schade, dass du deine trickkiste nicht auf deiner ueberall angepriesenen seite
http://www.debianhowto.de praesentierst sondern nur 0815-sachen und man hier im forum suchen muss
1. Ist das Debianhowto nicht
meine Seite.
2. Habe ich seit geraumer Zeit zig andere Dinge zu tun, die mich nun einmal davon abhalten, zeitnah Howtos fertigzubekommen. Entschuldige, dass auch ich irgendwie meinen Lebensunterhalt verdienen muss, und nicht jedem hier alles vorkauen kann... :roll:
in deiner letzten aussage gehst du einfach davon aus, dass jeder, der hier nen account hat, jeden thread liest und auswendig lernt
Falsch: ich gehe davon aus dass jemand, der seine Kiste vernünftig absichern will in der Lage ist, mindestens die Suchfunktion hier zu betätigen, oder sich mal ein wenig hier im Security-Bereich umzuschauen...von Google möchte ich jetzt erst gar nicht reden.
Um mir nicht weiter vorwerfen lassen zu müssen, ich würde die User hier "doof" in ihr Verderben rennen lassen, hier also dann mal mein Security-"Leitfaden" (mal ganz nebenbei bemerkt: wieso bitteschön sollte ich hier eigentlich der einzige sein, der hier einen "Leitfaden" liefern könnte?):
Grundlegendes
1. Wer nicht in der Lage ist, seine Kiste wenigstens grundlegend abzusichern braucht keinen im Internet erreichbaren Server.
2. Eine Distri nutzen, mit der man selbst am besten klar kommt, und die einem das flauschig-wärmste Gefühl vermittelt. Was die Reaktionszeit auf Security-Updates angeht tun sich da alle (auf einem Server brauchbaren) nicht mehr allzu viel.
3. Auf dem laufenden bleiben, z.B. durch Mailinglisten wie die Security-Announce des Distributors (absolutes Pflichtprogramm), Bugtraq und/oder Full-Disclosure (wobei letztere qualitativ ziemlich abgenommen hat).
4. Ausarbeitung eines (groben) Sicherheitskonzepts bereits
vor der Bestellung. Dieses sollte
mindestens Ã?berlegungen enthalten, welche Dienste wem wie zur Verfügung gestellt werden. Darauf aufbauend kann überlegt werden, wie diese Dienste abzusichern sind. Auch sollte darin enthalten sein, welchen Aufwand ein Mindestmaß an Sicherheit überhaupt erforderlich macht, einfaches Beispiel: ein Server, der drei private Homepages lagert benötogt sicherlich (etwas) weniger Schutz als eine Kiste, mit der Umsätze in Millionenhöhe gemacht werden.
5. Umsetzung des Konzepts: Die zur Verfügung gestellten Dienste nach bestem Wissen und Gewissen "sicher" konfigurieren.
6. "Feintuning" des Konzepts. (*)
7. "Sicherheit" ist kein Zustand, sondern ein fortwährender Prozess. Daher sollte auch das eigene Sicherheitskonzept ständig auf's neue hinterfragt und vor allem (z.B. durch Hilfe externer) gestestet werden.
Alleine durch diese 7 Punkte hält man sich bereits den allergrößten Anteil potenzieller Angreifer vom Leib.
Proaktive Sicherheit
8. Der Einsatz von PaX, PIE, libsafe, systrace (in Maßen), etc. kann bereits im Vorfeld helfen, neu aufgetretene Bugs bereits im Keim zu ersticken, da diese Tools einen gewissen Schutz vor Buffer- und/oder Heap-Overflows bieten, und so viele Exploits ins Leere laufen lassen.
Durch diese relativ einfachen Maßnahmen ist die "Gefahr", die von Scritpkiddies ausgeht fast vollständig gebannt...der nächste Kernel-Bug wird aber wohl auch nicht allzu lange auf sich warten lassen, ergo ist auch hier kein vollständiger, dafür aber schon ziemlich großer Schutz gegeben.
Die "hohe Schule"
9. Mit Hilfe von GRSecurity-ACLs (na ja), SELinux oder RSBAC lässt sich das Prinzip der geringsten Privilegien perfekt umsetzen. z.B. wird es so (wie oben angedeutet) möglich, root endlich seiner Allmacht zu entheben.
Spätestens durch diese Maßnahmen werden auch Angreifer mit höherem Background ganz massiv auf die Probe gestellt. Denjenigen, die RSBAC aushebeln könn(t)en wird ein dösiger kleiner Rootserver jedenfalls ziemlich am Arsch vorbeigehen.
10. siehe Punkt 7.
Da jetzt zwangsläufig wieder die Frage kommt, warum das alles so "wischi-waschi"-Aussagen sind, werde ich die (auch bereits ziemlich oft zuvor gegebene) Antwort hier direkt einmal (erneut) vorwegnehmen:
"Sicherheit" und Sicherheitskonzepte sind in
höchstem Maße individuelle Dinge, die sich ganz einfach beim besten Willen nicht pauschalisieren lassen. Eine (vermeintlich) simple "Abweichung" einer Konfiguration (z.B. des Apachen) kann daher ein komplett anderes Konzept erforderlich machen.
Darüber hinaus gibt es zig Möglichkeiten zur Umsetzung eines Sicherheitskonzepts, die sich durch Aufwand, Komplexität und tatsächlichem Sicherheitsgewinn teils massiv unterscheiden.
(*) Natürlich
kann dieses Feintuning auch Maßnahmen wie die hier bereits genannten umfassen, bei einer korrekten Umsetzung des ganzen sind sie aber (IMHO immer noch) eher Zeitverschwendung, da sich besonders durch die Punkte, die über die Grundlagen hinaus gehen erheblich besserer Schutz gewährleisten lässt.
Nachtrag 1 (ohne hiermit jetzt den nächsten Distri-Flame vom Zaun brechen zu wollen): was die genannten erweiterten Maßnahmen angeht, nehmen einem Distris wie Adamantix oder Gentoo Hardened bereits einen Großteil der Arbeit, jedoch nicht das selbständige Denken ab.
Nachtrag 2: Wie oob schon sagte: "Security isn't". Perfekte Sicherheit wird's nie geben, es wird sich immer irgend jemand finden, der besser ist.
