LIDS oder grsecurity

[acc]

Tach zusammen,

das Wochenende passt mir ganz gut, mal meinen neuen RootServer ordentlich abzusichern. Hier im Forum scheint ja neben den üblichen Dingen wie Firewall, Sicherung der laufenden Dienste, Tripwire, etc. auch grsecurity recht oft angewendet zu werden.

Mir stellt sich jetzt die Frage, ob ich grsecurity oder LIDS (lids.org) nehmen soll. Hab über beides gute Dinge gehört, tendierte aber bisher eher zu LIDS. Würde mich interessieren, ob jemand eine konkrete Empfehlung aussprechen könnte.

Gruß
aCC

[duergner]

Firewall

Von wem hast du das gehört bzw. was willst du auf einen Server damit absichern?

[acc]

Das ist standard bei mir oder kannst Du mir ein plausibles Argument sagen, was dagegen spricht? Eine Firewall macht auf jeden Fall Sinn, wenn man weiss, was man macht.

So reduziere ich nochmals das Risiko, das irgendwelche Dienste (z.B. MySQL oder Postgresql, die wirklich nur lokal gebraucht werden) durch eine versehentliche Fehlkonfiguration von Außen erreichbar sind. Hauptsache man hat immer SSH offen... (oder eine Remote Console)

Besonders gut ist es für meinen Proxy, den ich SSH-getunnelt von hier nutzen kann, der aber ansonsten von niemanden erreichbar ist. Da ich momentan in einem Land (.cn) arbeite, indem das Internet zensiert wird, ist das äusserst hilfreich. ;-)


aCC

[chris76]

Das ist standard bei mir oder kannst Du mir ein plausibles Argument sagen, was dagegen spricht? Eine Firewall macht auf jeden Fall Sinn, wenn man weiss, was man macht.

Eine Firewall ist IMHO sinnfrei, da die dienst die du anbietest ja erreichbar sein sollen. Und die anderen sollten erst gar nicht laufen.

Eins richtige konfiguration sollte die Vorraussetzung sein, eine Firewall als Sicherheit für eventuelle Fehler nehmen? Einstellungssache

[captaincrunch]

Um auf die grundsätzliche Frage zurückzukommen: GRSecurity ist IMHO mittlerweile um einiges ausgereifter als LIDS (wird das überhaupt noch weiterentwickelt?), und bietet ein paar nettere "Features" wie PaX.

[duergner]

Das ist standard bei mir oder kannst Du mir ein plausibles Argument sagen, was dagegen spricht? Eine Firewall macht auf jeden Fall Sinn, wenn man weiss, was man macht.

Nein wenn man weiß was man macht, macht si IMHO überhaupt keinen Sinn (OK mir ein paar ganz wenigen Ausnahmen wenn man Software einsetzen muss, die sich nicht nur an die benötigten Interfaces binden lässt, wobei hier dann eh zu überlegen ist, ob man diese Software überhaupt einsetzen will). Eine Firewall aka Packetfilter (denn das wird es ja wohl sein) macht nun mal nur auf Rechner Sinn, die verschiedene Netzwerke voneinander trennen. Ansonsten erhöht sie nur die Komplexität des Systems und schafft evtl weitere Sicherheitslücken, weil man dann vielleicht manche Programme nicht mehr genügend stark absichert und testet.

So reduziere ich nochmals das Risiko, das irgendwelche Dienste (z.B. MySQL oder Postgresql, die wirklich nur lokal gebraucht werden) durch eine versehentliche Fehlkonfiguration von Außen erreichbar sind. Hauptsache man hat immer SSH offen... (oder eine Remote Console)

Mit der Firewall wirst du aber diese Fehlkonfiguration nur sehr schwer bemerken und wenn diese dann ausfällt oder sonwie ihren Dienst versagt, sind die entsprechenden Dienste von außen erreichbar, was du sonst nach der Konfiguration durch ein nmap i.d.R. sofort gemerkt hättest.

Besonders gut ist es für meinen Proxy, den ich SSH-getunnelt von hier nutzen kann, der aber ansonsten von niemanden erreichbar ist. Da ich momentan in einem Land (.cn) arbeite, indem das Internet zensiert wird, ist das äusserst hilfreich. ;-)

Proxy an localhost binden und gut is. Ich seh hier überhaupt keinen Sinn für eine Firewall.

[acc]

Ja, LIDS wird noch weiterentwickelt und bekommt auch noch ganz gute Kritiken. Ich geb aber grsecurity mal die erste Chance. Danke für die Auskunft.

Zur Firewall: ich arbeite seit 10 Jahren mit Linux und habe unzählige Internet-Server konfiguriert, von denen keiner gecrackt wurde. (Bzw. einer wurde gecrackt, allerdings 2 Jahre nachdem ich die Administration übergeben hatte. Ich durfte dann aufräumen.)

Ich kann nur von meiner Erfahrung berichten: eine Firewall bringt für mich persönlich wenig Zusatzaufwand und ist eine zusätzliche Sicherheitsebene mit überschaubarer Komplexität. Selbst wenn sie schlecht konfiguriert sein sollte, würde sie nur durchlassen, was ohne sie sowieso schon erlaubt wäre. Da man die Dienste natürlich als allererstes ordentlich konfiguriert, hat man kein zusätzliches Sicherheitsrisiko, sondern eine zusätzliche Versicherung.

Ich persönlich sehe keinen Grund der gegen eine zusätzliche Sicherheitsschicht spricht. Man darf sich nur nicht dem Trugschluss hingeben, dass eine Firewall die ultimative Sicherheit ist und man sich um nichts anderes kümmern muss, wie es vielleicht manche unerfahrene Administratoren tun. Noch schlimmer fände ich es aber einem unerfahrenem Administrator von einer Firewall abzuraten, weil er "ja sowieso erstmal lernen soll die Dienste zu konfigurieren". Dadurch gibt es sicherlich noch sehr viel mehr Zombies, weil viele gar nicht realisieren, welche Dienste laufen.

Aber wie gesagt, ist meine persönliche Meinung und Erfahrung und ich bin mir bewusst, dass manche anders darüber denken.

Gruß
aCC

[duergner]

Ich persönlich sehe keinen Grund der gegen eine zusätzliche Sicherheitsschicht spricht. Man darf sich nur nicht dem Trugschluss hingeben, dass eine Firewall die ultimative Sicherheit ist und man sich um nichts anderes kümmern muss, wie es vielleicht manche unerfahrene Administratoren tun. Noch schlimmer fände ich es aber einem unerfahrenem Administrator von einer Firewall abzuraten, weil er "ja sowieso erstmal lernen soll die Dienste zu konfigurieren". Dadurch gibt es sicherlich noch sehr viel mehr Zombies, weil viele gar nicht realisieren, welche Dienste laufen.

Ein unerfahrener Administrator sollte niemals einen Server administrieren der so gut (100MBit und evtl sogar noch mehr) ans Internet angeschlossen ist. Man sollte zuerst in einer Testumgebung lernen das System zu verstehnen, zu konfigurieren und genau zu wissen was es macht und was darauf läuft. Alles andere finde ich gelinde gesagt mindestens fahrlässig. Und einem unerfahrenen Administrator bringt ein Firewall IMHO deshalb nichts, da er auch diese nicht konfigurieren kann, denn eine Firewall richtig zu konfiguieren ist IMO die Königsdisziplin in der Serveradministration. Es ist für einen Anfänger IMHO nahezu unmöglich eine Firewall aufzusetzen die ausreichende Sicherheit bietet und trotzdem noch alles erwünscht so passieren lässt, dass die entsprechenden Dienste fuinktionieren. Die meisten werden wahrscheinlich recht schnell dazu übergehen, an der Firewall zu viel freizuschalten, damit Sachen von FTP, GameServer, IRC, etc. wieder funcktionsfähig sind, aber trotzdem noch der Meinung sein, dass die Firewall sie hinreichend vor kleinen Konfigurationsfehlern schützt. Drum halte ich Firewalls gerade bei Anfängern für eine gefährliche Sache. Sie haben nun mal wahrscheinlich nicht das Wissen und zu verstehen, wieso der Schutz der Firewall nicht ausreichend ist.

[acc]

Im Großen und Ganzem sind wir einer Meinung.

Ein unerfahrener Administrator sollte niemals einen Server administrieren der so gut (100MBit und evtl sogar noch mehr) ans Internet angeschlossen ist.

Ja, es hält sich nur nicht jeder dran. :-)

Drum halte ich Firewalls gerade bei Anfängern für eine gefährliche Sache. Sie haben nun mal wahrscheinlich nicht das Wissen und zu verstehen, wieso der Schutz der Firewall nicht ausreichend ist.

Ja, hier ist der Knackpunkt. Klar müssen sie verstehen, dass eine Firewall nicht ausreichend ist, um ein sicheres System zu bekommen. Aber es ist definitiv besser eine schlechte oder weitgehend offene Firewall zu haben als gleich alles offen zu lassen. Damit macht sich weder der Anfänger noch der Könner einen Gefallen.

Besser der Anfänger aktiviert eine Firewall, die alle Ports bis auf SSH und HTTP schließt und er macht sich Gedanken, welche er öffnen muss, als wenn er gar nix installiert und alle Dienste sind schön weit offen. Und der Könner sollte sowieso mit einer Firewall umgehen können, insofern hat er auch keine Nachteile. Dementsprechend sehe ich immer noch nur einen Vorteil eine Firewall zu installieren.

Wie gesagt, die einzige Falle, in die man fallen kann, ist zu denken, mit einer Firewall müsste man die Dienste nicht mehr ordentlich konfigurieren. Wenn man nicht in die Falle tappt, hat man keine Nachteile und einige Vorteile.

Gruß
aCC

[Joe User]

Besser der Anfänger aktiviert eine Firewall, die alle Ports bis auf SSH und HTTP schließt und er macht sich Gedanken, welche er öffnen muss, als wenn er gar nix installiert und alle Dienste sind schön weit offen.

Am Besten ist noch immer ein völlig nacktes System, welches einzig und allein einen SSHd beherbergt.

[cjhbabel]

Am Besten ist noch immer ein völlig nacktes System, welches einzig und allein einen SSHd beherbergt.

Ich lasse aktuell den sshd (public key only, no root login) auf einem dummy Device horchen was ich per stunnel oder openvpn erreichen kann :) Soviel zum Thema.

Und zum Thema Paketfilter fällt mir nur ein Grund ein -> weak end host. Wobei ist nicht sicher bin wie gross die Gefahr da wirklich ist. Wenn ich einen Dienst nur an das dummy Device binde (wie oben ssh), wäre es ja möglich, dass ein Rechner der im selben Netz hängt an das dummy Device kommen kann. Und wenn dort ein unsicherer Dienst hängt könnte das ein Problem sein. Wobei natürlich unsicher relativ ist und es manchmal einfach so ist, dass man bestimmte Dinge machen MUSS obwohl man damit eigentlich Bauchschmerzen bekommt. Mit anderen Worten würde ich einen Paketfilter in einer solchen Situation für sinnvoll halten. Oder liege ich da falsch?

http://www.google.de/search?q=cache:GlY ... host&hl=de

[silentfog]

Ja, hier ist der Knackpunkt. Klar müssen sie verstehen, dass eine Firewall nicht ausreichend ist, um ein sicheres System zu bekommen. Aber es ist definitiv besser eine schlechte oder weitgehend offene Firewall zu haben als gleich alles offen zu lassen. Damit macht sich weder der Anfänger noch der Könner einen Gefallen.

ich denk' mal mit dieser Meinung wirst Du ziemlich alleine dastehen - es ist besser nur diejenigen Dienste laufen zu lassen , die man zwingend braucht, und diese sauber zu konfigurieren + alle Dienste aktuellst zu halten ...

[acc]

ich denk' mal mit dieser Meinung wirst Du ziemlich alleine dastehen - es ist besser nur diejenigen Dienste laufen zu lassen , die man zwingend braucht, und diese sauber zu konfigurieren + alle Dienste aktuellst zu halten ...

Da drehst Du mir die Worte im Mund um. Ich habe nie etwas dagegen gesagt, sondern im Gegenteil immer betont, dass man die Dienste natürlich sauber konfigurieren muss und selbstverständlich darf man keine Dienste laufen lassen, die man sowieso nicht braucht. Mein einziges Argument ist, dass eine Firewall zusätzlichen Schutz für sauber konfigurierte System bieten kann (nicht muss). :-)

Die Regeln sind klar (nur ein kleiner Auszug):
1. Lass nur Dienste laufen, die Du unbedingt (wirklich nur unbedingt!) brauchst. (Bei Login/Passwörtern nur Dienste nehmen, die Verschlüsselung beinhalten.)
2. Konfiguriere diese Dienste 100%ig (soweit möglich) und aktiviere vor allem nur Funktionen, die Du unbedingt brauchst.
3. Halte die Dienste immer aktuell und verfolge die Security-Nachrichten
4. Installiere eine Firewall, in der Du die Dienste nochmal definierst, welche wirklich unbedingt (ist jetzt mein Lieblingswort) von Außen erreichbar sein müssen.
5. Lies und lerne soviel wie möglich über die diese Dienste oder solche, die Du eventuell in der Zukunft mal brauchen könntest.

Mein Argument ist, dass Punkt 4 einen zusätzlichen Schutz bietet, den man nicht weglassen sollte, wie duergner argumentiert. Fehler passieren immer und können in jedem Punkt passieren. Umso besser, wenn ein anderer Punkt die Fehler evtl. abfängt.

aCC

[mikespi]

Am Besten ist noch immer ein völlig nacktes System, welches einzig und allein einen SSHd beherbergt.

Hehe genau so habe ich angefangen und step by step die Dienste aktiviert ;)

Andi

[duergner]

1. Lass nur Dienste laufen, die Du unbedingt (wirklich nur unbedingt!) brauchst. (Bei Login/Passwörtern nur Dienste nehmen, die Verschlüsselung beinhalten.)
2. Konfiguriere diese Dienste 100%ig (soweit möglich) und aktiviere vor allem nur Funktionen, die Du unbedingt brauchst.
3. Halte die Dienste immer aktuell und verfolge die Security-Nachrichten
4. Installiere eine Firewall, in der Du die Dienste nochmal definierst, welche wirklich unbedingt (ist jetzt mein Lieblingswort) von Außen erreichbar sein müssen.
5. Lies und lerne soviel wie möglich über die diese Dienste oder solche, die Du eventuell in der Zukunft mal brauchen könntest.

Wenn die Punkte 1-3 immer sauber gemacht werden, seh ich nur keinen Sinn bei Punkt 4 mehr. Und dann is da nur zusätzliche Arbeit und ein weiterer 'Dienst' der korrekt konfiguriert sein muss.

[acc]

Wir haben uns ja gefunden. ;-)

Wenn die Punkte 1-3 immer sauber gemacht werden, seh ich nur keinen Sinn bei Punkt 4 mehr. Und dann is da nur zusätzliche Arbeit und ein weiterer 'Dienst' der korrekt konfiguriert sein muss.

Ne, der Punkt ist, dass Du selbst Punkt 4 schlecht machen kannst (was nicht heisst, dass man hier schlampen sollte) und trotzdem keine Sicherheitseinbußen hast. Wenn Du aber Punkt 4 gut machst, dann hast Du einen Vorteil. Darum geht's.

Aber ich geb Dir teilweise recht, wenn man die Firewall falsch konfiguriert und dann kommt der Kunde XY nicht mehr zu seinem CVS oder was auch immer, dann hat man ein Problem, aber besser so herum als andersrum und man hat ein DoS- oder Warez-ScriptKiddie drauf, dass Amok läuft.

aCC

PS: Bin ja noch neu hier im Forum, aber langsam fängt es an Spaß zu machen. :-)

[silentfog]

Da drehst Du mir die Worte im Mund um. Ich habe nie etwas dagegen gesagt, sondern im Gegenteil immer betont, dass man die Dienste natürlich sauber konfigurieren muss und selbstverständlich darf man keine Dienste laufen lassen, die man sowieso nicht braucht. Mein einziges Argument ist, dass eine Firewall zusätzlichen Schutz für sauber konfigurierte System bieten kann (nicht muss). :-)

- Du aCC - ehrlich, ich möchte:
- Dir nicht die Worte im Mund umdrehen :)
- nicht schon wieder "ist eine Firewall auf einem SingleServer" sinnvoll - Ja - Nein - Diskussion ;) - Wirklich nicht ...

Die Regeln sind klar (nur ein kleiner Auszug):
1. Lass nur Dienste laufen, die Du unbedingt (wirklich nur unbedingt!) brauchst. (Bei Login/Passwörtern nur Dienste nehmen, die Verschlüsselung beinhalten.)
2. Konfiguriere diese Dienste 100%ig (soweit möglich) und aktiviere vor allem nur Funktionen, die Du unbedingt brauchst.
3. Halte die Dienste immer aktuell und verfolge die Security-Nachrichten

So siehst Du bis hier gebe ich, ganz persönlich mein ACK - weil danach bietet, meiner ganz persönlichen Ansicht nach, eine FW keinen zusätzlichen Schutz - Thematik 'personal FireWall'

4. Installiere eine Firewall, in der Du die Dienste nochmal definierst, welche wirklich unbedingt (ist jetzt mein Lieblingswort) von Außen erreichbar sein müssen.

Laß ich bewußt weg - in Eigenverantwortung natürlich ;)

Aber:
- Diese Meinung habe nicht nur ich, sondern auch andere, was aber eigentlich nicht relevant ist, da dies jeder selbst entscheiden muß !! :)

Trotzdem :
Sollte ich eine Firewall installieren? 1+1 Faq

Persönliche Diskussion mit DFN-Cert Leuten, die ich kenne + Craig H. Rowland (Cisco / Portsentry) --> Ã?berwiegende Mehrheit der Ansicht, wenn alle Sysdienste korrekt + aktuell --> FW auf SingleServer kein zusätzlicher Sec.Gewinn, aber zusätzliche Gefahrenpotientiale ... / bei PacketFilter sind die Meinungen sehr unterschiedlich ...

Aber, wie gesagt, meine Devise: Entscheide SELBST ! ;)

5. Lies und lerne soviel wie möglich über die diese Dienste oder solche, die Du eventuell in der Zukunft mal brauchen könntest.

ACK

Mein Argument ist, dass Punkt 4 einen zusätzlichen Schutz bietet, den man nicht weglassen sollte, wie duergner argumentiert. Fehler passieren immer und können in jedem Punkt passieren. Umso besser, wenn ein anderer Punkt die Fehler evtl. abfängt. aCC

Da sind wir unterschiedlicher Ansicht - aber wie gesagt, das darf natürlich jeder so machen, wie er will ...

[kase]

@ aCC: Du meinst immer, dass eine Firewall dir eine weitere Absicherung bringt, falls denn mal ein Dienst falsch konfiguriert ist.

1. denke ich, dass man Dienste, die man nicht sicher konfigurieren kann, auch nicht starten sollte, und...
2. ist IMHO die Firewall auch ein Dienst, dh eine weitere Gefahrenquelle, die, selbst wenn sie richtig konfiguriert ist, für Sicherheitslöcher anfällig.

Ich bin auch der Ansicht, dass eine Firewall auf einen Rechner, "hinter" dem kein Netzwerk ist, wirklich unsinnig ist.

@ mikespi: Ich denke, viele von uns haben mal so angefangen... auch ich. Zuerst lief nur der SSH, ich denke mal, so die ersten 2 Monate war es ziemlich Geldverschwendung (zumindest vom traffic her gesehen) *ggg* Inzwischen, viele Jahre später, läuft natürlich auf meinen Servern viel mehr als ein SSHd ;)

[acc]

Hey, SilentFrog,

kein Problem. Ich weiß, dass es über diese Themen gespaltene Lager gibt. Ich persönlich habe immer noch kein wirkliches Argument gegen eine FW gesehen und frage mich, wo das Gefahrenpotential sein soll. Einsatz des "Packet Filters", klar, könnte in extremen Ausnahmenfällen ein Problem sein.

Jeder nach seinem Gusto. Ich bin mit Sicherheit kein Craig H. Rowland, insofern halte ich dann lieber meine Klappe, mache es weiter nach meiner Erfahrung und lasse den Gott einen lieben Mensch sein, wobei Rowland mit Sicherheit andere Anforderungen hat als ich mit meinen Single-RootServern. Meine Argumente stehen und wenn Rowland (oder Du) mir bessere sagt, bin ich bereit meine Meinung zu ändern. ;-)

Gruß und gute Nacht
aCC

[kase]

Totale Sicherheit gibt es eh nicht, und außerdem muss es auch erstmal einen Grund geben, dass ausgerechnet dein Server gehackt wird. Wenn ich sehe, wie viele hier immer noch ein Suse 7.2 nutzen, IMHO wurde da doch inzwischen selbst der Sec-Support eingestellt, und trotzdem sind die alle noch online ;)

Außerdem, wenn jemand WIRKLICH deinen Server hacken will, und kein Script Kiddie ist, dann findet er IMHO auf jeden Fall eine Möglichkeit, dich zu "ärgern". Und wenn er nur eine Datei immer und immer wieder downloaded, oder ein PHPNUKE bei deinen Kunden entdeckt, oder zur Not einfach auf die nächste Sicherheitslücke wartet, und 10 min schneller ist als du.

Sind also "gute" Aussichten für uns Serveradmins ;)

[wirsing]

Um noch einmal auf die ursprüngliche Frage zurückzukommen: Ich denke, dass auch RSBAC einen Blick wert sein könnte. Ich weiß jetzt nicht ob man das noch mit grsecurity soweit kombinieren kann, dass man noch z.B. von PaX profitieren kann, aber wenn das geht wäre das vielleicht die beste Lösung.
(Warum hat eigentlich der Käpt'n noch nichts zu RSBAC gesagt?)

[acc]

1. denke ich, dass man Dienste, die man nicht sicher konfigurieren kann, auch nicht starten sollte, und...

Nur dummerweise passiert es durchaus, dass mal ein Dienst falsch konfiguriert gestartet wird. Und wenn es nur für kurze Zeit ist, wobei es meistens für längere Zeit ist, bis man es bemerkt. Wird Dir auch noch passieren. ;-)

2. ist IMHO die Firewall auch ein Dienst, dh eine weitere Gefahrenquelle, die, selbst wenn sie richtig konfiguriert ist, für Sicherheitslöcher anfällig.

Ja? Was kann denn passieren? Dass die Firewall einen Port durchlässt, den sie nicht hätte durchlassen sollen? Da Deine Dienste ja perfekt konfiguriert sind, passiert dann ja auch nix. Also, kein Problem. (Aber ich gebe zu, Ausnahmen gibt es immer: Kernel bzw. IpTables-Sicherheitslöcher.)

Die Firewall ist ein zusätzlicher Schutz. Kein Ersatz für schlecht konfigurierte Dienste.

aCC

[oxygen]

2. ist IMHO die Firewall auch ein Dienst, dh eine weitere Gefahrenquelle, die, selbst wenn sie richtig konfiguriert ist, für Sicherheitslöcher anfällig.

Ja? Was kann denn passieren? Dass die Firewall einen Port durchlässt, den sie nicht hätte durchlassen sollen? Da Deine Dienste ja perfekt konfiguriert sind, passiert dann ja auch nix. Also, kein Problem. (Aber ich gebe zu, Ausnahmen gibt es immer: Kernel bzw. IpTables-Sicherheitslöcher.)

aCC

Eine größere Anzahl iptables Regeln bringt immer einen größere Belastung des System mit sich. Alleine das ist schon eine Gefahr für den reibungslosen Betrieb.

[silentfog]

@aCC :) - keine Grundsatzdiskussion mehr ...

Wie gesagt, es geht nicht "gegen" FW's im Grundsatz - sondern eben um "macht es Sinn" 'speziell' auf einem Single.Server - und schon sind wir wieder am "Kreis drehen" - sprich Grundsatzdis,

Firewalls / PacketFilter habe durchaus ihre Daseinsberechtigung. Sie sind sogar in vielen Fällen essentiell.
Ich will Dich bestimmt nicht davon abbringen, eine FW auf einem oder Deinem Single.Server einzusetzten - aber Du hast ja als Argument vorgebracht, daß dies "zusätzlichen" Schutz bringen kann - und dies sehe ich persönlich nicht, da die FW auf dem zu sichernden Server 'selbst' arbeitet.
Und eben wegem diesem Punkt 'auf dem zu sichernden Server selbst' mein NACK zur FW in diesem speziellem Fall.

[Joe User]

Am Besten ist noch immer ein völlig nacktes System, welches einzig und allein einen SSHd beherbergt.

Hehe genau so habe ich angefangen und step by step die Dienste aktiviert ;)

Mein ernsthafter Einstieg begann mit dem Entdecken und monatelangem Beobachten des LFS-Projektes...