Re: Debian in DMZ absichern

To: debian-user-german@lists.debian.org
Subject: Re: Debian in DMZ absichern
From: Martin Steigerwald <Martin@lichtvoll.de>
Date: Sat, 22 Mar 2014 11:32:17 +0100
Message-id: <[🔎] 1953673.lMPDDvWEOg@merkaba>
In-reply-to: <[🔎] CAGMPS54Okw4YJ=V4Ct6gC=B4Nszx_3cPb3kC9KX8nTYojjzLjA@mail.gmail.com>
References: <[🔎] F7F92595B452614391D2D99847CAA244155A9B@nuntius01.comline.de> <[🔎] 2950762.mvIsaB7WW5@merkaba> <[🔎] CAGMPS54Okw4YJ=V4Ct6gC=B4Nszx_3cPb3kC9KX8nTYojjzLjA@mail.gmail.com>

Am Freitag, 21. März 2014, 11:44:11 schrieb Bjoern Meier:
> hi,

Hi,

> Am 21. März 2014 11:37 schrieb Martin Steigerwald <Martin@lichtvoll.de>:
> > Davor bekommt ihr keinen Schutz.
> > 
> > Ich gehe noch weiter: Davor *gibt* es keinen Schutz. Solange ihr komplexe
> > Software auf dem Server einsetzt, kann diese Software auch Fehler
> > enthalten
> > und keine wie auch immer geartete Maßnahme kann euch vollkommen davon
> > abschirmen. Wobei hier meines Wissens nicht mal klar ist, ob es wirklich
> > ein Fehler in Typo3 ist[1].
> > 
> > Es ist also offenbar nicht mal bekannt, was der Einbruchsweg ist, und Du
> > möchtest Systeme dagegen schützen?
> > 
> > 
> > Ein Rücksetzen des Systems alle 24 Stunden bewirkt genau das. Es entfernt
> > den Befall, nicht die Lücke. Am nächsten Tag kann das System dann wieder
> > befallen werden. Ein Hacker könnte sogar einen Cron-Job dafür einrichten,
> > der jeden Morgen das System wieder neu befällt.
> > 
> > Ein weiterer Nachteil ist, dass Aktualisierungen aufwändiger werden. Genau
> > das ist jedoch wichtig, um Fixes für Sicherheitslücken, also Fixes für
> > die eigentliche Ursache schnellstmöglich zu bekommen.
> > 
> > 
> > Der einzige präventive Schutz aus meiner Sicht ist, das System weitgehend
> > nur- lesbar zu machen. Oder gleich ganz vom Internet zu trennen. Oder
> > einen statischen Webseiten-Generator einzusetzen und PHP vom Server zu
> > verbannen.
> dem schließe ich mich widerspruchslos an. Danke.

Bitteschön.

> das war im Prinzip meine Grundaussage mit dem nur-lesend NFS. Du hast
> es ausführlich und gut erklärt :)

Eine Sache zu den Sicherheitslücken bemerke ich noch:

Ich hab mir da für meinen Server gerade debsecan installiert. Das ist mal ganz 
nett, da es einen per Mail informiert, welche Sicherheitslücken die gerade 
installierten Paket-Versionen so haben.

Es macht das auch für obsolete Pakete, was in Falle des nur für den Fall, dass 
der 3.2er-Wheezy-Kernel mal nicht bootet, noch installierten 2.6.32er-Squeeze-
Kernel etwas unpraktisch war, da debsecan für diesen dutzende Lücken 
berichtete. (Die allerdings mit den Squeeze-Paketquellen vielleicht zumindest 
auch teilweise bereits behoben sind. Was ich da drauf hatte dürfte älter 
gewesen sein, da ich Squeeze als Paketquelle nicht mehr eingerichtet hatte. 
Wenn man alte Kernel noch installiert haben möchte, könnte das sinnvoll sein.)

Als ich den 2.6.32er-Kernel dann doch mal entfernte, waren die dann gleich 
alle gefixt. Über obsolete Pakete ist dennoch sinnvoll, sich warnen zu lassen, 
denn das anderes als mit einem alten, gerade nicht aktiven Kernel, könnten 
andere obsolete Pakete noch aktiv sein.

Ciao,
-- 
Martin 'Helios' Steigerwald - http://www.Lichtvoll.de
GPG: 03B0 0D6C 0040 0710 4AFA  B82F 991B EAAC A599 84C7

Reply to:

References:
- Debian in DMZ absichern
  - From: <ralf.prengel@comline.de>
- Re: Debian in DMZ absichern
  - From: Martin Steigerwald <Martin@lichtvoll.de>
- Re: Debian in DMZ absichern
  - From: Bjoern Meier <bjoern.meier@gmail.com>

Prev by Date: Re: Zugriff auf den Rechner von außen
Next by Date: Re: Zugriff auf den Rechner von außen
Previous by thread: Re: Debian in DMZ absichern
Next by thread: Re: Debian in DMZ absichern
Index(es):
- Date
- Thread