RootForum Community

Resources for System-Administrators
https://www.rootforum.org/forum/

simple iptables Firewall funktioniert nicht auf vserver

https://www.rootforum.org/forum/viewtopic.php?t=42347

Page 2 of 2

Re: simple iptables Firewall funktioniert nicht auf vserver

Posted: 2006-09-06 00:16
by mmm
Hi knifegunaxe,

Deinem vServer fehlt ein Kernel-Modul fürs Connection-Tracking. Das kann nur Dein vServer-Anbieter installieren, und das ist auch üblicherweise auch immer vorhanden, denn andernfalls macht iptables nicht wirklich Spaß.

Aus meiner Sicht macht der Einsatz von iptables auf einem freistehenden Server immer Sinn, denn ein guter Schutz ist mehrstufig aufgebaut. Und wenn der Filter bei einem gut konfigurierten System nur dazu dient, dem Admin beim gelegentlichen Fehler machen das Leben zu erleichtern, dann reicht das für mich schon als Argument.

Re: simple iptables Firewall funktioniert nicht auf vserver

Posted: 2006-09-06 08:04
by captaincrunch
Und wenn der Filter bei einem gut konfigurierten System nur dazu dient, dem Admin beim gelegentlichen Fehler machen das Leben zu erleichtern, dann reicht das für mich schon als Argument.
Sofern der Admin sein Handwerk (und vor allem IPTables) versteht: jein. ;)

Re: simple iptables Firewall funktioniert nicht auf vserver

Posted: 2006-09-06 09:27
by mattiass
flo wrote:
Jails und chroot schön und gut, aber hier verläßt man sich dann über kurz oder lang dann auch wieder darauf, daß das Ding "sicher" ist, auch wenn es genügend Möglichkeiten gibt, aus solchen Mechanismen auszubrechen.
Chroots sind tatsächlich lächerlich, da man im Chroot an Device-Nodes oder Netzwerk-Interfaces rankommt und damit Schmuh machen kann. Jails sind deutlich sicherer, da sie die Modifikation von Netzwerk-Interfaces, Syctl-Werten etc. verhindern.

Ausbruchsmöglichkeiten aus Jails sind mir noch keine bekannt geworden. Es gab AFAIK gelegentliche Race-Conditions, die aber immer schnell gefixt waren und so nie zu einem Problem wurden. Poul-Henning Kamp hat da sehr gute Arbeit geleistet.
Die wenigsten Attacken sind ja wirkliche Rootkits oder auch nur im entferntesten darauf ausgelegt, den Server komplett zu übernehmen oder alle Daten auszuspähen.
Ja, aber ein Jail kann auch da helfen: Wenn ich jeden Kunden mit Forum in einen Jail stecke, dann habe ich es mit der Suche leichter, wenn über meine Kiste V1@gra-Mails verschickt werden. Ich kann einen Jail mal runternehmen und nach Hause syncen und dort schauen, was der macht -- ohne alle anderen Jails negativ zu beeinflussen.
All times are UTC+02:00
Page 2 of 2