Re: Fw: Einbruch in Rechner

To: DEBIAN DE <debian-user-german@lists.debian.org>
Subject: Re: Fw: Einbruch in Rechner
From: Frank Lorenzen <fisch@Fh-Worms.de>
Date: Sun, 20 Jul 2003 18:40:26 +0200
Message-id: <20030720164026.GB31822@venus.Linux-Lounge.IT.FH-Worms.DE>
Mail-followup-to: DEBIAN DE <debian-user-german@lists.debian.org>
In-reply-to: <001001c34ec4$efdc3ad0$0100000a@ufo>
References: <004501c34eb4$55df4040$0100000a@ufo> <20030720120050.GA26947@schmehl.info> <001001c34ec4$efdc3ad0$0100000a@ufo>

On Sun, Jul 20, 2003 at 03:43:43PM +0200, Björn Gaworski wrote:
> Achso, hatte ich vergessen zu erwähnen: die Logfiles sind alle gelöscht :(
> 
> Ich find das eh fragwürdig, weil ich Woody installiert hab und nix
> besonderes verändert oder eingestellt hab. Alle Useraccounts sind durch
> Passwörter geschützt. Ansich hatte ich immer gedacht Linux wär dann sicher,

Falsch gedacht.

Es gibt keine größere Lüge als "Linux ist per Default sicher".
Vorzugsweise werden solche Märchen von einschlägiger Fach- und
Lachliteratur sowie von allzu eifrigen Predigern des wahren Glaubens
(Kicher, Gacker, lach, *ROTFL*) verbreitet.

Stets im Hinterkopf behalten:

*) Sicherheit ist ein Prozess, kein Zustand.
*) Dieser Prozess erreicht _nie_ _nie_ _niemalsnicht_ 100%

Ich bin übrigens der Meinung, daß (Netzwerktechnisch) ein Linux-Rechner
in unkundigen Händen mehr Schaden anrichten kann als eine Win-Büchse in
kundigen Händen.

Im speziellen bei Debian sollte man auf folgendes Achten:
Die Release-Zyklen sind bei Debian relativ groß. Auch die
"sub-Releases", also 3.0r0, 3.0r1, usw., lassen sich meist viel Zeit.
Deshalb ist es _unumgänglich_ security.debian.org mit in die apt-quellen
einzubeziehen. In durch Marketing vorangetriebenen Distributionszyklen
fällt das nicht so sehr ins Gewicht, da, sofern man immer updated, öfter
frische und damit meist auch fehlerbereinigte Software ins System kommt.
Das dabei auch immer mal wieder neue Fehler ins System kommen sollte man
aber auch niucht vergessen.
Die Security Updates von Debian stellen hierzu einen "Goldenen
Mittelweg" da. Hier werden bewußt auch in neue Upstream Versionen
eingearbeitete Fixes auf die Version in Stable backgeported. Und selbst
hierbei schleichen sich gelegentlich Fehler ein; Ich kann mich da an
einen Fix erinner, der 1 Tag später gleich wieder gefixt wurde.

Ein guter und meist auch sehrhilfreicher Tip ist folgender:
*) Jeder laufende Service sollte nur an die Interfaces gebunden werden,
   auf denen er auch gebraucht wird.

Damit hast du schon mal viel gewonnen. Ein Apache der ein bischen
Intranet macht muß nicht von Außen erreichbar sein. Damit hast Du
gleichzeitig eventuelle Apache-Exploits _von Außen_ abgewehrt. Sollte
jemand von innen einen Angriff fahren bringt die das natürlich nix.

> jetzt bin ich auf jeden Fall ziemlich enttäuscht und 'freue' mich jetzt
> schon dadrauf alles neu zu installieren.

Das solltest Du auf _jeden_ Fall tun. Mach aber bitte nicht den Fehler
die Kiste wieder ganz genauso aufzusetzen, den ndann: Gewinn = 0

> 
> Daten waren zum Glück keine drauf und die ganzen Configs aus /etc hab ich
> sowieso gesichert.
> 
> Also kein Verlust. Aber ich will halt wissen, wie so etwas passieren kann.
> Aber so wie ich das sehe krieg ich das ohne die Logs eh nicht raus.

Ein Loghost regelt gelegentlich.

> __
> Björn

gruss
f

Reply to:

Follow-Ups:
- Re: Fw: Einbruch in Rechner
  - From: Björn Gaworski <bjoern@gaworski.de>

References:
- Fw: Einbruch in Rechner
  - From: Björn Gaworski <bjoern@gaworski.de>
- Re: Fw: Einbruch in Rechner
  - From: Alexander Schmehl <schmehl@informatik.uni-frankfurt.de>
- Re: Fw: Einbruch in Rechner
  - From: Björn Gaworski <bjoern@gaworski.de>

Prev by Date: Re: Partition formatiert aber trotzdem nicht leer ?
Next by Date: Re: Fw: Einbruch in Rechner
Previous by thread: Re: Fw: Einbruch in Rechner
Next by thread: Re: Fw: Einbruch in Rechner
Index(es):
- Date
- Thread