On Wed, Aug 14, 2002 at 02:44:40PM +0200, Markus Werner wrote: > > Macht harden das gleiche wie OpenBSE? Vermeidung von > > Sicherheitslücken durch Entfernung jeglicher Funktionalität? > s/E/D/ Hmmm... du scheints da eine sehr vorgefertigte Meinung zu > haben. Woran liegt das ? Guck dir ein "default install" von OpenBSD an. Kein Wunder, daß da bis vor kurzem nichts anzugreifen war, es wurde einfach nichts installiert. Ich halte das für besser als "by default" 10.000 Dienste zu aktivieren, die keiner braucht, aber eine _Lösung_ ist das nicht. z.B. der "ultrasichere" openbsd-ftpd, der so gut wie nichts kann. Zugegeben, proftpd ist sicherheitstechnisch nicht sonderlich top, aber was nützt mir das, wenn kein anderer ftp-server die benötigten Features hat? > BTW Was ist so schlimm an OpenBSD? Die Philosophie, bzw. was daraus geworden ist. Insbes. seit der openssh-Schlappe. > Man muss immer abwegen zwischen Sicherheit und comfort. Was dir > wichtiger ist musst du entscheiden. Klar. > > Daß licq entfernt wird, damit kann ich leben, aber daß der NFS > Auf einen Server hat das überhaupt nichts zu suchen! Einen Server"hardening" Dienst hat ein Programm, welches weder suid root läuft noch als Server dient, nicht zu interessieren. Nicht daß licq auf dem Rechner unbedingt erforderlich gewesen wäre (es ist aber: ich will licq-console per ssh benutzen können, von aussen), aber warum ist denn nicht auch gleich gcc rausgeflogen? Compiler haben auf Servern auch nix zu suchen. > NFS sollte IMHO auch auf keinem Host laufen der von Internet her > erreichbar ist. Und woher weiss harden, daß mein Rechner vom Internet her erreichbar ist? Und woher weiss harden, was *ich* von meinem Rechner erwarte? NFS über SSL existiert, you know. > > und der FTP Server entfernt wird, damit definitiv NICHT. Und > > "apt-cache show harden" erklärt auch nicht, warum diese Pakete raus > > sollen. > Lese dir doch mal Grundsätzliches zum Thema Sicherheit durch und du > wirst wissen warum.;-) Ich glaube nicht, daß ich in der Hinsicht blutiger Anfänger bin. > Aber in der Tat könnte man dem Maintainer vorschlagen einen > entsprechenden Link in die Beschreibung mit aufzunehmen.:-) harden sieht für mich entweder nach einem _sehr_ frühen Stadium aus oder nach einem mehr oder weniger zufällig zusammengewürfelten Haufen von Regeln, die der Maintainer für nett hält und damit anderen Leuten vorschreiben will. Gibt es einen _TECHNISCHEN_ Grund, warum licq nicht da sein soll? Ich sehe das konkrete Sicherheitsproblem da nicht - ich sähe aber eins bei gcc, denn ein Compiler ist immer sehr praktisch für das Injizieren fremden Codes und das Erzeugen von morphenden Würmern usw, sobald der Eindringling seine Shell hat. -- mfg, Jens Benecke /// http://www.linuxfaq.de, http://www.linux.ms This mail is an attachment? Read http://www.jensbenecke.de/misc/outlook.html http://www.hitchhikers.de - Die größte kostenlose Mitfahrzentrale im Internet
Attachment:
pgpn3ZJgwFgxC.pgp
Description: PGP signature