[linux-l] Scanner unterwegs

[Steffen Dettmer]

* Sven 'Rae the Git' Grounsell wrote on Sat, Sep 11, 2004 at 13:55 +0200:
> Steffen Dettmer <steffen at dett.de> wrote:
> > Na, IMHO hätte das aber keine Aussage. Wenn z.B. der
> > Bildschirmschoner den Key nicht aus dem Agent löscht 
> 
> Ich erwaehnte bereits in einem frueheren Thread, dass man dem User
> durchaus die Faehigkeit mitzudenken und Verantwortung zu uebernehmen
> zutrauen kann, darf, sollte und manchmal sogar muss. 

Bei letzerem (muss) stimme ich Dir zu, bei ersterem (kann)
überhaupt nicht und bei mittleren (darf) "so ein bisschen" :-)

Wenn ich mir so überlege, welche Stilblüten so divere IT Leute
(den Begriff "Admin" verwende ich mal nicht, ich bin der Meinung,
dass das was ist, was man richtig lernen und üben muss)
erzeugen... Glücklicherweise führt das nicht so oft zu Problemen,
weli die Hacker (Script Kiddies) meist kam mehr Ahnung und/oder
Lust haben, und eben keine SQL injection attacks probieren etc.
Und wenn ich so überlege, wie lieblos und unprofessionell etliche
Perl und vor allem PHP Scripte sind... Na ja.

> Fatal ist es, daraus den Umkehrschluss zu ziehen und nach dem
> aktuellen Vorbild der T-Com zu sagen, dass der User per Vertrag
> verpflichtet ist, seinen Kram sicher zu halten, 

Na ja, aber dass muss man schon auch machen, zumindestens formal.
Das kann bei der komischen Gerichtsbarkeit sonst evtl. zu
interessanten Schadensersatzforderungen kommen. Diese
"Expertenverantwortung" zwingt eine Firma IMHO dazu.

> aber ich ihm meinerseits keine Methoden an die Hand gebe, die
> aufoktruierte Sicherheit auch konsequent nutzen zu koennen

Man kann ihn ja vertraglich verpflichten, dass er diese
Möglichkeiten selbst schaffen bzw. einkaufen muss.

> > > Das ist zugegebenermassen keine Hilfestellungen fuer ein
> > > bereits geknacktes System, aber es verhindert dennoch recht
> > > zuverlaessig
> > 
> > Zuverlässig? Na, reicht ja manchmal, wenn ein Patch fehlt...
> 
> Da bin ich als Admin in der Verantwortung und habe regelmaessig
> aktuelle Pakete und Patches einzuspielen.

Wenn Du das immer selbst machst, ok. Was viele wohl ungern
bezahlen. Egal, aber ich glaub, der Admin ist typischerweise das
grösste Sicherheitsrisiko, weil man eben schnell was falsch
macht. Weiterhin mag es sein, dass der Patch einfach erst 10
Minuten nach erfolgreichem Angriff verfügbar wird, dass irgendwas
damit nicht funktioniert oder komische Integrationseffekte im
Zusammenspiel entstehen. Wenn beispielsweise der neue Kernel
Deinen SCSI Kontroller nicht unterstützt, mag es sein, dass Du
Dich entscheidest, den alten solange weiterzuverwenden, bis Du
Dir selbst einen kompiliert hast (um Downzeiten zu minimieren)
etc. Na ja, ich red hier bloss Zeug, dass jedem klar ist... Kurz:
ich glaub, solange man keinen "groben Unfug" macht, ist die RSA
Schlüssellänge weniger ein Sicherheits-Problem.

> > > Aehnliches fuer die Zukunft und schliesst ssh in weiten
> > > Teilen als schwaechsten Punkt aus.
> > 
> > Ja, ich glaub, es reicht wenn man 10% sicherer ist, als der
> > Durchschnitt, weil die anderen dann die Script-Kiddies
> > beschäftigen... :)
> 
> s.o.
> 100%ige Sicherheit ist per Definition unmoeglich -

Ich schrieb ja "10% sicherer" (was mathematisch natürlich eh
Quatsch ist, klar), also vielleicht 90% im Vergleich zu den
üblichen 80%. Dann müssen die anderen 80% dran glauben. Ist wie
mit Viren. Der Durchschnittsvirus ist blöd, einfach, schlecht
getarnt, lieblos entwickelt, schlampig programmiert und
ineffizient - und infiziert trozdem Millionen von Hosts :-)

> ziehe den Netzwerkstecker, das Stromkabel und alles andere...
> und trotzdem kann noch das Haus einstuerzen und der PC ist
> unbenutzbar.

Das ist nach Datenschutzanforderungen überhaupt kein Problem
(wohl aber bei den meisten Datensicherheitsanforderungen). Ein
kaputter PC wird ja nicht gehackt :)


> Nur sollte man IMHO die Moeglichkeiten, die man hat, auch
> nutzen und seinen Usern anbieten (und ja, auch die
> Verhaeltnismaessigkeit sollte man nicht aus den Augen verlieren
> - Restriktionen, die ich im Internet unerlaesslich finde, werde
> ich bestimmt nicht in meinem LAN anwenden...)

Ja, genau, Verhältnismässigkeit ist das Problem. So ein
typtischer Windows`admin' sieht vielleicht nicht ein, auf `share
browsing' und DHCP-mit-DNS-update zu verzichten, was ich
persönlich ganz anders sehe.

> > Also, um mal zu meiner eigentlichen Frage zu kommen: ihr macht
> > dann Administration per `ssh <user>' und `su', ja?
> 
> Natuerlich, ich erlaube doch keinen ungesicherten Root-Zugriff
> per Internet - dann kann ich auch Deiner Argumentation zufolge
> gleich einen telnetd laufen lassen

Das ist natürlich Blödsinn, entschuldige mal. Zwischen `telnet'
und 1024 bit RSA liegen ja wohl Welten!

Ausserdem bin ich nach wie vor der Meinung, dass das `su' da
nicht so wahnsinnig viel bringt. Vielleicht hat dieser User gar
`.' im Pfad, weil das meintwegen SuSE so defaultmässig macht oder
weiss ich was. Dann kann ein Angreifer das `su' ganz einfach
manipulieren und hat dann auch noch das root-Klartext-Passwort...

> > Ich hatte mal sowas, aber war schlecht automatisierbar (man
> > hat am Ende Klartext-Root-Passwörter in Scripts :-), also hab
> > ich dann `ssh root at localhost' verwendet. Na, bloss wenn man
> > SSH sowieso trauen muss, kann man ja doch wieder gleich
> > root-Zugriff erlauben, oder?
> 
> Was willst Du denn da automatisieren?
> Was nicht per CronJob erledigt werden kann, kann man auch grad noch
> von Hand machen... oder man schreibt ein Script, welches root gehoert
> udn nur von diesem ausgefuehrt werden kann (Script wiederrum heisst,
> dass es in der meisten Faellen auch per Cron ausgefuehrt werden kann)

Ja, und wie installierst Du dann Dein Script? Machste dann
stundenlang ssh hierhin, su, scp (vielleicht sogar zweifach, weil
direktes SSH nicht geht), starten, logout, logout und von vorn:
ssh dorthin.... Da geht man ja kaputt... 

Das Beispiel ist jedenfalls nicht schlecht: auf alle Server ein
Script kopieren und als root starten. Oder auf allen Maschinen
ein bestimmtes RPM deinstallieren (sowas brauchte ich persönlich
öftermal).

> > Seh den Vorteil nicht so recht, ehrlich gesagt.
> 
> Nicht? Soll mir recht sein - solange es Kisten gibt, die einfacher als
> meine zu knacken sind, habe ich tendenziell gute Chancen, nicht die
> Zielscheibe eines Angriffs zu sein...

ja, genau mein Reden (siehe "10% sicherer").

oki,

Steffen

-- 
Dieses Schreiben wurde maschinell erstellt,
es trägt daher weder Unterschrift noch Siegel.