Anfrage: Interesse an "Sicherheits"- Howto

[outofbound]

Hallo,

ich wollte einfach mal fragen, ob ein Interesse an soetwas besetehen würde.

Ich meine damit NICHT: "Immer fleissig patchen und gut ist", sondern
eher ein Grundlegendes Howto, welches sich mit dem Aufsetzen eines "Sicheren"
Systems beschäftigt. Damit meine ich auch sichere Daten, sichere Software,
sichere Zugriffsmöglichkeiten, und vor allem sichere Wartungsmöglichkeiten.

Ein paar Anregungen, die Teil davon werden sollen:
"Crypted Filesystems - Warum (z.B. den Swap, oder /tmp)?"
"Paranoid sein heisst nicht, dass sie nicht doch hinter dir her sind".
"Grundlagen der Kryptographie ;)"
"Warum in aller Welt 10 Partitionen für einen einfachen Webserver?"
"Ich sehe was, was du nicht siehst. Erkennen und Abwehren von Angriffen".

Das ganze ist nicht auf Security mit dem Ziel "Ich hab einen Server, auf dem ich
Kunden hosten will und einen Gameserver laufen habe" , sondern
"Oh mein Gott, Admin sein ist wirklich schwierig" ausgelegt. Es wendet sich an
eher Fortgeschrittene Leute, die ein Interesse an soetwas haben.

(Da ich die letzten zwei Wochen nur damit verbracht habe, ist da sehr viel
Material angefallen)

Gruss,

Out

[vevelt]

...selbstverständlich gerne... :-)
Vorallem einmal etwas, was viele Facetten berücksichtigt und einen guten Ã?berblick vermittelt.

Schon einmal danke, Sebastian.

[captaincrunch]

Interessant ist das ganze sicherlich für viele hier, wobei sich mir der Sinn von Crypto-Filesystemen auf einem Webserver bislang nicht so wirklich erschließen will. ;)

[andreask2]

Hallo Out!

Also von meiner Seite besteht unbedingt ein riesengroßes Interesse, weil ich das ganze demnächst auch vor mir habe ;-)

Es wäre natürlich super wenn man ein paar gute Infos gesammelt hätte.

Was mich z.B. ganz besonders interessieren würde, wäre:

- Sichere Konfiguration von Diensten (vor allem Apache, vor allem in Kombination mit Scripting)
- gute/sichere Partitionierung/mounting (z.B. Apachen nur Zugriff auf spezielle Partitionen ermöglichen, auf denen er keine Ausführungsrechte hat...)
- evtl. Infos zu chrooten von Diensten(Apache), und Absicherung dessen (gresec...)
- überhaupt was zu einer möglichst sicheren Rechtevergabe
- evtl. was zu Kernelpatches(z.B. grsec) und dessen Konfiguration
- was zum loggen(z.B. syslog-ng), wie man sinnvolle Logs erhält in denen man schnell wichtige Infos findet
- evtl. was zur Erkennung und Benachrichtigung bei möglichen Problemen, evtl. mit Hilfe von syslog(-ng), oder evtl. tripwire...
- vielleicht noch was zu "beliebten" Angriffsszenarien, und wie man sich am besten davor schützt
- Einrichtung/Rechte eines Admin-Users, so dass möglichst wenig root nötig ist
- ... :)

Ich denke ich falle eher in die 2. Kategorie, "Oh mein Gott, Admin sein ist wirklich schwierig" ;-)
Ich will auf dem Webserver+Datenbank nur ein Projekt hosten, brauche aber viele Anpassungen die mir ein Managed-Server/Shared-Hosting... nicht bieten kann, und ich habe schon viel gelesen zum Thema, auch diverse howtos, zu den obigen Punkten weiß ich auch schon einiges (auch dank einiger sehr guter Postings in diesem Forum!), aber ich könnte noch nicht wirklich von mir behaupten dass ich mir in den Punkten so richtig sicher bin, und wäre für jede zusätzliche Information sehr dankbar, daher kann ich Dein Vorhaben nur unterstützen ;-)

Vermutlich habe ich da teilweise auch andere Vorstellungen als Du, und man könnte sicher ganze Bücher zu den Themen schreiben, aber wie gesagt, ich bin froh über jede neu Info und über jede geklährte "Angelegenheit" ;-)

Also von meiner Seite her ein eindeutiges +1 :)


Viele Grüße,
Andreas

[outofbound]

Interessant ist das ganze sicherlich für viele hier, wobei sich mir der Sinn von Crypto-Filesystemen auf einem Webserver bislang nicht so wirklich erschließen will. ;)

Mit Crypto-FS ist es immer wieder so eine Sache, gerade bei Servern im Netz.
Schliesslich: "Wenn ich was wichtiges schützenswertes habe, dann schieb ichs nicht
auf einen Rechner mit Netzwerkkarte".

Manchmal ergeben sich aber doch sicher Situationen, in denen ein Crypto-FS
was bringen könnte ;)

(Ich hab z.B. meine ganzen Sourcen des Systems gecrypted auf einer eigenen
Partition liegen... das allerdings als Externes Backup). ;) ;)

Greets,

Out

[checker]

Hallo,

das hört sich ja wirklich mal interessant an.
Ich hätte absolut nichts dagegen...

Naja wie sieht es denn so im Detail mit dem Umpfang und der benötigten Zeit aus? Wann wird sowas starten, stellst du dir das wie ein howto oder eher eine Diskussion vor?

Gruß checker

[Joe User]

Sehr gute Idee, bleibt lediglich die Frage nach der Basis, sprich:
Wird das HowTo auf einer bestimmten Distribution (Welche?) aufsetzen?

/me: Distributionsunabhängig bevorzugend...

[floschi]

An sich eine gute Idee, zumal ich arbeitsmäßig gerade zwischen Client- und Server-Hardening hin- und herwechsle (neben den 100 anderen Dingen *g*).

An sich bevorzugen würde ich auch ein Distriunabhängiges Howto, was aber bei deiner Vorliebe zu LFS (da erinnere ich mich doch richtig?) kein Problem darstellen sollte.

Wenn du es als Projekt im RootForum aufziehen willst, können wir gerne über ein Subforum mit evtl. geeigneten Rechten reden, sofern du es wünschst ;)

[outofbound]

@olfi:

Ja, ich denke die Idee mit dem Subforum wäre nicht schlecht.
Ich werde heute Abend mal einen generellen Grundriss aufstellen, damit
man das abschätzen kann. ;)

@all: Ich möchte, wenn möglich, das ganze Distributionsabhängig gestalten,
jedoch auch ein konkretes Beispiel darstellen. Deshalb werden wohl in die
grundlegenden Texte Abschnitte eingefügt werden, die sich dann direkt
auf eine bestimmte Distribution beziehen. Welche das allerdings sein wird,
weiss ich nicht.
Das ganze soll auch so gestaltet werden, dass es ohne Probleme auf
andere Distributionen oder auch OS'e angewendet werden kann.

Greets,

Out

[Joe User]

Ein eigenes Subforum halte ich derzeit für Overkill, da wir zum Einen bereits das Security haben und zum Zweiten das HowTo noch nicht existiert.

Das ich (privat) an einem Hardened-LFS arbeite, ist durchaus richtig, aber nicht der ausschlaggebende Grund für das "Distributionsunabhängig". Ich habe lediglich die Befürchtung, dass (einmal mehr) Debian als Basis genommen wird und somit ~80% der geneigten User "ausgeschlossen" werden. Nicht jeder User möchte sein existierendes System umstellen, oder eine weitere Distribution installieren.

BTW: Hardening beginnt zur Compiletime, nicht zur Runtime und betrifft das gesammte System, nicht nur einzelne Pakete. Ein Hardened-$Source nutzt einem nichts, wenn bereits die zu Grunde liegende libc unhardened ist...

PS: Bei Bedarf kann ich meine aktuelle, unkommentierte (teilweise unvollständige) Patchsammlung ohne jegliche Gewähr zur Verfügung stellen.

[outofbound]

@JoeUser:

Hardening fängt schon bei weitem vor der Compiletime an ;) ;)

Das Ziel ist soll es sein, ein SICHERES System zu bauen, und dieses
auch Sicher halten zu können. Wir haben schon genug schnelle unsichere Systeme,
da brauchen wir nicht noch mehr.

Allein schon beim Partitionieren kann man riesige Fehler machen, die einem
zwar im normalen Betrieb nicht auffallen, aber gravierend sind.

Ich möchte das ganze aus der Verschwörungs- Perspektive angehen:
ALLE und JEDER versuchen mich übers Ohr zu hauen, und ich kann
nichts und niemandem Vertrauen. (Schon gar nicht einem Besucher
auf meinem System, ob per Apache oder ssh, geschweige denn meinem
Provider).

Sinn der Sache ist ja auch, den Lesern ein Auge für Sicherheitsprobleme
zu vermitteln, diese zu erkennen und selbstständig zu lösen.

Gruss,

Out

PS: Bei Bedarf komm ich gerne drauf zurück. ;)

PPS: Mein Leitspruch : "Security isn't"

[captaincrunch]

Um auch noch etwas sinnloses beizutragen ;) :
Ich bin auch gespannt, wie ein solch umfangreiches Themenwerk in ein solches Format "reinzuzwängen" ist. ;) Sofern gewünscht, würde auch ich mich aber beteiligen, da ich meine Homepage schon länger mal mit sowas ausstatten wollte. Desweiteren denke ich, dass vier (oder gar sechs ;) ?) Augen mehr sehen als zwei. Was hältst du davon?

Btw.: Netter Leitspruch.

[dea]

Um auch noch etwas sinnloses beizutragen ;) :
Ich bin auch gespannt, wie ein solch umfangreiches Themenwerk in ein solches Format "reinzuzwängen" ist. ;)

Da darf ich nicht fehlen! ;)

Ich wünsch' Euch viel Erfolg, bin allerdings nach eigenen Erfahrungen bei diesbezüglichen Projekten eher skeptisch. Ganz abgesehen davon gibt es vor allem zu diesen (grundlegenden) Themen eine ganze Reihe von HOWTOs und umfangreichen Dokumentationen frei im Netz, einen Sinn sehe ich also eher in der Sammlung und Aufbereitung der entsprechenden Inhalte.

Trotzdem biete ich auch meine Mithilfe an. Ich kann allerdings aus Zeitmangel nur "auf Zuruf" tätig werden, wenn Ihr also was aus den Bereichen Base-Hardening, IDS und Forensik wissen/haben wollt gebt Bescheid.

[schlumpfi]

Hallo,
ich wollte einfach mal fragen, ob ein Interesse an soetwas besetehen würde.
Ich meine damit NICHT: "Immer fleissig patchen und gut ist", sondern
eher ein Grundlegendes Howto, welches sich mit dem Aufsetzen eines "Sicheren"
Systems beschäftigt. Damit meine ich auch sichere Daten, sichere Software,
sichere Zugriffsmöglichkeiten, und vor allem sichere Wartungsmöglichkeiten.
Out

Das wäre schön, wenn Du Hilfe brauchst sag Bescheid.
regards,
Michael

[Anonymous]

Wenn ein Sponsor für das fertige "Werk" / HowTo gesucht wird, der es online stellt: mache ich kostenlos, wenn's was taugt, weil's eine gute Sache werden könnte!

[outofbound]

Ich bin gerade dabei, ein Preface zusammenzustellen.

Ich hoffe damit den Sinn und den Rahmen dieses Projekts
abzustecken, und den "nötigen" Spirit zu schaffen.

Stay tuned, ich denke das ich es vor dem Wochenende
noch irgendwo releasen werde.

Dann kann man sich um die erste Darstellungsform streiten ;)
(Forum, ML, Blog, cvs oder whatever)

Gruss,

Out

[mutombo]

jo das hört sich wirklich interessant an.

zum thema chroot/apache kann ich bestimmt auch ne menge beitragen, da mein chroot jetzt schon seit ein paar monaten ohne weiter fehler läuft.

[steph]

hört sich auf jeden fall sehr interessant an und würde auch gern meine hilfe anbieten,
also vieleicht korrektur lesen oder testen (wollte eh meinen lan server neu aufsetzen)

also immer her damit ;)

grüße, stephan

[monotek]

hät an sowas auch immer interesse...

[fritz]

Hi Out,
gibt es Neuigkeiten? Oder habe ich in einem anderen thread den Anschluss oder einen Link verpasst?
Gruss Fritz

[tobiask]

jo, fänd ich super!