Re: Sicherheitskonzept eines neuen Servers

To: debian-user-german@lists.debian.org
Subject: Re: Sicherheitskonzept eines neuen Servers
From: Andreas Pakulat <apaku@gmx.de>
Date: Mon, 21 Nov 2005 15:25:08 +0100
Message-id: <[🔎] 20051121142508.GB12273@morpheus.apaku.dnsalias.org>
In-reply-to: <[🔎] 20051121133744.78c4e441@linuxplatz1.hs-media.local>
References: <[🔎] 20051121113833.588b5dcd@linuxplatz1.hs-media.local> <[🔎] 20051121111559.GA8342@morpheus.apaku.dnsalias.org> <[🔎] 20051121133744.78c4e441@linuxplatz1.hs-media.local>

On 21.11.05 13:37:44, Ace Dahlmann wrote:
> On Mon, 21 Nov 2005 12:15:59 +0100
> Andreas Pakulat <apaku@gmx.de> wrote:
> 
> > > - Für die Freigabe soll primär NFS verwendet werden, zusätzlich
> > > würde
> > 
> > Ich kann das selbst nicht bestaetigen oder widerlegen, aber man kann
> > an verschiedenen Stellen im Netz lesen das CIFS "besser" sein soll.
> 
> Mit CIFS hab ich mich noch nicht befasst; da werde ich mich dann auch
> mal einlesen.

Fuer CIFS musst du in den Linux-Clients nichts weiter machen als statt
smbfs cifs zu schreiben. Achja und ein paar Optionen fallen weg, da CIFS
z.B. Unterstuetzung fuer Unix User/Rechte hat.

> Alternativ hätte ich noch die Idee, den Server über Samba, der ja eh
> läuft, als PDC einzurichten und damit (also auch für die Linux-Clients)
> die Authentifizierung zu machen.
> Was ist von der Idee zu halten?

Geht das ueberhaupt? Ich wuerd ja eher LDAP nehmen und den Samba-Server
da mit ranknueppern. Aber ich hab sowas auch noch nie gemacht...

> > ?? Wieso iptables? Lass die Dienste nur auf der internen NIC lauschen,
> > das ist deutlich sicherer als irgendwelche iptables Basteleiein. 
> 
> Gar keine Firewall zusätzlich?

Was heisst Firewall, wenn auf dem externen NIC nur der sshd lauscht kann
da nicht viel passieren, ausser eben das der sshd geknackt wird. Wenn
der Server dann auch so eingerichtet ist, das nicht geroutet wird sollte
das reichen. Aber ich bin kein Netzwerkspezialist, moeglich das ich da
was uebersehe.

> Sollte ich denn ggf. auch noch die hosts.allow mit nutzen?

Wenn du den Zugriff auf den externen sshd nur von bestimmten Hosts/IP
Addressen erlauben willst: Ja. Oder wenn du nicht automatisch allen
Rechner im LAN vertrauen willst (Stichwort: "Bekannter stoepselt mal fix
seinen PC ans Netz") kann das auch sinnvoll sein. 

> > ?? Weisst du wie viele Webseiten mit Apache laufen, ohne gehackt zu
> > werden...
> 
> Aber auf denen läuft wahrscheinlich kein Fileserver, der mit einem Bein
> im LAN und mit dem anderen im Netz steht? ;) Daher bin ich halt
> diesbzgl. etwas ängstlich.

Das glaubts auch nur du ;-) Denk mal an die ganzen Webspace-Anbieter, da
laeuft fuer den Webspace ein Apache-VHost, ein FTP-Vhost und manchmal
auch noch ein sshd...

Nun du kannst ja den Apachen erstmal nur fuers LAN installieren und dann
spaeter wenn du dich mit dem ein wenig auseinandergesetzt hast auch
fuers Netz oeffnen. Aber prinzipiell kann auch der sshd gehackt werden
und dann hat derjenige Voll-Zugriff auf den Server. 

Andreas

-- 
You will be married within a year, and divorced within two.

Reply to:

Follow-Ups:
- Re: Sicherheitskonzept eines neuen Servers
  - From: Udo Mueller <info@cs-ol.de>

References:
- Sicherheitskonzept eines neuen Servers
  - From: Ace Dahlmann <ace@hs-media.net>
- Re: Sicherheitskonzept eines neuen Servers
  - From: Andreas Pakulat <apaku@gmx.de>
- Re: Sicherheitskonzept eines neuen Servers
  - From: Ace Dahlmann <ace@hs-media.net>

Prev by Date: Re: Bash: Fehler auch über Pipes hinweg abfangen
Next by Date: Re: Sicherheitskonzept eines neuen Servers
Previous by thread: Re: Sicherheitskonzept eines neuen Servers
Next by thread: Re: Sicherheitskonzept eines neuen Servers
Index(es):
- Date
- Thread