[linux-l] Re: DB's im www
Rocco Rutte
pdmef at cs.tu-berlin.de
Fr Dez 22 08:25:49 CET 2006
Hi,
* Olaf Radicke [06-12-21 14:15:27 +0100] wrote:
>Wie sind den so die überlebens Chancen einer Postgres Datenbank, wenn
>man sie direkt in Internet hängt? (Ein duzend Accounts mit md5
>Authentifizierung).
Warum sollte man sowas tun? Wenn sich eh nur bestimmte User anmelden
dürfen, reicht doch bestimmt auch ein SSH-Tunnel auf die Maschine?
_Muss_ die DB denn wirklich öffentlich zugänglich sein oder ist es nur
bequemer so?
Damit schläfst du (IMHO) nicht nur wegen Postgres selbst etwas unruhig,
sondern auch, weil man damit beliebig schlimme DOS-Szenarien aller Art
sehr leicht verursachen kann (wenn man z.B. ein Passwort errät, oder
Connections in Log wandern und Logs nicht schnell genug rotiert werden,
wenn man einmal "drin" ist legt man die Kiste schnell mit SQL lahm,
etc.)
Außerdem ist MD5 ziemlich schnell, d.h. BruteForce auf Passwörter ist
vergleichsweise schnell auf schnellen Maschinen.
Klar, du brauchst jemanden, der sich die Zeit nimmt, dein System
anzugreifen. Aber dass Botnetze es bisher nicht probiert haben, heisst
ja nicht, dass es ein böser Mensch nicht doch tun würde...
bye, Rocco
--
:wq!
Mehr Informationen über die Mailingliste linux-l