[linux-l] Re: DB's im www

Olaf Radicke olaf_rad at gmx.de
Fr Dez 22 12:50:28 CET 2006


Am Freitag, 22. Dezember 2006 08:25 schrieb Rocco Rutte:
> Hi,
>
> * Olaf Radicke [06-12-21 14:15:27 +0100] wrote:
> >Wie sind den so die überlebens Chancen einer Postgres Datenbank,
> > wenn man sie direkt in Internet hängt? (Ein duzend Accounts mit md5
> > Authentifizierung).
>
> Warum sollte man sowas tun? Wenn sich eh nur bestimmte User anmelden
> dürfen, reicht doch bestimmt auch ein SSH-Tunnel auf die Maschine?

Die User verwenden ein Klienten, der die Npgsql-lib verwendet. Die User 
verwenden zu 95% Windows und haben bis zum heutigen Tag noch nicht 
verstanden, warum man nicht als root im Internet surf. Selbige User 
sind völlig unbelehrbar. Stundenlange Referate über Sicherheit werden 
direkt nach /dev/null gepipet.

> _Muss_ die DB denn wirklich öffentlich zugänglich sein oder ist es
> nur bequemer so?
>
> Damit schläfst du (IMHO) nicht nur wegen Postgres selbst etwas
> unruhig, sondern auch, weil man damit beliebig schlimme DOS-Szenarien
> aller Art sehr leicht verursachen kann 
[...]
> Außerdem ist MD5 ziemlich schnell, d.h. BruteForce auf Passwörter ist
> vergleichsweise schnell auf schnellen Maschinen.

Ja. Das ist auch (im gewissen Sinne) so gewollt. die Sitzungen werden 
nur für eine einzige SQL offen gehalten. Dadurch ist es nötig das der 
Login schnell geht. 

Ich denke ein VPN würde noch in die engere Wahl kommen.

Gruß
Olaf




Mehr Informationen über die Mailingliste linux-l