LIDS oder grsecurity
-
- Posts: 10
- Joined: 2004-05-28 12:04
LIDS oder grsecurity
Tach zusammen,
das Wochenende passt mir ganz gut, mal meinen neuen RootServer ordentlich abzusichern. Hier im Forum scheint ja neben den üblichen Dingen wie Firewall, Sicherung der laufenden Dienste, Tripwire, etc. auch grsecurity recht oft angewendet zu werden.
Mir stellt sich jetzt die Frage, ob ich grsecurity oder LIDS (lids.org) nehmen soll. Hab über beides gute Dinge gehört, tendierte aber bisher eher zu LIDS. Würde mich interessieren, ob jemand eine konkrete Empfehlung aussprechen könnte.
Gruß
aCC
das Wochenende passt mir ganz gut, mal meinen neuen RootServer ordentlich abzusichern. Hier im Forum scheint ja neben den üblichen Dingen wie Firewall, Sicherung der laufenden Dienste, Tripwire, etc. auch grsecurity recht oft angewendet zu werden.
Mir stellt sich jetzt die Frage, ob ich grsecurity oder LIDS (lids.org) nehmen soll. Hab über beides gute Dinge gehört, tendierte aber bisher eher zu LIDS. Würde mich interessieren, ob jemand eine konkrete Empfehlung aussprechen könnte.
Gruß
aCC
-
- RSAC
- Posts: 976
- Joined: 2003-08-20 11:30
- Location: Pittsburgh, PA, USA
Re: LIDS oder grsecurity
Von wem hast du das gehört bzw. was willst du auf einen Server damit absichern?aCC wrote:Firewall
-
- Posts: 10
- Joined: 2004-05-28 12:04
Re: LIDS oder grsecurity
Das ist standard bei mir oder kannst Du mir ein plausibles Argument sagen, was dagegen spricht? Eine Firewall macht auf jeden Fall Sinn, wenn man weiss, was man macht.
So reduziere ich nochmals das Risiko, das irgendwelche Dienste (z.B. MySQL oder Postgresql, die wirklich nur lokal gebraucht werden) durch eine versehentliche Fehlkonfiguration von Außen erreichbar sind. Hauptsache man hat immer SSH offen... (oder eine Remote Console)
Besonders gut ist es für meinen Proxy, den ich SSH-getunnelt von hier nutzen kann, der aber ansonsten von niemanden erreichbar ist. Da ich momentan in einem Land (.cn) arbeite, indem das Internet zensiert wird, ist das äusserst hilfreich.
aCC
So reduziere ich nochmals das Risiko, das irgendwelche Dienste (z.B. MySQL oder Postgresql, die wirklich nur lokal gebraucht werden) durch eine versehentliche Fehlkonfiguration von Außen erreichbar sind. Hauptsache man hat immer SSH offen... (oder eine Remote Console)
Besonders gut ist es für meinen Proxy, den ich SSH-getunnelt von hier nutzen kann, der aber ansonsten von niemanden erreichbar ist. Da ich momentan in einem Land (.cn) arbeite, indem das Internet zensiert wird, ist das äusserst hilfreich.
aCC
-
- Moderator
- Posts: 2015
- Joined: 2003-06-27 14:37
- Location: Germering
Re: LIDS oder grsecurity
Eine Firewall ist IMHO sinnfrei, da die dienst die du anbietest ja erreichbar sein sollen. Und die anderen sollten erst gar nicht laufen.Das ist standard bei mir oder kannst Du mir ein plausibles Argument sagen, was dagegen spricht? Eine Firewall macht auf jeden Fall Sinn, wenn man weiss, was man macht.
Eins richtige konfiguration sollte die Vorraussetzung sein, eine Firewall als Sicherheit für eventuelle Fehler nehmen? Einstellungssache
Gruß Christian
BofH excuses: YOU HAVE AN I/O ERROR -> Incompetent Operator error
BofH excuses: YOU HAVE AN I/O ERROR -> Incompetent Operator error
-
- Userprojekt
- Posts: 7225
- Joined: 2002-10-09 14:30
- Location: Dorsten
Re: LIDS oder grsecurity
Um auf die grundsätzliche Frage zurückzukommen: GRSecurity ist IMHO mittlerweile um einiges ausgereifter als LIDS (wird das überhaupt noch weiterentwickelt?), und bietet ein paar nettere "Features" wie PaX.
DebianHowTo
echo "[q]sa[ln0=aln256%Pln256/snlbx]sb729901041524823122snlbxq"|dc
echo "[q]sa[ln0=aln256%Pln256/snlbx]sb729901041524823122snlbxq"|dc
-
- RSAC
- Posts: 976
- Joined: 2003-08-20 11:30
- Location: Pittsburgh, PA, USA
Re: LIDS oder grsecurity
Nein wenn man weiß was man macht, macht si IMHO überhaupt keinen Sinn (OK mir ein paar ganz wenigen Ausnahmen wenn man Software einsetzen muss, die sich nicht nur an die benötigten Interfaces binden lässt, wobei hier dann eh zu überlegen ist, ob man diese Software überhaupt einsetzen will). Eine Firewall aka Packetfilter (denn das wird es ja wohl sein) macht nun mal nur auf Rechner Sinn, die verschiedene Netzwerke voneinander trennen. Ansonsten erhöht sie nur die Komplexität des Systems und schafft evtl weitere Sicherheitslücken, weil man dann vielleicht manche Programme nicht mehr genügend stark absichert und testet.aCC wrote:Das ist standard bei mir oder kannst Du mir ein plausibles Argument sagen, was dagegen spricht? Eine Firewall macht auf jeden Fall Sinn, wenn man weiss, was man macht.
Mit der Firewall wirst du aber diese Fehlkonfiguration nur sehr schwer bemerken und wenn diese dann ausfällt oder sonwie ihren Dienst versagt, sind die entsprechenden Dienste von außen erreichbar, was du sonst nach der Konfiguration durch ein nmap i.d.R. sofort gemerkt hättest.aCC wrote:So reduziere ich nochmals das Risiko, das irgendwelche Dienste (z.B. MySQL oder Postgresql, die wirklich nur lokal gebraucht werden) durch eine versehentliche Fehlkonfiguration von Außen erreichbar sind. Hauptsache man hat immer SSH offen... (oder eine Remote Console)
Proxy an localhost binden und gut is. Ich seh hier überhaupt keinen Sinn für eine Firewall.aCC wrote:Besonders gut ist es für meinen Proxy, den ich SSH-getunnelt von hier nutzen kann, der aber ansonsten von niemanden erreichbar ist. Da ich momentan in einem Land (.cn) arbeite, indem das Internet zensiert wird, ist das äusserst hilfreich.
-
- Posts: 10
- Joined: 2004-05-28 12:04
Re: LIDS oder grsecurity
Ja, LIDS wird noch weiterentwickelt und bekommt auch noch ganz gute Kritiken. Ich geb aber grsecurity mal die erste Chance. Danke für die Auskunft.
Zur Firewall: ich arbeite seit 10 Jahren mit Linux und habe unzählige Internet-Server konfiguriert, von denen keiner gecrackt wurde. (Bzw. einer wurde gecrackt, allerdings 2 Jahre nachdem ich die Administration übergeben hatte. Ich durfte dann aufräumen.)
Ich kann nur von meiner Erfahrung berichten: eine Firewall bringt für mich persönlich wenig Zusatzaufwand und ist eine zusätzliche Sicherheitsebene mit überschaubarer Komplexität. Selbst wenn sie schlecht konfiguriert sein sollte, würde sie nur durchlassen, was ohne sie sowieso schon erlaubt wäre. Da man die Dienste natürlich als allererstes ordentlich konfiguriert, hat man kein zusätzliches Sicherheitsrisiko, sondern eine zusätzliche Versicherung.
Ich persönlich sehe keinen Grund der gegen eine zusätzliche Sicherheitsschicht spricht. Man darf sich nur nicht dem Trugschluss hingeben, dass eine Firewall die ultimative Sicherheit ist und man sich um nichts anderes kümmern muss, wie es vielleicht manche unerfahrene Administratoren tun. Noch schlimmer fände ich es aber einem unerfahrenem Administrator von einer Firewall abzuraten, weil er "ja sowieso erstmal lernen soll die Dienste zu konfigurieren". Dadurch gibt es sicherlich noch sehr viel mehr Zombies, weil viele gar nicht realisieren, welche Dienste laufen.
Aber wie gesagt, ist meine persönliche Meinung und Erfahrung und ich bin mir bewusst, dass manche anders darüber denken.
Gruß
aCC
Zur Firewall: ich arbeite seit 10 Jahren mit Linux und habe unzählige Internet-Server konfiguriert, von denen keiner gecrackt wurde. (Bzw. einer wurde gecrackt, allerdings 2 Jahre nachdem ich die Administration übergeben hatte. Ich durfte dann aufräumen.)
Ich kann nur von meiner Erfahrung berichten: eine Firewall bringt für mich persönlich wenig Zusatzaufwand und ist eine zusätzliche Sicherheitsebene mit überschaubarer Komplexität. Selbst wenn sie schlecht konfiguriert sein sollte, würde sie nur durchlassen, was ohne sie sowieso schon erlaubt wäre. Da man die Dienste natürlich als allererstes ordentlich konfiguriert, hat man kein zusätzliches Sicherheitsrisiko, sondern eine zusätzliche Versicherung.
Ich persönlich sehe keinen Grund der gegen eine zusätzliche Sicherheitsschicht spricht. Man darf sich nur nicht dem Trugschluss hingeben, dass eine Firewall die ultimative Sicherheit ist und man sich um nichts anderes kümmern muss, wie es vielleicht manche unerfahrene Administratoren tun. Noch schlimmer fände ich es aber einem unerfahrenem Administrator von einer Firewall abzuraten, weil er "ja sowieso erstmal lernen soll die Dienste zu konfigurieren". Dadurch gibt es sicherlich noch sehr viel mehr Zombies, weil viele gar nicht realisieren, welche Dienste laufen.
Aber wie gesagt, ist meine persönliche Meinung und Erfahrung und ich bin mir bewusst, dass manche anders darüber denken.
Gruß
aCC
-
- RSAC
- Posts: 976
- Joined: 2003-08-20 11:30
- Location: Pittsburgh, PA, USA
Re: LIDS oder grsecurity
Ein unerfahrener Administrator sollte niemals einen Server administrieren der so gut (100MBit und evtl sogar noch mehr) ans Internet angeschlossen ist. Man sollte zuerst in einer Testumgebung lernen das System zu verstehnen, zu konfigurieren und genau zu wissen was es macht und was darauf läuft. Alles andere finde ich gelinde gesagt mindestens fahrlässig. Und einem unerfahrenen Administrator bringt ein Firewall IMHO deshalb nichts, da er auch diese nicht konfigurieren kann, denn eine Firewall richtig zu konfiguieren ist IMO die Königsdisziplin in der Serveradministration. Es ist für einen Anfänger IMHO nahezu unmöglich eine Firewall aufzusetzen die ausreichende Sicherheit bietet und trotzdem noch alles erwünscht so passieren lässt, dass die entsprechenden Dienste fuinktionieren. Die meisten werden wahrscheinlich recht schnell dazu übergehen, an der Firewall zu viel freizuschalten, damit Sachen von FTP, GameServer, IRC, etc. wieder funcktionsfähig sind, aber trotzdem noch der Meinung sein, dass die Firewall sie hinreichend vor kleinen Konfigurationsfehlern schützt. Drum halte ich Firewalls gerade bei Anfängern für eine gefährliche Sache. Sie haben nun mal wahrscheinlich nicht das Wissen und zu verstehen, wieso der Schutz der Firewall nicht ausreichend ist.aCC wrote:Ich persönlich sehe keinen Grund der gegen eine zusätzliche Sicherheitsschicht spricht. Man darf sich nur nicht dem Trugschluss hingeben, dass eine Firewall die ultimative Sicherheit ist und man sich um nichts anderes kümmern muss, wie es vielleicht manche unerfahrene Administratoren tun. Noch schlimmer fände ich es aber einem unerfahrenem Administrator von einer Firewall abzuraten, weil er "ja sowieso erstmal lernen soll die Dienste zu konfigurieren". Dadurch gibt es sicherlich noch sehr viel mehr Zombies, weil viele gar nicht realisieren, welche Dienste laufen.
-
- Posts: 10
- Joined: 2004-05-28 12:04
Re: LIDS oder grsecurity
Im Großen und Ganzem sind wir einer Meinung.

Besser der Anfänger aktiviert eine Firewall, die alle Ports bis auf SSH und HTTP schließt und er macht sich Gedanken, welche er öffnen muss, als wenn er gar nix installiert und alle Dienste sind schön weit offen. Und der Könner sollte sowieso mit einer Firewall umgehen können, insofern hat er auch keine Nachteile. Dementsprechend sehe ich immer noch nur einen Vorteil eine Firewall zu installieren.
Wie gesagt, die einzige Falle, in die man fallen kann, ist zu denken, mit einer Firewall müsste man die Dienste nicht mehr ordentlich konfigurieren. Wenn man nicht in die Falle tappt, hat man keine Nachteile und einige Vorteile.
Gruß
aCC
Ja, es hält sich nur nicht jeder dran.Ein unerfahrener Administrator sollte niemals einen Server administrieren der so gut (100MBit und evtl sogar noch mehr) ans Internet angeschlossen ist.
Ja, hier ist der Knackpunkt. Klar müssen sie verstehen, dass eine Firewall nicht ausreichend ist, um ein sicheres System zu bekommen. Aber es ist definitiv besser eine schlechte oder weitgehend offene Firewall zu haben als gleich alles offen zu lassen. Damit macht sich weder der Anfänger noch der Könner einen Gefallen.Drum halte ich Firewalls gerade bei Anfängern für eine gefährliche Sache. Sie haben nun mal wahrscheinlich nicht das Wissen und zu verstehen, wieso der Schutz der Firewall nicht ausreichend ist.
Besser der Anfänger aktiviert eine Firewall, die alle Ports bis auf SSH und HTTP schließt und er macht sich Gedanken, welche er öffnen muss, als wenn er gar nix installiert und alle Dienste sind schön weit offen. Und der Könner sollte sowieso mit einer Firewall umgehen können, insofern hat er auch keine Nachteile. Dementsprechend sehe ich immer noch nur einen Vorteil eine Firewall zu installieren.
Wie gesagt, die einzige Falle, in die man fallen kann, ist zu denken, mit einer Firewall müsste man die Dienste nicht mehr ordentlich konfigurieren. Wenn man nicht in die Falle tappt, hat man keine Nachteile und einige Vorteile.
Gruß
aCC
-
- Project Manager
- Posts: 11599
- Joined: 2003-02-27 01:00
- Location: Hamburg
Re: LIDS oder grsecurity
Am Besten ist noch immer ein völlig nacktes System, welches einzig und allein einen SSHd beherbergt.aCC wrote:Besser der Anfänger aktiviert eine Firewall, die alle Ports bis auf SSH und HTTP schließt und er macht sich Gedanken, welche er öffnen muss, als wenn er gar nix installiert und alle Dienste sind schön weit offen.
PayPal.Me/JoeUser ● FreeBSD Remote Installation
Wings for Life ● Wings for Life World Run
„If there’s more than one possible outcome of a job or task, and one
of those outcomes will result in disaster or an undesirable consequence,
then somebody will do it that way.“ -- Edward Aloysius Murphy Jr.
Wings for Life ● Wings for Life World Run
„If there’s more than one possible outcome of a job or task, and one
of those outcomes will result in disaster or an undesirable consequence,
then somebody will do it that way.“ -- Edward Aloysius Murphy Jr.
-
- Posts: 63
- Joined: 2002-07-18 12:09
Re: LIDS oder grsecurity
Ich lasse aktuell den sshd (public key only, no root login) auf einem dummy Device horchen was ich per stunnel oder openvpn erreichen kannJoe User wrote:Am Besten ist noch immer ein völlig nacktes System, welches einzig und allein einen SSHd beherbergt.
Und zum Thema Paketfilter fällt mir nur ein Grund ein -> weak end host. Wobei ist nicht sicher bin wie gross die Gefahr da wirklich ist. Wenn ich einen Dienst nur an das dummy Device binde (wie oben ssh), wäre es ja möglich, dass ein Rechner der im selben Netz hängt an das dummy Device kommen kann. Und wenn dort ein unsicherer Dienst hängt könnte das ein Problem sein. Wobei natürlich unsicher relativ ist und es manchmal einfach so ist, dass man bestimmte Dinge machen MUSS obwohl man damit eigentlich Bauchschmerzen bekommt. Mit anderen Worten würde ich einen Paketfilter in einer solchen Situation für sinnvoll halten. Oder liege ich da falsch?
http://www.google.de/search?q=cache:GlY ... host&hl=de
Last edited by cjhbabel on 2004-05-28 17:01, edited 1 time in total.
-
- Posts: 55
- Joined: 2003-09-16 03:39
Re: LIDS oder grsecurity
aCC wrote: Ja, hier ist der Knackpunkt. Klar müssen sie verstehen, dass eine Firewall nicht ausreichend ist, um ein sicheres System zu bekommen. Aber es ist definitiv besser eine schlechte oder weitgehend offene Firewall zu haben als gleich alles offen zu lassen. Damit macht sich weder der Anfänger noch der Könner einen Gefallen.
-
- Posts: 10
- Joined: 2004-05-28 12:04
Re: LIDS oder grsecurity
Da drehst Du mir die Worte im Mund um. Ich habe nie etwas dagegen gesagt, sondern im Gegenteil immer betont, dass man die Dienste natürlich sauber konfigurieren muss und selbstverständlich darf man keine Dienste laufen lassen, die man sowieso nicht braucht. Mein einziges Argument ist, dass eine Firewall zusätzlichen Schutz für sauber konfigurierte System bieten kann (nicht muss).ich denk' mal mit dieser Meinung wirst Du ziemlich alleine dastehen - es ist besser nur diejenigen Dienste laufen zu lassen , die man zwingend braucht, und diese sauber zu konfigurieren + alle Dienste aktuellst zu halten ...
Die Regeln sind klar (nur ein kleiner Auszug):
1. Lass nur Dienste laufen, die Du unbedingt (wirklich nur unbedingt!) brauchst. (Bei Login/Passwörtern nur Dienste nehmen, die Verschlüsselung beinhalten.)
2. Konfiguriere diese Dienste 100%ig (soweit möglich) und aktiviere vor allem nur Funktionen, die Du unbedingt brauchst.
3. Halte die Dienste immer aktuell und verfolge die Security-Nachrichten
4. Installiere eine Firewall, in der Du die Dienste nochmal definierst, welche wirklich unbedingt (ist jetzt mein Lieblingswort) von Außen erreichbar sein müssen.
5. Lies und lerne soviel wie möglich über die diese Dienste oder solche, die Du eventuell in der Zukunft mal brauchen könntest.
Mein Argument ist, dass Punkt 4 einen zusätzlichen Schutz bietet, den man nicht weglassen sollte, wie duergner argumentiert. Fehler passieren immer und können in jedem Punkt passieren. Umso besser, wenn ein anderer Punkt die Fehler evtl. abfängt.
aCC
-
- Posts: 95
- Joined: 2002-12-28 17:47
- Location: Muenchen
Re: LIDS oder grsecurity
Hehe genau so habe ich angefangen und step by step die Dienste aktiviert ;)Am Besten ist noch immer ein völlig nacktes System, welches einzig und allein einen SSHd beherbergt.
Andi
-
- RSAC
- Posts: 976
- Joined: 2003-08-20 11:30
- Location: Pittsburgh, PA, USA
Re: LIDS oder grsecurity
Wenn die Punkte 1-3 immer sauber gemacht werden, seh ich nur keinen Sinn bei Punkt 4 mehr. Und dann is da nur zusätzliche Arbeit und ein weiterer 'Dienst' der korrekt konfiguriert sein muss.aCC wrote:1. Lass nur Dienste laufen, die Du unbedingt (wirklich nur unbedingt!) brauchst. (Bei Login/Passwörtern nur Dienste nehmen, die Verschlüsselung beinhalten.)
2. Konfiguriere diese Dienste 100%ig (soweit möglich) und aktiviere vor allem nur Funktionen, die Du unbedingt brauchst.
3. Halte die Dienste immer aktuell und verfolge die Security-Nachrichten
4. Installiere eine Firewall, in der Du die Dienste nochmal definierst, welche wirklich unbedingt (ist jetzt mein Lieblingswort) von Außen erreichbar sein müssen.
5. Lies und lerne soviel wie möglich über die diese Dienste oder solche, die Du eventuell in der Zukunft mal brauchen könntest.
-
- Posts: 10
- Joined: 2004-05-28 12:04
Re: LIDS oder grsecurity
Wir haben uns ja gefunden.
Aber ich geb Dir teilweise recht, wenn man die Firewall falsch konfiguriert und dann kommt der Kunde XY nicht mehr zu seinem CVS oder was auch immer, dann hat man ein Problem, aber besser so herum als andersrum und man hat ein DoS- oder Warez-ScriptKiddie drauf, dass Amok läuft.
aCC
PS: Bin ja noch neu hier im Forum, aber langsam fängt es an Spaß zu machen.
Ne, der Punkt ist, dass Du selbst Punkt 4 schlecht machen kannst (was nicht heisst, dass man hier schlampen sollte) und trotzdem keine Sicherheitseinbußen hast. Wenn Du aber Punkt 4 gut machst, dann hast Du einen Vorteil. Darum geht's.Wenn die Punkte 1-3 immer sauber gemacht werden, seh ich nur keinen Sinn bei Punkt 4 mehr. Und dann is da nur zusätzliche Arbeit und ein weiterer 'Dienst' der korrekt konfiguriert sein muss.
Aber ich geb Dir teilweise recht, wenn man die Firewall falsch konfiguriert und dann kommt der Kunde XY nicht mehr zu seinem CVS oder was auch immer, dann hat man ein Problem, aber besser so herum als andersrum und man hat ein DoS- oder Warez-ScriptKiddie drauf, dass Amok läuft.
aCC
PS: Bin ja noch neu hier im Forum, aber langsam fängt es an Spaß zu machen.
-
- Posts: 55
- Joined: 2003-09-16 03:39
Re: LIDS oder grsecurity
aCC wrote: Da drehst Du mir die Worte im Mund um. Ich habe nie etwas dagegen gesagt, sondern im Gegenteil immer betont, dass man die Dienste natürlich sauber konfigurieren muss und selbstverständlich darf man keine Dienste laufen lassen, die man sowieso nicht braucht. Mein einziges Argument ist, dass eine Firewall zusätzlichen Schutz für sauber konfigurierte System bieten kann (nicht muss).
- Dir nicht die Worte im Mund umdrehen
- nicht schon wieder "ist eine Firewall auf einem SingleServer" sinnvoll - Ja - Nein - Diskussion ;) - Wirklich nicht ...
So siehst Du bis hier gebe ich, ganz persönlich mein ACK - weil danach bietet, meiner ganz persönlichen Ansicht nach, eine FW keinen zusätzlichen Schutz - Thematik 'personal FireWall'Die Regeln sind klar (nur ein kleiner Auszug):
1. Lass nur Dienste laufen, die Du unbedingt (wirklich nur unbedingt!) brauchst. (Bei Login/Passwörtern nur Dienste nehmen, die Verschlüsselung beinhalten.)
2. Konfiguriere diese Dienste 100%ig (soweit möglich) und aktiviere vor allem nur Funktionen, die Du unbedingt brauchst.
3. Halte die Dienste immer aktuell und verfolge die Security-Nachrichten
Laß ich bewußt weg - in Eigenverantwortung natürlich ;)4. Installiere eine Firewall, in der Du die Dienste nochmal definierst, welche wirklich unbedingt (ist jetzt mein Lieblingswort) von Außen erreichbar sein müssen.
Aber:
- Diese Meinung habe nicht nur ich, sondern auch andere, was aber eigentlich nicht relevant ist, da dies jeder selbst entscheiden muß !!
Trotzdem :
Sollte ich eine Firewall installieren? 1+1 Faq
Persönliche Diskussion mit DFN-Cert Leuten, die ich kenne + Craig H. Rowland (Cisco / Portsentry) --> Ã?berwiegende Mehrheit der Ansicht, wenn alle Sysdienste korrekt + aktuell --> FW auf SingleServer kein zusätzlicher Sec.Gewinn, aber zusätzliche Gefahrenpotientiale ... / bei PacketFilter sind die Meinungen sehr unterschiedlich ...
Aber, wie gesagt, meine Devise: Entscheide SELBST ! ;)
ACK5. Lies und lerne soviel wie möglich über die diese Dienste oder solche, die Du eventuell in der Zukunft mal brauchen könntest.
Da sind wir unterschiedlicher AnsichtMein Argument ist, dass Punkt 4 einen zusätzlichen Schutz bietet, den man nicht weglassen sollte, wie duergner argumentiert. Fehler passieren immer und können in jedem Punkt passieren. Umso besser, wenn ein anderer Punkt die Fehler evtl. abfängt. aCC
-
- RSAC
- Posts: 1041
- Joined: 2002-10-14 22:56
Re: LIDS oder grsecurity
@ aCC: Du meinst immer, dass eine Firewall dir eine weitere Absicherung bringt, falls denn mal ein Dienst falsch konfiguriert ist.
1. denke ich, dass man Dienste, die man nicht sicher konfigurieren kann, auch nicht starten sollte, und...
2. ist IMHO die Firewall auch ein Dienst, dh eine weitere Gefahrenquelle, die, selbst wenn sie richtig konfiguriert ist, für Sicherheitslöcher anfällig.
Ich bin auch der Ansicht, dass eine Firewall auf einen Rechner, "hinter" dem kein Netzwerk ist, wirklich unsinnig ist.
@ mikespi: Ich denke, viele von uns haben mal so angefangen... auch ich. Zuerst lief nur der SSH, ich denke mal, so die ersten 2 Monate war es ziemlich Geldverschwendung (zumindest vom traffic her gesehen) *ggg* Inzwischen, viele Jahre später, läuft natürlich auf meinen Servern viel mehr als ein SSHd ;)
1. denke ich, dass man Dienste, die man nicht sicher konfigurieren kann, auch nicht starten sollte, und...
2. ist IMHO die Firewall auch ein Dienst, dh eine weitere Gefahrenquelle, die, selbst wenn sie richtig konfiguriert ist, für Sicherheitslöcher anfällig.
Ich bin auch der Ansicht, dass eine Firewall auf einen Rechner, "hinter" dem kein Netzwerk ist, wirklich unsinnig ist.
@ mikespi: Ich denke, viele von uns haben mal so angefangen... auch ich. Zuerst lief nur der SSH, ich denke mal, so die ersten 2 Monate war es ziemlich Geldverschwendung (zumindest vom traffic her gesehen) *ggg* Inzwischen, viele Jahre später, läuft natürlich auf meinen Servern viel mehr als ein SSHd ;)
-
- Posts: 10
- Joined: 2004-05-28 12:04
Re: LIDS oder grsecurity
Hey, SilentFrog,
kein Problem. Ich weiß, dass es über diese Themen gespaltene Lager gibt. Ich persönlich habe immer noch kein wirkliches Argument gegen eine FW gesehen und frage mich, wo das Gefahrenpotential sein soll. Einsatz des "Packet Filters", klar, könnte in extremen Ausnahmenfällen ein Problem sein.
Jeder nach seinem Gusto. Ich bin mit Sicherheit kein Craig H. Rowland, insofern halte ich dann lieber meine Klappe, mache es weiter nach meiner Erfahrung und lasse den Gott einen lieben Mensch sein, wobei Rowland mit Sicherheit andere Anforderungen hat als ich mit meinen Single-RootServern. Meine Argumente stehen und wenn Rowland (oder Du) mir bessere sagt, bin ich bereit meine Meinung zu ändern.
Gruß und gute Nacht
aCC
kein Problem. Ich weiß, dass es über diese Themen gespaltene Lager gibt. Ich persönlich habe immer noch kein wirkliches Argument gegen eine FW gesehen und frage mich, wo das Gefahrenpotential sein soll. Einsatz des "Packet Filters", klar, könnte in extremen Ausnahmenfällen ein Problem sein.
Jeder nach seinem Gusto. Ich bin mit Sicherheit kein Craig H. Rowland, insofern halte ich dann lieber meine Klappe, mache es weiter nach meiner Erfahrung und lasse den Gott einen lieben Mensch sein, wobei Rowland mit Sicherheit andere Anforderungen hat als ich mit meinen Single-RootServern. Meine Argumente stehen und wenn Rowland (oder Du) mir bessere sagt, bin ich bereit meine Meinung zu ändern.
Gruß und gute Nacht
aCC
-
- RSAC
- Posts: 1041
- Joined: 2002-10-14 22:56
Re: LIDS oder grsecurity
Totale Sicherheit gibt es eh nicht, und außerdem muss es auch erstmal einen Grund geben, dass ausgerechnet dein Server gehackt wird. Wenn ich sehe, wie viele hier immer noch ein Suse 7.2 nutzen, IMHO wurde da doch inzwischen selbst der Sec-Support eingestellt, und trotzdem sind die alle noch online ;)
Außerdem, wenn jemand WIRKLICH deinen Server hacken will, und kein Script Kiddie ist, dann findet er IMHO auf jeden Fall eine Möglichkeit, dich zu "ärgern". Und wenn er nur eine Datei immer und immer wieder downloaded, oder ein PHPNUKE bei deinen Kunden entdeckt, oder zur Not einfach auf die nächste Sicherheitslücke wartet, und 10 min schneller ist als du.
Sind also "gute" Aussichten für uns Serveradmins ;)
Außerdem, wenn jemand WIRKLICH deinen Server hacken will, und kein Script Kiddie ist, dann findet er IMHO auf jeden Fall eine Möglichkeit, dich zu "ärgern". Und wenn er nur eine Datei immer und immer wieder downloaded, oder ein PHPNUKE bei deinen Kunden entdeckt, oder zur Not einfach auf die nächste Sicherheitslücke wartet, und 10 min schneller ist als du.
Sind also "gute" Aussichten für uns Serveradmins ;)
Last edited by kase on 2004-05-28 18:21, edited 1 time in total.
-
- RSAC
- Posts: 611
- Joined: 2002-11-20 21:32
- Location: Vaihingen und Karlsruhe
Re: LIDS oder grsecurity
Um noch einmal auf die ursprüngliche Frage zurückzukommen: Ich denke, dass auch RSBAC einen Blick wert sein könnte. Ich weiß jetzt nicht ob man das noch mit grsecurity soweit kombinieren kann, dass man noch z.B. von PaX profitieren kann, aber wenn das geht wäre das vielleicht die beste Lösung.
(Warum hat eigentlich der Käpt'n noch nichts zu RSBAC gesagt?)
(Warum hat eigentlich der Käpt'n noch nichts zu RSBAC gesagt?)
-
- Posts: 10
- Joined: 2004-05-28 12:04
Re: LIDS oder grsecurity
Nur dummerweise passiert es durchaus, dass mal ein Dienst falsch konfiguriert gestartet wird. Und wenn es nur für kurze Zeit ist, wobei es meistens für längere Zeit ist, bis man es bemerkt. Wird Dir auch noch passieren.1. denke ich, dass man Dienste, die man nicht sicher konfigurieren kann, auch nicht starten sollte, und...
Ja? Was kann denn passieren? Dass die Firewall einen Port durchlässt, den sie nicht hätte durchlassen sollen? Da Deine Dienste ja perfekt konfiguriert sind, passiert dann ja auch nix. Also, kein Problem. (Aber ich gebe zu, Ausnahmen gibt es immer: Kernel bzw. IpTables-Sicherheitslöcher.)2. ist IMHO die Firewall auch ein Dienst, dh eine weitere Gefahrenquelle, die, selbst wenn sie richtig konfiguriert ist, für Sicherheitslöcher anfällig.
Die Firewall ist ein zusätzlicher Schutz. Kein Ersatz für schlecht konfigurierte Dienste.
aCC
-
- RSAC
- Posts: 2179
- Joined: 2002-12-15 00:10
- Location: Bergheim
Re: LIDS oder grsecurity
Eine größere Anzahl iptables Regeln bringt immer einen größere Belastung des System mit sich. Alleine das ist schon eine Gefahr für den reibungslosen Betrieb.aCC wrote:Ja? Was kann denn passieren? Dass die Firewall einen Port durchlässt, den sie nicht hätte durchlassen sollen? Da Deine Dienste ja perfekt konfiguriert sind, passiert dann ja auch nix. Also, kein Problem. (Aber ich gebe zu, Ausnahmen gibt es immer: Kernel bzw. IpTables-Sicherheitslöcher.)2. ist IMHO die Firewall auch ein Dienst, dh eine weitere Gefahrenquelle, die, selbst wenn sie richtig konfiguriert ist, für Sicherheitslöcher anfällig.
aCC
-
- Posts: 55
- Joined: 2003-09-16 03:39
Re: LIDS oder grsecurity
@aCC
- keine Grundsatzdiskussion
mehr ...
Wie gesagt, es geht nicht "gegen" FW's im Grundsatz - sondern eben um "macht es Sinn" 'speziell' auf einem Single.Server - und schon sind wir wieder am "Kreis drehen"
- sprich Grundsatzdis,
Firewalls / PacketFilter habe durchaus ihre Daseinsberechtigung. Sie sind sogar in vielen Fällen essentiell.
Ich will Dich bestimmt nicht davon abbringen, eine FW auf einem oder Deinem Single.Server einzusetzten
- aber Du hast ja als Argument vorgebracht, daß dies "zusätzlichen" Schutz bringen kann - und dies sehe ich persönlich nicht, da die FW auf dem zu sichernden Server 'selbst' arbeitet.
Und eben wegem diesem Punkt 'auf dem zu sichernden Server selbst' mein NACK zur FW in diesem speziellem Fall.
Wie gesagt, es geht nicht "gegen" FW's im Grundsatz - sondern eben um "macht es Sinn" 'speziell' auf einem Single.Server - und schon sind wir wieder am "Kreis drehen"
Firewalls / PacketFilter habe durchaus ihre Daseinsberechtigung. Sie sind sogar in vielen Fällen essentiell.
Ich will Dich bestimmt nicht davon abbringen, eine FW auf einem oder Deinem Single.Server einzusetzten
Und eben wegem diesem Punkt 'auf dem zu sichernden Server selbst' mein NACK zur FW in diesem speziellem Fall.
-
- Project Manager
- Posts: 11599
- Joined: 2003-02-27 01:00
- Location: Hamburg
Re: LIDS oder grsecurity
Mein ernsthafter Einstieg begann mit dem Entdecken und monatelangem Beobachten des LFS-Projektes...mikespi wrote:Hehe genau so habe ich angefangen und step by step die Dienste aktiviert ;)Am Besten ist noch immer ein völlig nacktes System, welches einzig und allein einen SSHd beherbergt.
PayPal.Me/JoeUser ● FreeBSD Remote Installation
Wings for Life ● Wings for Life World Run
„If there’s more than one possible outcome of a job or task, and one
of those outcomes will result in disaster or an undesirable consequence,
then somebody will do it that way.“ -- Edward Aloysius Murphy Jr.
Wings for Life ● Wings for Life World Run
„If there’s more than one possible outcome of a job or task, and one
of those outcomes will result in disaster or an undesirable consequence,
then somebody will do it that way.“ -- Edward Aloysius Murphy Jr.