Re: Server sichern durch CD-Betrieb?

To: debian-user-german@lists.debian.org
Cc: debian-user-german@lists.debian.org
Subject: Re: Server sichern durch CD-Betrieb?
From: "G.Wendebourg" <gw-hh@gmx.de>
Date: Thu, 19 Oct 2006 16:59:26 +0200
Message-id: <[🔎] 453792CE.9030101@gmx.de>
In-reply-to: <[🔎] 200610191335.24568.debian@frommeyer.name>
References: <[🔎] 4536E493.2010306@web-hh.de> <[🔎] 45375E6F.8080503@schwebekoma.de> <[🔎] 200610191335.24568.debian@frommeyer.name>

Zur Frage des Risikos:
ich hatte die Erfahrung gemacht, dass uns durch einen Angriff komplette
Daetenbanken und WebSites geloescht wurden - konnten zwar praktisch
vollstaendig durch Backups wiederhergestellt werden, aber verbunden mit
nicht ganz unerheblichem Zeitaufwand.

Und von einem Nachbarn habe ich erfahren, dass sich im System, dass
durch einen Debian-Router an DSL angebunden ist, bereits mehrfach
Rootkits eingenistet haben und nur durch komplette Neuinstallation
beseitigt werden konnten. Um weiteres Unheil zu verhindern wurden
diverse Abwehrtools, Honeypot usw. aufgebaut.
Bei einem System auf CD reicht ein Reboot, um unerwuenschte Parasiten
hinauszuwerfen.

Ich will nicht behaupten, dass dies ein Allheilmittel sei und damit
Firewall und Loganalyse verzichtbar waeren.
Aber die potenziellen Schaeden, die durch Angreifen angerichtet werden
koennen, sind doch sehr viel begrenzter - vor allem, wenn man nicht
ueber die Ressourcen verfuegt, dass permanent ein SysAd ein Auge auf den
Betrieb hat.

Christian Frommeyer schrieb:
> Am Donnerstag 19 Oktober 2006 13:15 schrieb Bernd Schwendele:
>   
>> Gerhard Wendebourg schrieb:
>>     
>>> wie ist die Option einzuschaetzen, einen Server zu schuetzen, indem
>>> seine aktiven Komponenten (Binary's usw.) von CD betrieben werden,
>>> um damit die Korruption durch malware zu unterbinden?
>>>       
>> Da würde ich an Deiner Stelle lieber readonly mounten.
>>     
>
> Das funktioniert nicht. Denn wenn jemand drin ist, hinder ihn keiner an 
> einem rw remount.
>   
Eben das Problem sehe ich auch, deshalb ein Datentraeger, der aus dem
System heraus nicht manipulierbar ist, wie eine CD / DVD-R.

Evtl. gibt es eine Moeglichkeit, bei einem Brenner hardwareseitig den
Schreibzugriff abzuschalten, so dass man ihn manuell wieder aktivieren
kann zum Zweck der Systempflege (Updates..) zb. mit DVD-RAM.
Zum USB-Stick: was ich an Hardware kenne, hat keinen solchen Schalter.
Waere ansonsten natuerlich aehnlich ueberlegenswert.

Auch fuer die Logs waere die Moeglichkeit interessant, sie auf CD/DVD
schreiben zu lassen und damit nachtraegliche Manipulationen zu unterbinden.
Und auch hier, wie erwaehnt, ggf. die abschaltbare RW-Funktion.

Christian Frommeyer schrieb:
> Einen gewissen Schutz bietet das. Aber nicht vor einem Angriff, sondern 
> eigentlich nur davor, das ein Angreifer über einen Reboot hinaus "im 
> System" bleiben kann.
Kann man nicht einen Daemon laufen haben, der die Prozesse im RAM
ueberprueft, bzw. einen regelmaessigen Neustart der Prozesse veranlasst
und Manipulationen durch Angreifer im Speicher dadurch verhindert / beendet?
Ausserdem vielleicht eine generelle automatisierte Ueberwachung der
laufenden Prozesse, die Alarm gibt bzw. interveniert, wenn diese "aus
dem Ruder laufen"

In Verbindung mit einer ordentlichen Firewall duerften es Angreifer dann
doch recht schwer haben..

Gruss / GW
>

Reply to:

Follow-Ups:
- Re: Server sichern durch CD-Betrieb?
  - From: Christian Frommeyer <debian@frommeyer.name>

References:
- Server sichern durch CD-Betrieb?
  - From: Gerhard Wendebourg <gw@web-hh.de>
- Re: Server sichern durch CD-Betrieb?
  - From: Bernd Schwendele <ml@schwebekoma.de>
- Re: Server sichern durch CD-Betrieb?
  - From: Christian Frommeyer <debian@frommeyer.name>

Prev by Date: Re: KDE faehrt nicht ordnungsgemaess hoch
Next by Date: Re: Kein Impress für Sarge
Previous by thread: Re: Server sichern durch CD-Betrieb?
Next by thread: Re: Server sichern durch CD-Betrieb?
Index(es):
- Date
- Thread