Ich habe Mal eine Frage zu den Security How-Tos die man an verscheidenen Stellen im Netz findet, z.B. http://www.eth0.us
Angenommen, man führt das meiste davon durch, d.h. /tmp als no-exec, mod_security, chmod 750 für wget usw.
Wie effektiv ist diese Verteidigung gegen Script-Kiddies, die eine bestehende Lücke in phpBB oder einem Nuke System ausnutzen wollen (angenommen, diese Scripte sind noch ungepatcht mit der Lücke auf dem Server)?
Mich interessiert zu wissen, wieviel von den Standard-Attacken dadurch erfahrungsgemäss abgewehrt werden kann, wenn Kunden Scripts mit Sicherheitslücken auf dem Server installieren.
Security HOW-TOs - wie wirksam?
Re: Security HOW-TOs - wie wirksam?
IMHO ist es sicherlich nicht verkehrt ein paar Dinge davon umzusetzen.
Soweit ich weiß konnten ja einige der phpBB Lücken durch gute mod_security Filter "geschlossen", also die Requests entfernt werden.
Da Sicherheit nicht messbar ist kann man eben schlecht bewerten. Jeder muss selber entscheiden was er tut und was nicht...
Man muss sich immer fragen gegen was man sich schützen will, dann kann man auch überlegen wie man es tut.
Soweit ich weiß konnten ja einige der phpBB Lücken durch gute mod_security Filter "geschlossen", also die Requests entfernt werden.
Da Sicherheit nicht messbar ist kann man eben schlecht bewerten. Jeder muss selber entscheiden was er tut und was nicht...
Man muss sich immer fragen gegen was man sich schützen will, dann kann man auch überlegen wie man es tut.
Re: Security HOW-TOs - wie wirksam?
Script Kiddies in Verbindung mit Lücken in phpBB2, Postnuke und ähnlichem waren bisher meine grösste Sorge.
Re: Security HOW-TOs - wie wirksam?
Für (.*)nuke(.*) gilt: Finger weg!
Für phpBB2 <2.0.17 gilt: Finger weg!
Für phpBB2 >=2.0.17 gilt: Vanilla only, oder die MODs genauestens auf mögliche Inkompatibilitäten und potentielle Sicherheitslücken prüfen und diese dem jeweiligen Autoren mitteilen.
BTW: Wenn möglich, sollte man auf phpBB2 2.0.18 warten, da die Codebase derzeit nochmals vollständig auf potentielle Bugs untersucht wird. Das heisst, es wird definitiv eine 2.0.18 und auch eine 2.0.19 geben, selbst wenn keine sicherheitsrelevanten Bugs gefunden werden sollten...
Für phpBB2 <2.0.17 gilt: Finger weg!
Für phpBB2 >=2.0.17 gilt: Vanilla only, oder die MODs genauestens auf mögliche Inkompatibilitäten und potentielle Sicherheitslücken prüfen und diese dem jeweiligen Autoren mitteilen.
BTW: Wenn möglich, sollte man auf phpBB2 2.0.18 warten, da die Codebase derzeit nochmals vollständig auf potentielle Bugs untersucht wird. Das heisst, es wird definitiv eine 2.0.18 und auch eine 2.0.19 geben, selbst wenn keine sicherheitsrelevanten Bugs gefunden werden sollten...
PayPal.Me/JoeUser ● FreeBSD Remote Installation
Wings for Life ● Wings for Life World Run
„If there’s more than one possible outcome of a job or task, and one
of those outcomes will result in disaster or an undesirable consequence,
then somebody will do it that way.“ -- Edward Aloysius Murphy Jr.
Wings for Life ● Wings for Life World Run
„If there’s more than one possible outcome of a job or task, and one
of those outcomes will result in disaster or an undesirable consequence,
then somebody will do it that way.“ -- Edward Aloysius Murphy Jr.
Re: Security HOW-TOs - wie wirksam?
wie wirksam ist fastcgi/suexec PHP dagegen?
Re: Security HOW-TOs - wie wirksam?
Kaum bis gar nicht...Manarak wrote:wie wirksam ist fastcgi/suexec PHP dagegen?
PayPal.Me/JoeUser ● FreeBSD Remote Installation
Wings for Life ● Wings for Life World Run
„If there’s more than one possible outcome of a job or task, and one
of those outcomes will result in disaster or an undesirable consequence,
then somebody will do it that way.“ -- Edward Aloysius Murphy Jr.
Wings for Life ● Wings for Life World Run
„If there’s more than one possible outcome of a job or task, and one
of those outcomes will result in disaster or an undesirable consequence,
then somebody will do it that way.“ -- Edward Aloysius Murphy Jr.