[linux-l] Slightly off topic: Jagd auf Spam

Steffen Dettmer steffen at dett.de
Do Okt 30 09:59:03 CET 2003


* Peter Ross wrote on Thu, Oct 30, 2003 at 11:31 +1100:
> Beispiel Firewall. Wenn ich erst einmal alles zumache, und dann successive
> durchlasse, was ich brauche, sieht das einigermassen passabel aus.

Dann machste HTTP auf, weil wget für chkrootkit.tgz gehen soll.
Damit kannste schon fast alle ports aufmachen. Notfalls tunnelt
sich der Angreifer seine Daten eben durch irgendwas. Notfalls
durch das QOS Feld eines PING paketes :)

> Zum Spammen brauchst Du Port 25. Der ist beim Apachen totgelegt. 

Oder man findet einen Bug. Wenn man keine Bugs annimmt, braucht
man ja auch keine Firewall, solangs tcp-wrapper oder irgendsowas
da ist.

> BTW: Der Apache wird einem Administrator leider haeufig aufgedraengelt.
> Mich begeistert dieses Teil nicht gerade..

Ich kann mit dem Teil ganz gut leben.

> Das Web war halt zum Verknuepfen von Inhalten gedacht. Der ganze
> Commerce-WWW-Kram ist eher ein Betriebsunfall..

Hach, schön ausgedrückt :-) Dann kam PHP, und aus dem Unfall
wurde ein Massensterben :)

> WWW wird fuer vielees verwendet, fuer das es nicht optimal ist. Nicht
> einmal fuers Layouten. Gucke Dir doch die siebenfach verschachtelten
> Tabellen und die 1 Pixel breiten GIFs an. Das kann eigentlich nur im
> Anflug vollstaendiger geistiger Umnachtung ausgedacht worden sein.

Typischer Fall von "auf der falschen Ebene gefixtes Problem",
finde ich.

> Deshalb gehoeren auf den Apachen auch nur die Daten, die gebraucht
> werden. Bzw. der Zugang zur DB, auf der die Daten liegen.

Na ja, oft sind die DBs aber nicht liebevoll gemacht. Da gibt's
dann nur einen User (für Web und Admin am besten noch den
gleichen), keine Regeln, keine Trigger und nix. LAMP, weißte :)

[Resourcen]
> Fuer meine Rechner schon. Und selbst das hilft Dir nicht.. Root oeffnet
> Dir keine Ports, und Root kann nur auf Filesysteme schreiben, die noexec
> sind.

d.h. also, ein User darf keine Packete rauschicken? Kein DNS,
kein PING, kein HTTP / FTP, nichts geht raus? Fetzt. Klingt sehr
aufwendig. Wenn Du nicht mal irgendwas vergessen hast. Vielleicht
geht port 22 -> highport auswärts oder sowas. Vielleicht muß man
ein RST Packet senden. Aber dann braucht man immerhin schon root,
und das ist schon mal ne Menge.

> > Wie ist es mit DNS?
> 
> Haeufig disabled. Viele Server brauchen keines.

Wie geht das? Ich hab überall DNS und brauch das auch. mmm...

> Deine Frageliste ist in etwa die, die man hat, wenn man einen Rechner oder
> Netz absichert.

Yo, stimmt. Nur ist das IMHO in der Praxis oft nicht so einfach
(oder teuer).

> Eine MS-Windows-Firewall gibt es und braucht eine Unmenge RAM. Wenn das
> kein Beweis fuer einen eklatanten KISS-Verstoss ist.. und KISS ist im
> Bereich Security der einzige sinnvolle Ansatz.

Find ich auch. 

oki,

Steffen

-- 
Dieses Schreiben wurde maschinell erstellt,
es trägt daher weder Unterschrift noch Siegel.




Mehr Informationen über die Mailingliste linux-l