Anfrage: Interesse an "Sicherheits"- Howto

Lesenswerte Artikel, Anleitungen und Diskussionen
outofbound
Posts: 470
Joined: 2002-05-14 13:02
Location: Karlsruhe City

Anfrage: Interesse an "Sicherheits"- Howto

Post by outofbound » 2004-02-11 14:34

Hallo,

ich wollte einfach mal fragen, ob ein Interesse an soetwas besetehen würde.

Ich meine damit NICHT: "Immer fleissig patchen und gut ist", sondern
eher ein Grundlegendes Howto, welches sich mit dem Aufsetzen eines "Sicheren"
Systems beschäftigt. Damit meine ich auch sichere Daten, sichere Software,
sichere Zugriffsmöglichkeiten, und vor allem sichere Wartungsmöglichkeiten.

Ein paar Anregungen, die Teil davon werden sollen:
"Crypted Filesystems - Warum (z.B. den Swap, oder /tmp)?"
"Paranoid sein heisst nicht, dass sie nicht doch hinter dir her sind".
"Grundlagen der Kryptographie ;)"
"Warum in aller Welt 10 Partitionen für einen einfachen Webserver?"
"Ich sehe was, was du nicht siehst. Erkennen und Abwehren von Angriffen".

Das ganze ist nicht auf Security mit dem Ziel "Ich hab einen Server, auf dem ich
Kunden hosten will und einen Gameserver laufen habe" , sondern
"Oh mein Gott, Admin sein ist wirklich schwierig" ausgelegt. Es wendet sich an
eher Fortgeschrittene Leute, die ein Interesse an soetwas haben.

(Da ich die letzten zwei Wochen nur damit verbracht habe, ist da sehr viel
Material angefallen)

Gruss,

Out

vevelt
Posts: 122
Joined: 2003-08-01 12:18
Location: Itzehoe

Klar...

Post by vevelt » 2004-02-11 14:56

...selbstverständlich gerne... :-)
Vorallem einmal etwas, was viele Facetten berücksichtigt und einen guten Ã?berblick vermittelt.

Schon einmal danke, Sebastian.

captaincrunch
Userprojekt
Userprojekt
Posts: 7225
Joined: 2002-10-09 14:30
Location: Dorsten

Re: Anfrage: Interesse an "Sicherheits"- Howto

Post by captaincrunch » 2004-02-11 15:00

Interessant ist das ganze sicherlich für viele hier, wobei sich mir der Sinn von Crypto-Filesystemen auf einem Webserver bislang nicht so wirklich erschließen will. ;)
DebianHowTo
echo "[q]sa[ln0=aln256%Pln256/snlbx]sb729901041524823122snlbxq"|dc

andreask2
RSAC
Posts: 701
Joined: 2004-01-27 14:16
Location: Aachen

Re: Anfrage: Interesse an "Sicherheits"- Howto

Post by andreask2 » 2004-02-11 15:04

Hallo Out!

Also von meiner Seite besteht unbedingt ein riesengroßes Interesse, weil ich das ganze demnächst auch vor mir habe ;-)

Es wäre natürlich super wenn man ein paar gute Infos gesammelt hätte.

Was mich z.B. ganz besonders interessieren würde, wäre:

- Sichere Konfiguration von Diensten (vor allem Apache, vor allem in Kombination mit Scripting)
- gute/sichere Partitionierung/mounting (z.B. Apachen nur Zugriff auf spezielle Partitionen ermöglichen, auf denen er keine Ausführungsrechte hat...)
- evtl. Infos zu chrooten von Diensten(Apache), und Absicherung dessen (gresec...)
- überhaupt was zu einer möglichst sicheren Rechtevergabe
- evtl. was zu Kernelpatches(z.B. grsec) und dessen Konfiguration
- was zum loggen(z.B. syslog-ng), wie man sinnvolle Logs erhält in denen man schnell wichtige Infos findet
- evtl. was zur Erkennung und Benachrichtigung bei möglichen Problemen, evtl. mit Hilfe von syslog(-ng), oder evtl. tripwire...
- vielleicht noch was zu "beliebten" Angriffsszenarien, und wie man sich am besten davor schützt
- Einrichtung/Rechte eines Admin-Users, so dass möglichst wenig root nötig ist
- ... :)

Ich denke ich falle eher in die 2. Kategorie, "Oh mein Gott, Admin sein ist wirklich schwierig" ;-)
Ich will auf dem Webserver+Datenbank nur ein Projekt hosten, brauche aber viele Anpassungen die mir ein Managed-Server/Shared-Hosting... nicht bieten kann, und ich habe schon viel gelesen zum Thema, auch diverse howtos, zu den obigen Punkten weiß ich auch schon einiges (auch dank einiger sehr guter Postings in diesem Forum!), aber ich könnte noch nicht wirklich von mir behaupten dass ich mir in den Punkten so richtig sicher bin, und wäre für jede zusätzliche Information sehr dankbar, daher kann ich Dein Vorhaben nur unterstützen ;-)

Vermutlich habe ich da teilweise auch andere Vorstellungen als Du, und man könnte sicher ganze Bücher zu den Themen schreiben, aber wie gesagt, ich bin froh über jede neu Info und über jede geklährte "Angelegenheit" ;-)

Also von meiner Seite her ein eindeutiges +1 :)


Viele Grüße,
Andreas

outofbound
Posts: 470
Joined: 2002-05-14 13:02
Location: Karlsruhe City

Re: Anfrage: Interesse an "Sicherheits"- Howto

Post by outofbound » 2004-02-11 15:14

CaptainCrunch wrote:Interessant ist das ganze sicherlich für viele hier, wobei sich mir der Sinn von Crypto-Filesystemen auf einem Webserver bislang nicht so wirklich erschließen will. ;)
Mit Crypto-FS ist es immer wieder so eine Sache, gerade bei Servern im Netz.
Schliesslich: "Wenn ich was wichtiges schützenswertes habe, dann schieb ichs nicht
auf einen Rechner mit Netzwerkkarte".

Manchmal ergeben sich aber doch sicher Situationen, in denen ein Crypto-FS
was bringen könnte ;)

(Ich hab z.B. meine ganzen Sourcen des Systems gecrypted auf einer eigenen
Partition liegen... das allerdings als Externes Backup). ;) ;)

Greets,

Out

checker
Posts: 113
Joined: 2003-06-09 13:17

Re: Anfrage: Interesse an "Sicherheits"- Howto

Post by checker » 2004-02-11 15:44

Hallo,

das hört sich ja wirklich mal interessant an.
Ich hätte absolut nichts dagegen...

Naja wie sieht es denn so im Detail mit dem Umpfang und der benötigten Zeit aus? Wann wird sowas starten, stellst du dir das wie ein howto oder eher eine Diskussion vor?

Gruß checker

User avatar
Joe User
Project Manager
Project Manager
Posts: 11583
Joined: 2003-02-27 01:00
Location: Hamburg

Re: Anfrage: Interesse an "Sicherheits"- Howto

Post by Joe User » 2004-02-11 15:58

Sehr gute Idee, bleibt lediglich die Frage nach der Basis, sprich:
Wird das HowTo auf einer bestimmten Distribution (Welche?) aufsetzen?

/me: Distributionsunabhängig bevorzugend...
PayPal.Me/JoeUserFreeBSD Remote Installation
Wings for LifeWings for Life World Run

„If there’s more than one possible outcome of a job or task, and one
of those outcomes will result in disaster or an undesirable consequence,
then somebody will do it that way.“ -- Edward Aloysius Murphy Jr.

floschi
Userprojekt
Userprojekt
Posts: 3388
Joined: 2002-07-18 08:13
Location: München

Re: Anfrage: Interesse an "Sicherheits"- Howto

Post by floschi » 2004-02-11 16:28

An sich eine gute Idee, zumal ich arbeitsmäßig gerade zwischen Client- und Server-Hardening hin- und herwechsle (neben den 100 anderen Dingen *g*).

An sich bevorzugen würde ich auch ein Distriunabhängiges Howto, was aber bei deiner Vorliebe zu LFS (da erinnere ich mich doch richtig?) kein Problem darstellen sollte.

Wenn du es als Projekt im RootForum aufziehen willst, können wir gerne über ein Subforum mit evtl. geeigneten Rechten reden, sofern du es wünschst ;)

outofbound
Posts: 470
Joined: 2002-05-14 13:02
Location: Karlsruhe City

Re: Anfrage: Interesse an "Sicherheits"- Howto

Post by outofbound » 2004-02-11 16:38

@olfi:

Ja, ich denke die Idee mit dem Subforum wäre nicht schlecht.
Ich werde heute Abend mal einen generellen Grundriss aufstellen, damit
man das abschätzen kann. ;)

@all: Ich möchte, wenn möglich, das ganze Distributionsabhängig gestalten,
jedoch auch ein konkretes Beispiel darstellen. Deshalb werden wohl in die
grundlegenden Texte Abschnitte eingefügt werden, die sich dann direkt
auf eine bestimmte Distribution beziehen. Welche das allerdings sein wird,
weiss ich nicht.
Das ganze soll auch so gestaltet werden, dass es ohne Probleme auf
andere Distributionen oder auch OS'e angewendet werden kann.

Greets,

Out

User avatar
Joe User
Project Manager
Project Manager
Posts: 11583
Joined: 2003-02-27 01:00
Location: Hamburg

Re: Anfrage: Interesse an "Sicherheits"- Howto

Post by Joe User » 2004-02-11 17:00

Ein eigenes Subforum halte ich derzeit für Overkill, da wir zum Einen bereits das Security haben und zum Zweiten das HowTo noch nicht existiert.

Das ich (privat) an einem Hardened-LFS arbeite, ist durchaus richtig, aber nicht der ausschlaggebende Grund für das "Distributionsunabhängig". Ich habe lediglich die Befürchtung, dass (einmal mehr) Debian als Basis genommen wird und somit ~80% der geneigten User "ausgeschlossen" werden. Nicht jeder User möchte sein existierendes System umstellen, oder eine weitere Distribution installieren.

BTW: Hardening beginnt zur Compiletime, nicht zur Runtime und betrifft das gesammte System, nicht nur einzelne Pakete. Ein Hardened-$Source nutzt einem nichts, wenn bereits die zu Grunde liegende libc unhardened ist...

PS: Bei Bedarf kann ich meine aktuelle, unkommentierte (teilweise unvollständige) Patchsammlung ohne jegliche Gewähr zur Verfügung stellen.
PayPal.Me/JoeUserFreeBSD Remote Installation
Wings for LifeWings for Life World Run

„If there’s more than one possible outcome of a job or task, and one
of those outcomes will result in disaster or an undesirable consequence,
then somebody will do it that way.“ -- Edward Aloysius Murphy Jr.

outofbound
Posts: 470
Joined: 2002-05-14 13:02
Location: Karlsruhe City

Re: Anfrage: Interesse an "Sicherheits"- Howto

Post by outofbound » 2004-02-11 17:24

@JoeUser:

Hardening fängt schon bei weitem vor der Compiletime an ;) ;)

Das Ziel ist soll es sein, ein SICHERES System zu bauen, und dieses
auch Sicher halten zu können. Wir haben schon genug schnelle unsichere Systeme,
da brauchen wir nicht noch mehr.

Allein schon beim Partitionieren kann man riesige Fehler machen, die einem
zwar im normalen Betrieb nicht auffallen, aber gravierend sind.

Ich möchte das ganze aus der Verschwörungs- Perspektive angehen:
ALLE und JEDER versuchen mich übers Ohr zu hauen, und ich kann
nichts und niemandem Vertrauen. (Schon gar nicht einem Besucher
auf meinem System, ob per Apache oder ssh, geschweige denn meinem
Provider).

Sinn der Sache ist ja auch, den Lesern ein Auge für Sicherheitsprobleme
zu vermitteln, diese zu erkennen und selbstständig zu lösen.

Gruss,

Out

PS: Bei Bedarf komm ich gerne drauf zurück. ;)

PPS: Mein Leitspruch : "Security isn't"

captaincrunch
Userprojekt
Userprojekt
Posts: 7225
Joined: 2002-10-09 14:30
Location: Dorsten

Re: Anfrage: Interesse an "Sicherheits"- Howto

Post by captaincrunch » 2004-02-11 17:36

Um auch noch etwas sinnloses beizutragen ;) :
Ich bin auch gespannt, wie ein solch umfangreiches Themenwerk in ein solches Format "reinzuzwängen" ist. ;) Sofern gewünscht, würde auch ich mich aber beteiligen, da ich meine Homepage schon länger mal mit sowas ausstatten wollte. Desweiteren denke ich, dass vier (oder gar sechs ;) ?) Augen mehr sehen als zwei. Was hältst du davon?

Btw.: Netter Leitspruch.
DebianHowTo
echo "[q]sa[ln0=aln256%Pln256/snlbx]sb729901041524823122snlbxq"|dc

dea
RSAC
Posts: 619
Joined: 2002-08-13 12:05

Re: Anfrage: Interesse an "Sicherheits"- Howto

Post by dea » 2004-02-13 10:41

CaptainCrunch wrote:Um auch noch etwas sinnloses beizutragen ;) :
Ich bin auch gespannt, wie ein solch umfangreiches Themenwerk in ein solches Format "reinzuzwängen" ist. ;)
Da darf ich nicht fehlen! ;)

Ich wünsch' Euch viel Erfolg, bin allerdings nach eigenen Erfahrungen bei diesbezüglichen Projekten eher skeptisch. Ganz abgesehen davon gibt es vor allem zu diesen (grundlegenden) Themen eine ganze Reihe von HOWTOs und umfangreichen Dokumentationen frei im Netz, einen Sinn sehe ich also eher in der Sammlung und Aufbereitung der entsprechenden Inhalte.

Trotzdem biete ich auch meine Mithilfe an. Ich kann allerdings aus Zeitmangel nur "auf Zuruf" tätig werden, wenn Ihr also was aus den Bereichen Base-Hardening, IDS und Forensik wissen/haben wollt gebt Bescheid.

schlumpfi
Posts: 4
Joined: 2004-03-16 13:53

Re: Anfrage: Interesse an "Sicherheits"- Howto

Post by schlumpfi » 2004-03-16 14:12

OutOfBound wrote:Hallo,
ich wollte einfach mal fragen, ob ein Interesse an soetwas besetehen würde.
Ich meine damit NICHT: "Immer fleissig patchen und gut ist", sondern
eher ein Grundlegendes Howto, welches sich mit dem Aufsetzen eines "Sicheren"
Systems beschäftigt. Damit meine ich auch sichere Daten, sichere Software,
sichere Zugriffsmöglichkeiten, und vor allem sichere Wartungsmöglichkeiten.
Out
Das wäre schön, wenn Du Hilfe brauchst sag Bescheid.
regards,
Michael

Anonymous

Re: Anfrage: Interesse an "Sicherheits"- Howto

Post by Anonymous » 2004-03-17 12:06

Wenn ein Sponsor für das fertige "Werk" / HowTo gesucht wird, der es online stellt: mache ich kostenlos, wenn's was taugt, weil's eine gute Sache werden könnte!

outofbound
Posts: 470
Joined: 2002-05-14 13:02
Location: Karlsruhe City

Re: Anfrage: Interesse an "Sicherheits"- Howto

Post by outofbound » 2004-03-17 12:13

Ich bin gerade dabei, ein Preface zusammenzustellen.

Ich hoffe damit den Sinn und den Rahmen dieses Projekts
abzustecken, und den "nötigen" Spirit zu schaffen.

Stay tuned, ich denke das ich es vor dem Wochenende
noch irgendwo releasen werde.

Dann kann man sich um die erste Darstellungsform streiten ;)
(Forum, ML, Blog, cvs oder whatever)

Gruss,

Out

mutombo
Posts: 184
Joined: 2003-06-19 06:10

Re: Anfrage: Interesse an "Sicherheits"- Howto

Post by mutombo » 2004-03-17 12:17

jo das hört sich wirklich interessant an.

zum thema chroot/apache kann ich bestimmt auch ne menge beitragen, da mein chroot jetzt schon seit ein paar monaten ohne weiter fehler läuft.

steph
Posts: 23
Joined: 2003-04-21 21:45
Location: Frankfurt (Oder)

Re: Anfrage: Interesse an "Sicherheits"- Howto

Post by steph » 2004-03-17 15:39

hört sich auf jeden fall sehr interessant an und würde auch gern meine hilfe anbieten,
also vieleicht korrektur lesen oder testen (wollte eh meinen lan server neu aufsetzen)

also immer her damit ;)

grüße, stephan

monotek
Posts: 64
Joined: 2003-08-26 23:23
Location: Dresden

Re: Anfrage: Interesse an "Sicherheits"- Howto

Post by monotek » 2004-03-18 19:39

hät an sowas auch immer interesse...

fritz
Systemtester
Systemtester
Posts: 1430
Joined: 2002-04-23 20:12
Location: Lehrte / Hannover

Re: Anfrage: Interesse an "Sicherheits"- Howto

Post by fritz » 2004-06-13 05:18

Hi Out,
gibt es Neuigkeiten? Oder habe ich in einem anderen thread den Anschluss oder einen Link verpasst?
Gruss Fritz

tobiask
Posts: 164
Joined: 2004-05-02 12:08
Location: NRW

Re: Anfrage: Interesse an "Sicherheits"- Howto

Post by tobiask » 2004-06-13 10:01

jo, fänd ich super!