Re: Nun noch den Security Feinschliff

From: Peter Ross <Peter.Ross(at)alumni.tu-berlin.de>
Date: Thu, 23 Jan 2003 18:47:28 +1100 (EST)

Hi Udo,

On Thu, 23 Jan 2003, Udo Erdelhoff wrote:

> Hi,
> On Thu, Jan 23, 2003 at 12:03:06PM +1100, Peter Ross wrote:
> > Naja, zugegebenermassen habe ich ein Schlupfloch mittels ssh von einer
> > bestimmten Adresse gelassen - zum Lesen.
>
> ein Schlupfloch zu viel.
>
> > Und heutige Platten sind "leider" so gross, dass /var mir unendlich viel
> > Platz bietet, so dass ich das Rotieren in /etc/newsyslog.conf ausstellen
> > kann.
>
> Was einen Angreifer nicht davon abhalten kann, mit ein paar passenden
> rm seine Spuren zu verwischen.

Da ist doch chflags davor..

> > Bei einem Firewall, der ausreichend getestet wurde, wird man
> > gluecklicherweise nicht alle Tage aendern muessen. Das Sysyem muss man
> > auch nicht alle Tage updaten, was schert mich ein Sicherheitsloch im BIND,
> > wenn der gar nicht laeuft.
>
> AUA! Natürlich interessiert Dich ein Sicherheitsloch im BIND, auch wenn
> der nicht läuft. "Oh, guck mal, ein 4 Jahre altes BIND-Binary. Mal
> eben hochfahren und die fertigen Exploit-Scripte rausholen".

Der huebsche bind ist nicht erreichbar - dafuer sollten ipfw
oder ipfilter schon sorgen.

> Tsk, tsk, tsk...
>
> Das ist der Punkt, wo man auch darüber nachdenken, seine eigene Release
> zu bauen und vorher in /etc/make.conf alles abzuschalten, was man nicht
> braucht.

Ganz sicher. Allerdings habe ich beispielsweise den ganzen "Aussenkram"
meiner letzten Firma in Gestalt von vielen Pentium-133 gebaut, diekein
Mensch mehr auf dem Desktop haben wollte. Hier ein Nameserver, hier ein
Firewall, hier ein Webproxy etc.

Nun waren das nicht die neuesten Kisten - und da muss man schon mal mit
Ausfaellen rechnen (mal beiseite der Erfahrung, dass Rechner, die das
erste Jahr ueberlebt haben, fuenf Jahre laufen;-)

Also, die Konfigurationen einer Single-Purpose-Maschine ist simpel und
wenn eine ausfaellt, nehme ich erst einmal eine andere Kiste, schiebe die
Konfig darauf, mache einen IP-Alias, erlaube einen Service in der
Maschinen-Firewall mehr und fahre den Dienst hoch.

Muss mal dazu sagen, dass die FreeBSD-Server nur einen kleinen Teil meiner
Arbeit ausmachten, ich habe Dompteur ueber ein Solaris-Server-,
Debian-Linux- und MacOS-Classic-Netz mit selteneren, aber
nervigen MS-Einsprengseln gespielt, darfst mal raten, wieviel
Zeit ich den FreeBSD-Servern gegeben habe..

Bekanntlich sind 90% des Ergebnisses mit 10% der Zeit zu erreichen.

Keiner haette verstanden, wenn die Rechner zwar im Hochsicherheitstrakt
stehen, aber dafuer das ganze interne Netz nicht funktioniert.

Ich auch nicht.

Ich weiss, das nichts absolut sicher ist (drum sollte man allen
Kriegsspielern staendig auf die Finger hauen und das ist mir alle Mal ein
paar Arbeitsplaetze bei unseren lieben deutschen Waffenschmieden wert),
aber ich habe keine Atomraketen, sondern eine Mediafirma administriert.

Gruss
Peter

To Unsubscribe: send mail to majordomo(at)de.FreeBSD.org
with "unsubscribe de-bsd-questions" in the body of the message
Received on Thu 23 Jan 2003 - 08:45:58 CET

search this site