[linux-l] Re: DB's im www

[Rocco Rutte]

Hi,

* Olaf Radicke [06-12-21 14:15:27 +0100] wrote:

>Wie sind den so die überlebens Chancen einer Postgres Datenbank, wenn 
>man sie direkt in Internet hängt? (Ein duzend Accounts mit md5 
>Authentifizierung).

Warum sollte man sowas tun? Wenn sich eh nur bestimmte User anmelden 
dürfen, reicht doch bestimmt auch ein SSH-Tunnel auf die Maschine?

_Muss_ die DB denn wirklich öffentlich zugänglich sein oder ist es nur 
bequemer so?

Damit schläfst du (IMHO) nicht nur wegen Postgres selbst etwas unruhig, 
sondern auch, weil man damit beliebig schlimme DOS-Szenarien aller Art 
sehr leicht verursachen kann (wenn man z.B. ein Passwort errät, oder 
Connections in Log wandern und Logs nicht schnell genug rotiert werden, 
wenn man einmal "drin" ist legt man die Kiste schnell mit SQL lahm, 
etc.)

Außerdem ist MD5 ziemlich schnell, d.h. BruteForce auf Passwörter ist 
vergleichsweise schnell auf schnellen Maschinen.

Klar, du brauchst jemanden, der sich die Zeit nimmt, dein System 
anzugreifen. Aber dass Botnetze es bisher nicht probiert haben, heisst 
ja nicht, dass es ein böser Mensch nicht doch tun würde...

   bye, Rocco
-- 
:wq!