Christian Frommeyer schrieb:
Wenn jemand im System ist, hindert ihn nichts mehr. ;) Kein Tripwire, keine Binaries auf CD, nada. Wenn jemand in Dein System eingetrungen ist, kannst Du quasi den Server abschreiben und alle Daten gleich mit. Du kannst vorbeugen und es dem Eindringling nicht unnötig leicht machen - das ist alles. Umständliche Skripte oder Hacks, die angeblich die Sicherheit erhöhen sind fehl am Platz. Man hat ja schon genug damit zu tun, das System sicher zu halten, wenns jetzt noch kompliziert wird, dann gute Nacht. Meine Meinung ist: ein sicheres System ist auch immer ein einfaches System.Am Donnerstag 19 Oktober 2006 13:15 schrieb Bernd Schwendele:Gerhard Wendebourg schrieb:wie ist die Option einzuschaetzen, einen Server zu schuetzen, indem seine aktiven Komponenten (Binary's usw.) von CD betrieben werden, um damit die Korruption durch malware zu unterbinden?Da würde ich an Deiner Stelle lieber readonly mounten.Das funktioniert nicht. Denn wenn jemand drin ist, hinder ihn keiner an einem rw remount.Gruß Chris
Das Problem bei seiner Idee ist, wie update ich die Programme bzw. den Kernel? Und weil angesprochen: Wie groß ist die Gefahr, dass ich mit UNIONFS wieder ein paar Bugs und Sicherheitslöcher mehr im System habe? Ist die Datensicherheit mit dieser Strategie noch gewährleistet? Zum anderen - was für Dienste sollen da laufen? Ist die gewünschte Performance noch da oder ist sie weit unter dem gewünschten Niveau?
Irgendwie finde ich, dass der Threadsteller eine Art Hardware-Jail versucht ;) (Software-)Jails funktionieren ganz gut, natürlich nicht unter Linux *grins und duck*
Grüße