Re: Debian in DMZ absichern
hi,
Am 21. März 2014 11:37 schrieb Martin Steigerwald <Martin@lichtvoll.de>:
> Davor bekommt ihr keinen Schutz.
>
> Ich gehe noch weiter: Davor *gibt* es keinen Schutz. Solange ihr komplexe
> Software auf dem Server einsetzt, kann diese Software auch Fehler enthalten
> und keine wie auch immer geartete Maßnahme kann euch vollkommen davon
> abschirmen. Wobei hier meines Wissens nicht mal klar ist, ob es wirklich ein
> Fehler in Typo3 ist[1].
>
> Es ist also offenbar nicht mal bekannt, was der Einbruchsweg ist, und Du
> möchtest Systeme dagegen schützen?
>
>
> Ein Rücksetzen des Systems alle 24 Stunden bewirkt genau das. Es entfernt den
> Befall, nicht die Lücke. Am nächsten Tag kann das System dann wieder befallen
> werden. Ein Hacker könnte sogar einen Cron-Job dafür einrichten, der jeden
> Morgen das System wieder neu befällt.
>
> Ein weiterer Nachteil ist, dass Aktualisierungen aufwändiger werden. Genau das
> ist jedoch wichtig, um Fixes für Sicherheitslücken, also Fixes für die
> eigentliche Ursache schnellstmöglich zu bekommen.
>
>
> Der einzige präventive Schutz aus meiner Sicht ist, das System weitgehend nur-
> lesbar zu machen. Oder gleich ganz vom Internet zu trennen. Oder einen
> statischen Webseiten-Generator einzusetzen und PHP vom Server zu verbannen.
dem schließe ich mich widerspruchslos an. Danke.
das war im Prinzip meine Grundaussage mit dem nur-lesend NFS. Du hast
es ausführlich und gut erklärt :)
Gruß,
Björn
Reply to: