[linux-l] Slightly off topic: Jagd auf Spam

[Peter Ross]

Hallo Jan,

es gibt ja einiges..

- Geladener Code darf nicht veraendert werden -
  Kompilieren des Systenms und der Programme mittels gcc mit
  ReadOnly-Code-Bereichen (OpenBSD)

- Programme und Konfigurationen auf der Platte (oder wo immer)
  schreibgeschuetzt ReadOnly-Mounts von /, /usr, /etc,
  chflags(1) zum Sichern der Dateien vor Rootveraenderungen
  (Unveraenderbarkeit durch Securelevel)

- Intruder Detection Systeme (ja, TCPA kann helfen, das Problem damit ist
  ein anderes - Stichwort "Dual Use")

- Sicherung von Diensten in jails und chroot-Environments

- Laufen der Dienste mit Rechten normaler, unterschiedlicher Nutzer

- Dichtzurren nichtbenoetigter Ports mit Firewallskripts

- ...

Die Kombination solcher Mittel fuehrt schon sehr weit. Um mit so einem
Rechner etwas anzustellen, musst Du ein halbes Dutzend Sicherheitsluecken
haben, um soweit zu kommen, dass Du tun und lassen kannst, was Du willst.

Die Frage hier ist, wieweit kannst Du das noch so gestalten, dass nicht
der Nutzer zwei Jahre braucht, bis der Rechner ans Netz geht..

Der realexistierenden Welt waere schon geholfen, wenn die Rechner nach
aussen "dicht" sind. Ein gewoehnlicher PC-Nutzer bietet erst einmal keine
Dienste an, da reicht es, wenn alle Daemonen auf dem Loopbackinterface
horchen und Setup-Packete von einem Firewall eingehend gedropt werden, und
ausgehend nur das aufgemacht wird, was der Anwender will.

Die Spammer im genannten Text waeren da schon dran gescheitert.

Gruss
Peter