Re: unstable am Internet

To: debian-user-german@lists.debian.org
Subject: Re: unstable am Internet
From: Dirk Prösdorf <d.proesdorf@gmx.de>
Date: Fri, 28 May 2004 02:22:16 +0200
Message-id: <[🔎] 200405280022.i4S0MG13014349@tux.proesdorf.de>
Mail-followup-to: debian-user-german@lists.debian.org
References: <[🔎] 200405271543.25881.wolfgang@jeltsch.net>

Wolfgang Jeltsch <wolfgang@jeltsch.net> wrote:
> Wie lange dauert es i.d.R. vom Bekannt-Werden eines Sicherheitsloch bis zur 
> Bereitstellung des Fixes in unstable?

Es gibt dort keine Regel, d.h. jeder Maintainer entscheidet dies selber.
Ein Maintainer kann aber auch mal im Urlaub sein oder Beruflich sehr
eingebunden.
Es ist dann aber auch kein Problem selber mal schnell ein neues Packet
(bassierend auf dem Alten) mit einer neuen Upstream-Version zu bauen
(das sollte man dann aber können). Einschlägige ML wo über aktuelle
Sicherheitsprobleme informiert wird gibt es ja.

> An sich will ich kaum irgendwelche Services meines Rechners von außen nutzen. 
> Wie wäre es, wenn ich mittels iptables und Connection-Tracking alle über das 
> Internet kommenden Kontaktierungswünsche abblocke mit Außnahme von 
> SSH-Verbindungsversuchen?

Wie wäre es, wenn Du auch noch Deine Dienst so konfiguierst, dass nur
SSH auf dem externen Interface lauscht und dort kein Root-Login möglich ist.

> Und wenn ich ferner mittels iptables für 
> Verbindungsanforderungen an den SSH-Port nur eine bestimmte IP-Adresse als 
> Absenderadresse zulasse?

Bringt m.E. nicht wirklich mehr Sicherheit gegenüber Public Key
Authentifizierung (Spoofing).

> Wenn ich vielleicht außerdem noch SSH so 
> konfiguriere, dass nur eine Authentifizierungsmethode zugelassen ist und sich 
> auch nur ein ganz bestimmter User per SSH einloggen kann?

Authentifizierung über Public Key Verfahren ist sicherlich sinnvoll.

> Was für Sicherheitslücken können dann noch zum Tragen kommen?

Unbekannte Bugs im Kernel.

> Wie wahrscheinlich sind sicherheitsrelevante Bugs in iptables und den für 
> Paketfilterung, Connection-Tracking usw. benötigten Kernelmodulen? Sollte ich 
> bei gerade beschriebener iptables/SSH-Konfiguration den Kernel aus stable 
> nehmen? SSH vielleicht auch?

Ne, aber MLs mitlesen wenn für diese Software Ubdates von Update oder
Maintrainer angeboten werden und dann w.o. angegeben handeln.
(Außerdem erzeugen Mischumgebungen andere Probleme.)

> Wie ist die Sicherheit eines Debian unstable zu bewerten, wenn ich auch den 
> SSH-Port mittels iptables vollkommen schließe?

Dienste die von außen nicht erreichbar sind, sind auch nicht von außen
angreifbar, egal ob vernüftig konfiguiert oder gesperrt.

Reply to:

References:
- unstable am Internet
  - From: Wolfgang Jeltsch <wolfgang@jeltsch.net>

Prev by Date: Re: [OT] ISO-8859-15 vs. UTF-8
Next by Date: Re: Scanner Problem
Previous by thread: Re: unstable am Internet
Next by thread: Richtiges Löschen eines Druckauftrages unter cups
Index(es):
- Date
- Thread