie.
Die Liste laesst sich fortsetzen. Ich habe auch schon mal einen
Samba-Server aufgesetzt und binnen Kuerze gab es einen Link von einem
Homeverzeichnis nach /. Gerade bei Webprogrammierern ist es sehr beliebt,
Skripts etc. zwischen verschiedenen virtuellen Hosts zu teilen, indem man
SymLinks benutzt etc. Hier wuerde wahrscheinlich nichts mehr gehen, wenn
ich auch nur die Zeile FollowSymLinks auskommentieren wuerde.
Gerade der Apache ist in seiner Konfiguration sehr komplex und es ist
sehr leicht moeglich, da etwas zu uebersehen. So halte ich es fuer besser,
ein zuverlaessiges, uebersichtliches Tool wie Jails zu konfigurieren (evt.
tut es aber auch eine chroot-Umgebung, das sei hier auch erwaehnt)
Zugegegebenermassen traue ich einem erfahrenen FreeBSD-Entwickler-Truppe
mehr als meiner Ein-Mann-Show. Ja, jail(2) ist auch ein Mittel, um ein
System gegen fehlerhafte Konfiguration meinerseits zu schuetzen.
Paketfilter sind auch ganz schoen, weil man damit auch ausgehende
Verbindungen blocken kann. Wenn ich dann merkwuerdige Pakete logge, ist
auf meinem System irgendetwas, was ich nicht will;)
Und ich setze auch gern chflags ein. Es ist ein recht entspannendes
Gefuehl, zu wissen, dass ein geknackter Service noch nicht gleich das Ende
eine Logfiles ist und er auch nicht gleich Binaries ersetzt.
Read-Only-Mounts sind nicht immer ueberall die Loesung (Wenn z.B. Tomcat
Konfigurationsfiles im gleichen Verzeichnis bereithaelt, indem es beim
Starten neue anlegt, um dem Apache etwas zum "Wo bin ich?" mitzuteilen:(
Die Betriebssystem-Sicherheit ist nicht esoterisch und ein
wesentlich besserer Schutz als Restriktionen auf Applikationsebene. Ganz
sicher "verhaeltnismaessig" eingesetzt.
Gruss
Peter
To Unsubscribe: send mail to majordomo(at)de.FreeBSD.org
with "unsubscribe de-bsd-questions" in the body of the message
Received on Mon 09 Sep 2002 - 03:34:56 CEST