Re: Wie schlimm ist es täglich als root zu arbeiten?
On 26.Feb 2005 - 10:41:48, XP-Webdesign wrote:
> also: ja der server ist im internet! und / wird exportiert, aber nur an
> eine netzwerk interne ip. Die iptables blocken ja auch alles andere,
> dass hab ich schon mehrmals kontrolliert (von außen).
Willst du dich auf iptables verlassen?
> Anfangs bin ich auch immer über ssh usw. aber mittlerweile nervt mich
> das einfach an wenn ich ne /etc datei editieren will, jedesmal nen
> "Aufstand" zu bauen.
?? Ich hab immer ein XTerm laufen auf dem ssh auf dem Server auf ist -
normalerweise als ein User, manchmal auch für ne Weile als root, wenn
ich nebenbei noch die Anleitung lesen... Also für mich ist das kein
Aufstand, im Vergleich zum Sicherheitsgewinn...
> Auf dem Server ist klar, dass dort nur mit root
> eingeloggt wird, wenn Systemarbeiten anstehen.
>
> Aber der client?
Was unterscheidet den Server vom Client? Ich meine, gerade wenn du "/"
exportierst ist Client == Server, wenn du als root eingeloggt bist. Im
Prinzip arbeitest du dann als root auf deinem Server...
> Gerade weil dieser eigentlich hinter dem Server steht,
> spricht durch die Firewall ja eigentlich ausreichend geschützt sein
> sollte. User die ich nicht kenne, gibt es auf diesem System auch nicht.
Hmm, du erlaubst also mittels iptables keinerlei Verkehr aus deinem
LAN ins Internet und umgekehrt? Wenn doch: Bist du sicher, dass nicht
einer der Browser die du benutzt ne Sicherheitslücke hat und sich so
jemand schon nen User-Account auf deinem System geholt hat??
Davon abgesehen, dass die Firewall immernoch nicht gegen
"verrückt-gewordene" Programme hilft. Muss ja nicht rm -rf / sein,
manchmal reichts auch aus, wenn die App wild Daten schreibt, z.B. nach
/home oder sogar /. Da du als root arbeitest kann diese App dann die
gesamte PArtition (inkl. der 5% root-Space) vollschreiben und du
kannst dich morgen nicht mehr einloggen (vielleicht nichtmal mehr
booten). Solche Fehler sind nicht ganz selten!
Andreas
--
Many changes of mind and mood; do not hesitate too long.
Reply to: