[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: Dienste "beschraenken"



Hallo Jens,

At 02.02.2002, Jens Benecke wrote:
> On Sat, Feb 02, 2002 at 12:54:00AM +0100, Guido Hennecke wrote:
[...]
> > Gute Frage. Warum Debian und nicht OpenBSD?
> Oh, ganz einfach. Weil ich mich mit Debian auskenne, mit OpenBSD nicht.

So kann es auch mit Bind sein. Lieber Bind bei jemandem, der sich damit
auskennt als djbdns bei einem Typ, der von Tuten und Blasen keine Ahnung
hat.

> Wie du schon ganz treffend sagtest, ist die theoretische Sicherheit eines
> Systems nutzlos bei jemandem, der sich nicht damit auskennt.

Eben.

> Soweit ich weiss basiert der "Sicherheitsmythos" um OBSD hauptsächlich
> darauf, daß "by default" so gut wie gar nichts an Diensten läuft.

Auch. Nicht nur. Aber Bei OpenBSD ist sendmail default (wenn auch nicht
als Daemon). Und sendmail hat nicht unbedingt den Ruf sehr sicher zu
sein.

> Das
> kriege ich beim Debian-Installieren auch hin: Vor tasksel abbrechen und
> danach nur noch die absolut nötigen Pakete installieren.

Das war mein Argument gegen Smoothwall.

> > Also mein Bind laeuft auf einem alten 80486'er mit 40 MB neben einem
> > Squid, Inn2, Exim und noch vielem mehr. Keine Probleme und als root
> > laeuft der auch nicht.
> "Es geht immer irgendwie".

So war das nicht gemeint. Du kannst auch djbdns mit UID 0 laufen lassen.

Das Hauptproblem ist nicht die Software sondern der, der sie einrichtet
und betreibt.

> Die Frage ist, rechtfertigt das den Aufwand.

Genau. Aber was ist fuer den Betrieb alles noetig?

> Wenn ich die Wahl habe zwischen einem Programm, das by default sicher
> konfiguriert ist, und einem, das das nicht ist, und die Unterschiede
> ansonsten nicht markant sind, dann wähle ich das erste.

Und landest am Ende bei djbdns. Das ist bestimmt eine gute Wahl aber
nicht unbedingt in jeder Umgebung.

djbdns ist leider nicht RFC konform. Genauergesagt, es untersteutzt
nicht alle Features, die in den entsprechenden RFCs beschrieben sind.
Jetzt haengt es von deiner Umgebung ab, ob das eine Rolle spielt oder
nicht.

> Daher qmail statt sendmail, daher tinydns statt bind, usw.

Das ist so pauschal schlicht falsch.

Gruss, Guido

Attachment: pgp4socet0TxO.pgp
Description: PGP signature


Reply to: