© 1995-2013 by The FreeBSD Project. All rights reserved.URL: http://lists.de.freebsd.org
On Tue, Jan 30, 2007 at 03:08:09PM +0100, Marian Hettwer wrote:
> Bernd Walter schrieb:
> >On Tue, Jan 30, 2007 at 12:42:44PM +0100, Marian Hettwer wrote:
> >Wenn man wirklich derartige Software einsetzen muss, dann sollte man
> >die in der Tat auch gut isolieren.
> ACK. mod_security hat da eine wahre Masse an Rules um phpBB zu sichern
> (is gar nicht schön...)
Die klassischen Workarounds für Kundenwünsche.
> >Wie auch immer - es schaded auf einem Server nicht einen Packetfilter
> >zu installieren, selbst wenn man den nicht konfiguriert.
> >Es kommt nicht selten vor, dass man plötzlich den Wunsch hegt bestimmte
> >IPs zu sperren oder sonst wie auf Packetebene besonders zu behandeln.
> >
> ACK.
>
> Aber da es unter Free und OpenBSD wahrlich kein Problem ist, sogar mit
> dem GENERIC Kernel, packet filter seine Wahl zu benutzen, wäre die Frage
> des "installierens" obsolet.
Ja - nur ist der default_deny vom ipfw Modul schon ein wenig unbequem.
Ich habe das lieber als default_accept im Kernel drin - ein Risiko
weniger.
> Ich gehe mal von einer Standardinstallation auf einem Standardserver
> aus. Keine kleinen embedded geschichten wo man um jedes byte feilschen
> muss :-)
Kleine embedded sind zu klein für FreeBSD, alles andere ist groß genug
zum Spaß haben.
Auf meinen ARM packe ich auch alles mögliche default in den Kernel mit
rein - man weiß ja nie.
Notfalls gibt es natürlich immer noch Module, aber die benutze ich eher
selten.
-- B.Walter http://www.bwct.de http://www.fizon.de bernd(at)bwct.de info(at)bwct.de support(at)fizon.de To Unsubscribe: send mail to majordomo(at)de.FreeBSD.org with "unsubscribe de-bsd-questions" in the body of the messageReceived on Tue 30 Jan 2007 - 16:53:45 CET