Jetzt *zitter*! :(

Rund um die Sicherheit des Systems und die Applikationen
User avatar
/dev/null
Posts: 149
Joined: 2003-09-11 15:24
Location: Cyberspace

Jetzt *zitter*! :(

Post by /dev/null » 2003-09-19 22:15

Ich hab gerade hier in diesem Forum ein wenig gelesen und irgendwie Angst davor bekommen, was nun noch auf mich zukommen (könnte).

Mein Problem ist aktuell, dass ich quasi schon alles in die Wege geleitet habe und daher nun keinen Weg mehr zurück habe. Es wird ein Root-Server sein und das was ich vor habe ist auch nur mit entsprechendem Serverzugriff (Also root! ;)) möglich.

Nur Sicherheit ist da noch ein anderes Thema. Was auf dem Server läuft bzw. laufen soll weiß ich nun schon längst.

Als Grundsystem Debian, ein Mailserver (Postfix), ein IMAP-Server (Cyrus), ein DNS (Bind9), ein FTP-Server (Denke vsftpd scheint ganz gut zu sein!), logischerweise ein SSHD, für die Sicherheit noch iptables und (und davor hab ich am meisten Angst) ein Webserver, sprich ein Indianer. (Möglicherweise kommen da noch 1 bis 2 GameServer sporadisch dazu aber das ist nix permanentes!)

^^ Hoffe ich hab jetzt nichts vergessen!

Alles so weit schön und gut, ich traue mir sogar zu das ganze ein zu richten. (Hab jede dieser Dienste sschon erfolgreich auf anderen Servern am laufen gehabt.) Nur hab ich momentan den dumpfen verdacht ich sitze jeden Abend vor dem Server und stopfe eine neue Sicherheitslücke. (Vor allem der Indianer scheint eine einzig große Lücke zu sein!)

Oder sehe ich das falsch?

majortermi
Userprojekt
Userprojekt
Posts: 916
Joined: 2002-06-17 16:09

Re: Jetzt *zitter*! :(

Post by majortermi » 2003-09-20 11:36

Im Apache sind in letzter Zeit kaum kritische Lücken aufgetaucht. Am gefährlichsten dürften die Gameserver sein, da Spiele-Programmierer meistens keinen besonders großen Wert auf Stabilität und Sicherheit legen.
Auch den FTP-Daemon würde ich lieber weglassen - es gibt schließlich sftp.
Erst nachlesen, dann nachdenken, dann nachfragen... :)
Warum man sich an diese Reihenfolge halten sollte...

User avatar
/dev/null
Posts: 149
Joined: 2003-09-11 15:24
Location: Cyberspace

Re: Jetzt *zitter*! :(

Post by /dev/null » 2003-09-20 13:47

Na ja, die Gameserver laufen wenn dann eh nicht permanennt durch. (Ich weiss auch ein kurzes Risiko ist ein Risiko!)

Das mit dem FTPD is so ne Sache, ich hoste nämlich 2 - 3 Websides von leuten die wissen wie man einen PC einschaltet. :oops: Bin mir ned SOOO sicher ob die mit WinSCP zurecht kommen...

captaincrunch
Userprojekt
Userprojekt
Posts: 7066
Joined: 2002-10-09 14:30
Location: Dorsten

Re: Jetzt *zitter*! :(

Post by captaincrunch » 2003-09-20 16:31

Wo bitteschön ist denn deiner Meinung nach der große Unterschied zwischen einem Windows-FTP-Client und WinSCP ?
DebianHowTo
echo "[q]sa[ln0=aln256%Pln256/snlbx]sb729901041524823122snlbxq"|dc

User avatar
nyxus
Posts: 626
Joined: 2002-09-13 08:41
Location: Lübeck

Re: Jetzt *zitter*! :(

Post by nyxus » 2003-09-20 17:02

CaptainCrunch wrote:Wo bitteschön ist denn deiner Meinung nach der große Unterschied zwischen einem Windows-FTP-Client und WinSCP ?
Zumindest auf dem Server hat man den Unterschied, daß man für SCP extra eine chroot-Umgebung für ssh konfigurieren muß/sollte. Ich empfinde das schon als Nachteil.

captaincrunch
Userprojekt
Userprojekt
Posts: 7066
Joined: 2002-10-09 14:30
Location: Dorsten

Re: Jetzt *zitter*! :(

Post by captaincrunch » 2003-09-20 17:13

OK, das ist natürlich ein Argument. Diesen Punkt hatte ich bei dem Posting nicht bedacht, sondern wollte eigentlich nur klarstellen, dass es aus Sicht der "Anwender" keinen Unterschied macht, ob sie einen grafischen FTP- oder einen SCP-Client nutzen. D'accord ? ;)
DebianHowTo
echo "[q]sa[ln0=aln256%Pln256/snlbx]sb729901041524823122snlbxq"|dc

User avatar
nyxus
Posts: 626
Joined: 2002-09-13 08:41
Location: Lübeck

Re: Jetzt *zitter*! :(

Post by nyxus » 2003-09-20 21:04

CaptainCrunch wrote:D'accord ? ;)
Einen Unterschied habe ich dann trotzdem noch: SmartFTP ist "hübscher" als WinSCP ... :wink:

User avatar
/dev/null
Posts: 149
Joined: 2003-09-11 15:24
Location: Cyberspace

Re: Jetzt *zitter*! :(

Post by /dev/null » 2003-09-20 21:33

Hmm... Ihr versteht nicht!

Diese Leute gucken mich an und sagen:
"FTP? Ist das ein bestandteil von M$-Office?"

Na ja also das mit SCP werde ich vermutlich machen! Habe mir das bisher noch nie angeguckt aber sieht so weit eh ganz gut aus und ne chroot-umgebung hin zu bekommen ist nicht wirklich schwer! :)

majortermi
Userprojekt
Userprojekt
Posts: 916
Joined: 2002-06-17 16:09

Re: Jetzt *zitter*! :(

Post by majortermi » 2003-09-20 21:43

Für SFTP bräuchte man IMHO noch nicht einmal eine chroot-Umgebung, es reicht den Benutzern als Shell die "rssh" zu geben, damit können sie eigentlich keinen Schaden anrichten.
Erst nachlesen, dann nachdenken, dann nachfragen... :)
Warum man sich an diese Reihenfolge halten sollte...

dea
Posts: 532
Joined: 2002-08-13 12:05

Re: Jetzt *zitter*! :(

Post by dea » 2003-09-20 23:39

Hmmm - mir würde ja, mehr noch als das Thema "S/FTP", die Sorge(n) um die Scripte der "Kunden" schlaflose Nächte bereiten.

Der Indianer ist soweit als sicher anzusehen und auch entsprechend zu könfigurieren. Aber PHP ist es sicherlich </kalau> nicht - vor allem in Bezug auf Multi-User Umgebungen (ich traue auch Lösungen wie suExec keine wirkliche Verbesserung der Situation zu). Man schaue nur mal in's Skripting-Board...

Ich wünsch' Dir auf alle Fälle viel Glück und Erfolg :)

P.S.: Du bist Dir schon im Klaren, dass ein Gameserver sämtliche Sicherheitsmaßnahmen überflüssig macht? Allein mit den PoC Codes von pivx (und geeigneten Verbesserungen) öffnest Du jeden Gamer, einige Exploits "bieten" Dir sogar root-Rechte ... :?

User avatar
/dev/null
Posts: 149
Joined: 2003-09-11 15:24
Location: Cyberspace

Re: Jetzt *zitter*! :(

Post by /dev/null » 2003-09-21 01:01

dea wrote:P.S.: Du bist Dir schon im Klaren, dass ein Gameserver sämtliche Sicherheitsmaßnahmen überflüssig macht? Allein mit den PoC Codes von pivx (und geeigneten Verbesserungen) öffnest Du jeden Gamer, einige Exploits "bieten" Dir sogar root-Rechte ... :?
Ja leider... :(

Sei es drum möglicherweise muss ich durch, möglicherweise bleibt mir das auch erspaart... Keine ahnung!

Habe vor ein paar Stunden den letzten Schritt getan und die Bestellung weg geschickt! Hoffe ich hab mich da für den Richtigen Hoster entschieden! ;)

bmp
Posts: 116
Joined: 2003-03-13 16:30

Re: Jetzt *zitter*! :(

Post by bmp » 2003-09-23 15:53

dea wrote:P.S.: Du bist Dir schon im Klaren, dass ein Gameserver sämtliche Sicherheitsmaßnahmen überflüssig macht? Allein mit den PoC Codes von pivx (und geeigneten Verbesserungen) öffnest Du jeden Gamer, einige Exploits "bieten" Dir sogar root-Rechte ... :?
Mal ne ganz doofe Frage, wenn ich ein GS als kleinen benutzer einrichte, kann sich dann durch ein sicherheitsloch einer als root anmelden ??

arty
Userprojekt
Userprojekt
Posts: 729
Joined: 2002-06-12 10:11

Re: Jetzt *zitter*! :(

Post by arty » 2003-09-23 16:32

Hi,
dea wrote:Aber PHP ist es sicherlich </kalau> nicht - vor allem in Bezug auf Multi-User Umgebungen (ich traue auch Lösungen wie suExec keine wirkliche Verbesserung der Situation zu). Man schaue nur mal in's Skripting-Board...
mit PHP als CGI über suExec oder suphp ist PHP recht sicher zu bekommen. :)

bye
arty

darkspirit
Posts: 553
Joined: 2002-10-05 16:39
Location: D'dorf

Re: Jetzt *zitter*! :(

Post by darkspirit » 2003-09-23 16:40

Mal ne ganz doofe Frage, wenn ich ein GS als kleinen benutzer einrichte, kann sich dann durch ein sicherheitsloch einer als root anmelden ??
Nein, aber wenn dieser Account durch den Gameserver gehackt wird, ist der Schritt zu Root kein weiter mehr. Lokal hat ein Angreifer viel mehr Möglichkeiten.

cschwede
Posts: 28
Joined: 2003-07-14 12:51
Location: Hamburg

Re: Jetzt *zitter*! :(

Post by cschwede » 2003-10-03 17:22

/dev/null wrote:Hmm... Ihr versteht nicht!

Diese Leute gucken mich an und sagen:
"FTP? Ist das ein bestandteil von M$-Office?"
Nimm WebDAV mit ssl+auth gesichert. Funktioniert super (Internet-Explorer -> Webordner ;-) ), nur der Webserver hat Zugriff drauf, ist verschlüsselt, hast keine Probleme mit Zugriffsrechten auf die Dateien etc.
Und Du ersparst dir die admin von nem FTP-Server.