Hallo Gerhard, Am Donnerstag, den 19.10.2006, 04:36 +0200 schrieb Gerhard Wendebourg: > wie ist die Option einzuschaetzen, einen Server zu schuetzen, indem > seine aktiven Komponenten (Binary's usw.) von CD betrieben werden, um > damit die Korruption durch malware zu unterbinden? Nicht alles, was technisch möglich ist, ist auch sinnvoll. > Logdateien usw. koennen ja weiterhin auf HD geschrieben werden: sie > koennen wohl keine Schaeden verursachen. Man könnte die Logs auch über einen Loghost sichern, so dass gar nichts auf dem Server selbst gespeichert werden muss. > Wenn das System vorher in einem sicheren "Inkubator" gebaut wurde, also > ohne Angriffen aus dem Netz ausgesetzt zu sein, und dann auf CD gebrannt > wird, laesst sich dadurch nicht moeglicherweise ein gesteigertes Mass an > Sicherheit und geringerem Pflegeaufwand erreichen? (auch wenn denn hin > und wieder ein neuer Security-Update gebrannt werden muss..). > > Ich verzichte ggf. lieber auf etwas Performance (liegen die wichtigsten > Prozesse nicht ohnehin im RAM?), als mich mit der Jagd nach Rootkits & > Co. und aehnlichen Unwaegbarkeiten abzunerven. Also ich würde sagen, dass Ganze ist stark vom Einsatzgebiet abhängig. Eine Firewall z.B. könnte man so betreiben, da da nicht viel am System geändert werden muss. Allerdings würde ich das nicht über eine CD machen. Für sowas würde ich von einem USB-Stick booten, bei dem man den Schreibzugriff per Schalter abstellen kann. Dann könnte man das System auch bequemer pflegen. Die Regeln könnten in kompilierter Form im RAM liegen und beispielsweise durch sowas wie fwbuilder erstellt und gewartet und verteilt werden. (Es gibt sowas schon als fertiges Produkt zu kaufen, und nein, ich habe nichts damit zu tun ;) Einen Server so zu betreiben halte ich, je nach Einsatzgebiet, ehrlich gesagt, für etwas zu paranoid. Je nachdem was das Teil leisten soll, bist Du darauf angewiesen, das irgendwo Schreibzugriff besteht. Z.B. dynamische Webseiten, Mailserver und so weiter. *IMHO ist es weitaus gefährlicher, dass jemand in eine Applikation wie ein unsicheres PHP-Projekt einbricht und dann versucht zu Spammen oder IRC-Botszu installieren, als dass jemand mit einem Rootkit die Maschiene übernimmt. Du müsstest dann sowieso die Ganzen Datenverzeichnisse entsprechend ausmisten. Mit einem vernünftigen Konzept aus Firewall, abgeschalteten Diensten, Logüberwachung, Tripwire und so weiter hats Du einen recht geringen Aufwand den Server zu betreiben (wenn erstmal alles eingerichtet ist). Eine Sicherheitsgarantie gibt es eh nicht. Wenn Du Spass dran hast, kannst Du gewisse Dienste noch über Portnocking absichern (knockd ud knocker). Ist nicht aufwendig, gehört aber wohl in die Kategorie "Security by Obscurity". Ist Geschmackssache. Zumindest kann man sich so gegen die SSH-Scriptkiddies wehren. Greetz, Andre -- BOFH-excuse of the day: operation failed because: there is no message for this error (#1014)
Attachment:
signature.asc
Description: Dies ist ein digital signierter Nachrichtenteil