Gerhard Wendebourg schrieb: > Moin, moin, > > wie ist die Option einzuschaetzen, einen Server zu schuetzen, indem > seine aktiven Komponenten (Binary's usw.) von CD betrieben werden, um > damit die Korruption durch malware zu unterbinden? > > Logdateien usw. koennen ja weiterhin auf HD geschrieben werden: sie > koennen wohl keine Schaeden verursachen. > > Wenn das System vorher in einem sicheren "Inkubator" gebaut wurde, also > ohne Angriffen aus dem Netz ausgesetzt zu sein, und dann auf CD gebrannt > wird, laesst sich dadurch nicht moeglicherweise ein gesteigertes Mass an > Sicherheit und geringerem Pflegeaufwand erreichen? (auch wenn denn hin > und wieder ein neuer Security-Update gebrannt werden muss..). Wenn du wirklich "paranoid" sein willst dann solltest du die ein BSD (netBSD z.B.) aufsetzen und den Secure Level nach der Installation hochdrehen. Das ist die einzige Möglichkeit das ganze richtig sicher zu kriegen. (Abgesehen von Fehlern im BSD Kernel natürlich) Das ganze ist vom Grundaufbau schon sehr ordentlich. Von CD basierten Lösungen halte ich wenig, wegen der angesprochenen Upgrade Problematik. Eine "relativ sichere" Möglichkeit ist: System auf CD /etc/ kommt von schreibgeschütztem Floppy Die SuSE "Feierwall" (SCNR) macht das so. Da ist wenigstens ein physischer Schutz gegen beschreiben der Configs gegeben, solange man nicht die Diskette allzu lange beschreibbar lässt. Damit hat man aber keinen Schutz, gegen Eindringlinge. Drauf kommen sie trotzdem aber nicht für lange. Das kann aber für wichtige Daten trotzdem tödlich sein. Lieber mit der Gefahr leben und das Risiko aktiv minimieren, indem man unnütze offene Ports vermeidet, ebenso wie Bugschleudern (Da findet sich fast immer ein Ersatz, mit weniger Sicherheitslöchern). -- Bye, Patrick Cornelissen
Attachment:
signature.asc
Description: OpenPGP digital signature