[linux-l] Re: [linux-l] RE: [linux-l] Filesystem /usr teilweise hinüber

[Thomas Knop]

* Oliver Beck <manofwar at web.de> [09.03.04 18:54]:
> On Mon, 8 Mar 2004 07:30:43 +0100 (MET)
> "Steffen Karge" <Karge.Steffen at gmx.de> wrote:
> 
> > Nee, nee, da habe ich mich nur missverständlich ausgedrückt. Er soll
> > zwar Compilieren, aber nur seinen eigenen Kernel. Natürlich nicht als
> > Serverdienst.
> 
> Ja, den Kernel kannst Du auch auf Deinem Rechner kompilieren und ihn
> dann auf den Server übertragen. Dazu benötigst Du keinen Compiler auf
> dem Server. Somit ist es (theoretisch) möglich, mittels PHP oder Perl
> und den 'system()'-Funktionen ein Formular zu basteln, was dann
> Binär-Code bastelt, der dann möglicherweise den httpd, ftpd, 'foobar'd
> kompromittiert, was sicher nicht gewünscht ist.
Dann sorge doch einfach dafür dass deine Serverdienste sicher sind.
In dem Augenblick, wo ein nicht dafür vorgesehener User auf deinem
Server system() aufrufen kann, hast du verloren ... Compiler
hin oder her.

> M.E. hat auf einem Produktivsystem ein Compiler nichts zu suchen.
Kommt auf die Definition des Produktivsystems an.

> Zumindest sollte er, mittels speziellen Sicherheitslösungen (ACL's,
> GRsec, etc.), abgesichert von den 'Normalaufgaben' des Server sein.
Einen Compiler mit grsec(urity patch) absichern, hä?

Also meine privaten "Produktivsysteme" (z.B. maxrelax.de) basieren auf
LFS, welches von mir sorgfeltig gepflegt wird. Ein compiler ist da 
absulute Notwendigkeit.

Gruss Thomas