[linux-l] Merkwuerdiges bei SuSE-10.3

Volker Grabsch vog at notjusthosting.com
So Nov 25 14:29:01 CET 2007 

On Sun, Nov 25, 2007 at 01:33:12PM +0100, Thorsten Stöcker wrote:
> Am Sonntag, 25. November 2007 11:18 schrieb Juergen Rienaecker:
> 
> > habe bei der Interneteinwahl alle Systempartitionen ro gemounted.
> 
> Na, das ist zumindest bei den Updates eine etwas paranoide Einstellung.

ACK. Klingt für mich nach Sicherheitsverlust durch Paranoia.

> > Der Rest, d.h. /home und /tmp mit noexec und nur /var defaults.
> > Ich glaube kaum, das You da etwas installieren kann.
> 
> Nee, bei ro kann keiner was schreiben.

Mit Ausnahme des Angreifers, der (dank fehlender Security-Updates)
Root-Rechte erlangt und die Partitionen einfach wieder rw mountet,
sein Rootkit installiert, und zurück nach ro mountet.

Außerdem dürften die sensiblen Daten eher im /home als im /usr
stecken. Ein Debian/SuSE/RedHat neu aufzusetzen geht fix. Aber
wenn das Zeug im /home zerstört oder ausspioniert wird ...
Browser-History, E-Mails, ... *das* kann heikel werden.

Ein readonly-Schutz bringt daher IMHO nur etwas, wenn er hardware-
seitig erfolgt, und von der Software nicht umgangen werden kann.
Z.B. ein USB-Stick mit Schreibsperre direkt als Schalter am Stick.
Oder das System auf eine Live-CD packen und die dann booten.

> > Mit 71 Jahren vergisst man Manches, was man lange nicht gebraucht hat.
> 
> Dazu muß man nicht 71 werden, das funktioniert mit 43 auch schon sehr gut.

Mit 23 übrigens auch. ;-)

Wenn ich etwas neu erlernt habe, ist es nach ein paar Wochen/Monaten
wieder alles vergessen. Selbst dann, wenn man stundenlang dafür
recherchiert hatte. Da hilft nur eins: Dokumentieren. Was 5 Stunden
Arbeit gekostet hat, ist auch 5 Minuten Notizenschreiben wert. Vorallem,
wenn einem diese 5 Minuten später erneute 5 Stunden abnehmen werden.

Seitdem führe ich Buch über jeden Rechner, den ich neu einrichte.
Nicht ausführlich, aber stichpunktartig alle wichtigen Punkte und
vorallem alle Stolpersteine. Leider gilt das bisher nur für die
Server (eigene Server und Kunden-Server). Die Rechner zu Hause sind
leider weitestgehend undokumentiert. Wenn ich das nächste Mal einen
überarbeite oder neu aufsetze, wird aber auch dort eine Doku fällig.


Gruß,

    Volker

-- 
Volker Grabsch
---<<(())>>---
Administrator
NotJustHosting GbR

Mehr Informationen über die Mailingliste linux-l