Serversicherheit [was: RE: [linux-l] Filesystem /usr]

Oliver Beck manofwar at web.de
Di Mär 9 23:06:46 CET 2004 

On Tue, 9 Mar 2004 19:38:07 +0100
Thomas Knop <tknop at maxrelax.de> wrote:


> * Oliver Beck <manofwar at web.de> [09.03.04 18:54]:
> 
> Dann sorge doch einfach dafür dass deine Serverdienste sicher sind.

Es gibt genügend Fehler in Programmen, die nicht bzw. spät auf den
einschlägigen ML's/UG's veröffentlicht werden. 
Was nützt es mir also, wenn ich ein im Grunde sicheren Serverdienst zu
laufen habe, ich aber von dem Fehler im Programmcode selbigem nichts
weiß. Sei es nun aus nicht-Information oder weil ich die ML/UG nicht
abonniert habe, wo dieser Fehler beschrieben wurde.

Ich für meinen Teil warte ungern auf solche Meldungen und versuche im
Vorfeld schon die Möglichkeiten, ein Programm zu missbrauchen, zu
minimieren. GRsec, mit der PAX-Implementierung, den chroot-Jails und
fein abgestimmten ACL's, macht es einen potenziellen Angreifer aber um
einiges schwieriger auf meinen System Unfug zu treiben.

> In dem Augenblick, wo ein nicht dafür vorgesehener User auf deinem
> Server system() aufrufen kann, hast du verloren ... Compiler
> hin oder her.

Wo liegt die Definition von 'nicht vorgesehener User'?
Im Grunde dürfte es _keinem_ User erlaubt sein, mittels Scripte system()
zu nutzen. Das der Aufruf des Compilers nun über system() geschieht, war
meinerseits nur ein Beispiel.


> > M.E. hat auf einem Produktivsystem ein Compiler nichts zu suchen.
> Kommt auf die Definition des Produktivsystems an.

Nunja, das mag alles im Auge des Betrachters liegen. 


> Einen Compiler mit grsec(urity patch) absichern, hä?

Nein, da habe ich mich ungünstig (um nicht zu sagen 'blöd') ausgedrückt.
Ich meinte vielmehr, das System, also den Kernel an sich, mittels ACL's
und/oder GRsec patchen und diese geschickt wählen/verwalten/einstellen.

> Also meine privaten "Produktivsysteme" (z.B. maxrelax.de) basieren auf
> LFS, welches von mir sorgfeltig gepflegt wird. Ein compiler ist da
> absulute Notwendigkeit.

Ich habe selbst meine Firewall mit LFS aufgesetzt. Wenn ich dort
Aktualisierungen durchführe, mache ich das auch nicht auf der Firewall,
sondern kompiliere auf meiner Workstation und übertrage die Kompilate
(günstig verpackt in ein Paketmanagment) auf die Firewall und
installiere sie.

> Gruss Thomas


MfG/Best Regards Oliver Beck

-- 
 /"\ -ASCII-Ribbon-Campaign- |
 \ /    Against HTML Mail    | -Linux on an VIA EPIA-M9000-
  X                          |    http://epia.std-err.de
 / \                         |        (german only)

Mehr Informationen über die Mailingliste linux-l