Re: jail und Resourcen

From: Bernd Walter <ticso(at)cicely5.cicely.de>
Date: Mon, 9 Sep 2002 10:37:11 +0200

On Mon, Sep 09, 2002 at 10:15:12AM +0200, Peter Ross wrote:
> Hallo Matthias, hallo Bernd,
>
> ich kann da nur bedingt zustimmen.
>
> Paketfilter: Hier existieren Webserver, die mit Round-Robin-DNS
> arbeiten und hinter sich einen File- und DB-Server haben. Da die
> Web-Server nur ein Interface haben (Schlag mich nicht, ich kann nur
> nehmen, was ich vorfinde und mir nicht einfach etwas wuenschen), sieht man
> also die entsprechenden Dienste "aussen". Natuerlich kann ich mysql

vlan(4) - geeigneter Switch vorausgesetzt.
Eine geeignete Netzkarte, um die MTU auf 1500 zu halten wäre auch
Sinnvoll.

> z.B. sagen, dass es sich nur mit den Webservern unterhalten soll. Die
> Sicherheit auf Applikationsebene verhindert aber ja z.B. nicht, dass
> vollstaendig "irre" oder gefakte Pakete die Applikation erreichen, und
> diese zum Wackeln bringen, Ein Paketfilter verhindert Mysql-, NFS..Pakete und
> erhoeht die Sicherheit dieses File- und DB-Servers. Mal abgesehen davon,
> dass ich z.B. mit NAT und Verteilen von TCP-Sessions mit IPFilter noch
> andere Dinge machen kann.

Die NFS Umgebung hast du uns verschwiegen, da würde ich auch Filtern.

-- 
B.Walter              COSMO-Project         http://www.cosmo-project.de
ticso(at)cicely.de         Usergroup           info(at)cosmo-project.de
To Unsubscribe: send mail to majordomo(at)de.FreeBSD.org
with "unsubscribe de-bsd-questions" in the body of the message
Received on Mon 09 Sep 2002 - 10:37:19 CEST

search this site