Re: Sicherheitskonzept eines neuen Servers

To: debian-user-german@lists.debian.org
Subject: Re: Sicherheitskonzept eines neuen Servers
From: Andreas Pakulat <apaku@gmx.de>
Date: Tue, 22 Nov 2005 23:17:58 +0100
Message-id: <[🔎] 20051122221758.GA15570@morpheus.apaku.dnsalias.org>
In-reply-to: <[🔎] 20051122215448.GA7219@photon.palmen.homeip.net>
References: <[🔎] 20051121113833.588b5dcd@linuxplatz1.hs-media.local> <[🔎] 20051121111559.GA8342@morpheus.apaku.dnsalias.org> <[🔎] 20051122112139.GA12773@photon.palmen.homeip.net> <[🔎] 20051122170744.GB5781@morpheus.apaku.dnsalias.org> <[🔎] 20051122215448.GA7219@photon.palmen.homeip.net>

On 22.11.05 22:54:48, Felix M. Palmen wrote:
> Hallo Andreas,
> 
> * Andreas Pakulat <apaku@gmx.de> [20051122 18:07]:
> > > Wenn man sich allerdings nur auf die Kponfiguration der einzelnen
> > > Dienste verlässt ist das wesentlich fehleranfälliger,
> > 
> > ?? Wieso ist das fehleranfaellig? Ich schalte den Dienst ab, bzw. lasse
> > ihn nur auf IP X Port Y lauschen. Verstehe ich nicht.
> 
> Ich merk's. Du schließt Fehler des Admins in deinen
> Sicherheitsüberlegungen offenbar aus. Solltest du nicht.

Jaein, mir ist schon bewusst das man Fehler machen kann, aber bei einer
"einfachen" Direktive wie Listen (oder wie auch immer der Dienst bzgl.
IP/Port konfiguriert wird) sollten keine Fehler auftreten. Wenn der
Admin nicht sorgfaeltig arbeitet geht die ganze Sache eh in die Hose.
Dazu gehoert halt auch mal zu testen ob man noch raufkommt, spaetestens
dann werden solche Dinge sichtbar.

> Außerdem musst du eigentlich bei jedem Dienst nochmal von Hand prüfen,
> ob er wirklich nur da horcht, wo er laut Konfiguration soll. Ist
> generell eine gute Idee, das zu tun, aber wer denkt da wirklich /immer/
> dran?

Das kommt halt drauf an, bei nem privaten Server wird das wohl eher
nicht passieren, 

a) Weil nicht jeder so ein Hacker ist um den Dienst wirklich anzugreifen
b) "Ist ja nur mein Server" - viele denken nicht dran, dass der auch
missbraucht werden kann

Wenn sowas im professionellen Umfeld nicht gemacht wird oder auch z.B.
keine regelmaessige Log-Pruefung, ist das IMHO grob fahrlaessig und der
Admin duerfte in dem Fall mind. mit seinem "Job spielen".

> > Wie gesagt: Wer einen Paketfilter braucht, soll ihn nutzen. Aber wenn
> > man die Sicherheit des Servers ohne Paketfilter auf demselbigen
> > "sicherstellen" kann, dann besteht keinerlei Grund einen einzusetzen.
> 
> Sind dir die Konzepte "Redundanz" bzw. "mehrere Sicherheitsebenen"
> geläufig?

Ja klar, aber das kann eben auch nach hinten los gehen - wenn man den
Ueberblick ueber die ganzen Ebenen verliert.

Ja, iptables kann zu einem Sicherheitskonzept gehoeren und tut es auch
oft/meist, aber es _muss_ IMHO nicht zwangsweise.

Andreas

-- 
Never commit yourself!  Let someone else commit you.

Reply to:

References:
- Sicherheitskonzept eines neuen Servers
  - From: Ace Dahlmann <ace@hs-media.net>
- Re: Sicherheitskonzept eines neuen Servers
  - From: Andreas Pakulat <apaku@gmx.de>
- Re: Sicherheitskonzept eines neuen Servers
  - From: "Felix M. Palmen" <zirias@despammed.com>
- Re: Sicherheitskonzept eines neuen Servers
  - From: Andreas Pakulat <apaku@gmx.de>
- Re: Sicherheitskonzept eines neuen Servers
  - From: "Felix M. Palmen" <zirias@despammed.com>

Prev by Date: Hardware für Skype
Next by Date: Re: Hardware für Skype
Previous by thread: Re: Sicherheitskonzept eines neuen Servers
Next by thread: Re: Sicherheitskonzept eines neuen Servers
Index(es):
- Date
- Thread