Re: Server gehackt????
On Wed, 14 Aug 2002, Jens Benecke wrote:
Moin Jens,
> Ich halte das für besser als "by default" 10.000 Dienste zu aktivieren,
> die keiner braucht, aber eine _Lösung_ ist das nicht.
Aber lieber ist defaultmässig wenig drauf und man muss dann bei bedarf
nach installieren, als umgekehrt.
>
> z.B. der "ultrasichere" openbsd-ftpd, der so gut wie nichts kann.
> Zugegeben, proftpd ist sicherheitstechnisch nicht sonderlich top, aber
> was nützt mir das, wenn kein anderer ftp-server die benötigten Features
> hat?
Solange man die Vorteile und Nachteile gegeneinander abgewogen hat ist das
auch OK.
> > BTW Was ist so schlimm an OpenBSD?
>
> Die Philosophie, bzw. was daraus geworden ist. Insbes. seit der
> openssh-Schlappe.
Bei der Philosophie stimme ich dir zu.
> Einen Server"hardening" Dienst hat ein Programm, welches weder suid root
> läuft noch als Server dient, nicht zu interessieren. Nicht daß licq auf
Hmmm...
Ich vertrete die Meinung das auf einem Server nur Programme drauf sein
müssen die man auch wirklich braucht.
> dem Rechner unbedingt erforderlich gewesen wäre (es ist aber: ich will
> licq-console per ssh benutzen können, von aussen), aber warum ist denn
icq auf nem Server hälte ich nicht für sinnvoll, aber du wirst schon für
dich die richtige Entscheidung getroffen haben.
> nicht auch gleich gcc rausgeflogen? Compiler haben auf Servern auch nix
> zu suchen.
GCC hat auf einem Server rein gar nichts zu suchen, da gebe ich dir
absolut recht.
> > NFS sollte IMHO auch auf keinem Host laufen der von Internet her
> > erreichbar ist.
>
> Und woher weiss harden, daß mein Rechner vom Internet her erreichbar
> ist? Und woher weiss harden, was *ich* von meinem Rechner erwarte?
IMHO solltest du gefragt werden.
>> NFS über SSL existiert, you know.
I Know, aber nur wenn sich der Client mit einem Cert authentifizieren muss
bevor eine Verbindung zum NFS Server erlaubt, ansonsten macht es den NFS
Server nicht wirklich sicherer.
Ich kenne allerdings nicht die genaue Implemtierung.
>
> > > und der FTP Server entfernt wird, damit definitiv NICHT. Und
> > > "apt-cache show harden" erklärt auch nicht, warum diese Pakete raus
> > > sollen.
> > Lese dir doch mal Grundsätzliches zum Thema Sicherheit durch und du
> > wirst wissen warum.;-)
>
> Ich glaube nicht, daß ich in der Hinsicht blutiger Anfänger bin.
Es tut mir leid das ich aus deinem Posting geschlossen habe das du nicht
so tief in der Materie steckts.
Ich wollte dir in keinster Weise zu nahe treten.
>
> > Aber in der Tat könnte man dem Maintainer vorschlagen einen
> > entsprechenden Link in die Beschreibung mit aufzunehmen.:-)
>
> harden sieht für mich entweder nach einem _sehr_ frühen Stadium aus oder
> nach einem mehr oder weniger zufällig zusammengewürfelten Haufen von
> Regeln, die der Maintainer für nett hält und damit anderen Leuten
> vorschreiben will.
>
Kann ich nichts zu sagen, da ich mich mit harden für Debian noch nicht
näher beschäftig habe.
> Gibt es einen _TECHNISCHEN_ Grund, warum licq nicht da sein soll? Ich
Hmmm...
es ist schliesslich ein ausführbarer Cod,e den du gedenkst zu benutzen und
sollte er Sicherheitslücken enthalten könnte das jemand ausnutzen.
Ich gehe eher den minimalistischen Ansatz aber wir oben schon erwähnt du
wirst deine Gründe haben.
cu
Markus
Reply to: