Re: jail und Resourcen

From: Peter Ross <Peter.Ross(at)alumni.tu-berlin.de>
Date: Mon, 9 Sep 2002 10:15:12 +0200 (MET DST)

Hallo Matthias, hallo Bernd,

ich kann da nur bedingt zustimmen.

Paketfilter: Hier existieren Webserver, die mit Round-Robin-DNS
arbeiten und hinter sich einen File- und DB-Server haben. Da die
Web-Server nur ein Interface haben (Schlag mich nicht, ich kann nur
nehmen, was ich vorfinde und mir nicht einfach etwas wuenschen), sieht man
also die entsprechenden Dienste "aussen". Natuerlich kann ich mysql
z.B. sagen, dass es sich nur mit den Webservern unterhalten soll. Die
Sicherheit auf Applikationsebene verhindert aber ja z.B. nicht, dass
vollstaendig "irre" oder gefakte Pakete die Applikation erreichen, und
diese zum Wackeln bringen, Ein Paketfilter verhindert Mysql-, NFS..Pakete und
erhoeht die Sicherheit dieses File- und DB-Servers. Mal abgesehen davon,
dass ich z.B. mit NAT und Verteilen von TCP-Sessions mit IPFilter noch
andere Dinge machen kann.

> Warum verschlüsselst Du die Kundendatei nicht einfach? Das schützt
> sogar vor dem neugierigen Hilfsadmin.

Ich schreibe nicht die Applikation. Das tut der Kunde. Und der erwartet
sicher, dass ihm keiner in die Karten guckt. Sicher erhoeht es definitiv
seine Sicherheit, aber das ist nicht mein Part.

> > Gerade der Apache ist in seiner Konfiguration sehr komplex und es ist
> > sehr leicht moeglich, da etwas zu uebersehen. So halte ich es fuer besser,
> > ein zuverlaessiges, uebersichtliches Tool wie Jails zu konfigurieren (evt.
>
> Das ist genau der Punkt der solche Tools wie jail so gefährlich macht.
> Sie geben einem ein wohliges Gefühl das aber in Wirklichkeit nicht
> existiert. Man braucht keine Planung, man muß die Konfiguration nicht
> verstehen, einfach jail drum und »secure mode on«. Glaube mir, erst
> wenn Du ohne jail auskommst, solltest Du eine jail benutzen.

Fast richtig. Wie schon erwaehnt, mache ich gelegentlich Fehler (der mit
den SymLinks kommt bestimmt nicht nochmal, ist auch schon ein bisschen
her;) und gerade Apache inklusive Perl, PHP etc. ist reichlich komplex.

Sowohl Paketfilter als auch Jails, Chroot etc., sind, fuer mich durchaus
vertrauenswuerdige Werkzeuge. Ums mal etwas grob zu sagen, der Apache ist
das sendmail von heute, gross genug, um hier und da unsauber zu sein, und
nicht abgehangen genug, damit man alle Fehler gefunden hat (im Gegensatz
zu sendmail, da duerften inzwischen schon 745000 Augen druebergeguckt
haben und gelernt haben die Entwickler auch;-)

Doppelt genaeht haelt einfach besser..

Das heisst ja nicht, dass ich "hinten" Chaos herrschen lassen will.

Gruss
Peter

To Unsubscribe: send mail to majordomo(at)de.FreeBSD.org
with "unsubscribe de-bsd-questions" in the body of the message
Received on Mon 09 Sep 2002 - 10:15:37 CEST

search this site