simple iptables Firewall funktioniert nicht auf vserver

Rund um die Sicherheit des Systems und die Applikationen
Post Reply
mmm
Posts: 11
Joined: 2006-02-11 15:26
 

Re: simple iptables Firewall funktioniert nicht auf vserver

Post by mmm »

Hi knifegunaxe,

Deinem vServer fehlt ein Kernel-Modul fürs Connection-Tracking. Das kann nur Dein vServer-Anbieter installieren, und das ist auch üblicherweise auch immer vorhanden, denn andernfalls macht iptables nicht wirklich Spaß.

Aus meiner Sicht macht der Einsatz von iptables auf einem freistehenden Server immer Sinn, denn ein guter Schutz ist mehrstufig aufgebaut. Und wenn der Filter bei einem gut konfigurierten System nur dazu dient, dem Admin beim gelegentlichen Fehler machen das Leben zu erleichtern, dann reicht das für mich schon als Argument.
Top
captaincrunch
Userprojekt
Userprojekt
Posts: 7066
Joined: 2002-10-09 14:30
Location: Dorsten
Contact:
Contact captaincrunch
 

Re: simple iptables Firewall funktioniert nicht auf vserver

Post by captaincrunch »

Und wenn der Filter bei einem gut konfigurierten System nur dazu dient, dem Admin beim gelegentlichen Fehler machen das Leben zu erleichtern, dann reicht das für mich schon als Argument.
Sofern der Admin sein Handwerk (und vor allem IPTables) versteht: jein. ;)
DebianHowTo
echo "[q]sa[ln0=aln256%Pln256/snlbx]sb729901041524823122snlbxq"|dc
Top
mattiass
Userprojekt
Userprojekt
Posts: 608
Joined: 2005-12-16 17:57
 

Re: simple iptables Firewall funktioniert nicht auf vserver

Post by mattiass »

flo wrote:
Jails und chroot schön und gut, aber hier verläßt man sich dann über kurz oder lang dann auch wieder darauf, daß das Ding "sicher" ist, auch wenn es genügend Möglichkeiten gibt, aus solchen Mechanismen auszubrechen.
Chroots sind tatsächlich lächerlich, da man im Chroot an Device-Nodes oder Netzwerk-Interfaces rankommt und damit Schmuh machen kann. Jails sind deutlich sicherer, da sie die Modifikation von Netzwerk-Interfaces, Syctl-Werten etc. verhindern.

Ausbruchsmöglichkeiten aus Jails sind mir noch keine bekannt geworden. Es gab AFAIK gelegentliche Race-Conditions, die aber immer schnell gefixt waren und so nie zu einem Problem wurden. Poul-Henning Kamp hat da sehr gute Arbeit geleistet.
Die wenigsten Attacken sind ja wirkliche Rootkits oder auch nur im entferntesten darauf ausgelegt, den Server komplett zu übernehmen oder alle Daten auszuspähen.
Ja, aber ein Jail kann auch da helfen: Wenn ich jeden Kunden mit Forum in einen Jail stecke, dann habe ich es mit der Suche leichter, wenn über meine Kiste V1@gra-Mails verschickt werden. Ich kann einen Jail mal runternehmen und nach Hause syncen und dort schauen, was der macht -- ohne alle anderen Jails negativ zu beeinflussen.
Top
Post Reply

Return to “Security”