Shell Angebote - wie absichern?

Rund um die Sicherheit des Systems und die Applikationen
millo
Posts: 49
Joined: 2004-03-05 17:29

Shell Angebote - wie absichern?

Post by millo » 2005-01-03 18:20

Hallo,

mich würde die Absicherung des Servers bei kostenpflichtigen Shell Angeboten interessieren.

Ich habe bis jetzt Debian sarge mit einem 2.6.7-grsec Kernel mit allen möglichen Restriktionen, sowie eine gut angepasste /etc/security/limits.conf.

Welche Sicherheitseinstellungen sind noch wichtig und empfehlenswert?
Die Kunden werden hauptsächlich auf der Shell Bouncer oder Eggdrops konfigurieren und installieren.

Wie sieht es mit dem Rechtlichen aus?
Ich meine, ich mal mir den worst-case einfach mal aus:
Kunde kompiliert einen Exploit und attackiert damit erfolgreich eine Seite. Der Admin vom kompromitierten Server sieht meine IP und wendet sich im schlimmsten Fall mit meiner Anschrift direkt an die Polizei.

Gut, der Fall ist jetzt ziemlich weit hergeholt, aber wie könnte man ihn verhindern?

Vielen Dank für Eure Antworten!

captaincrunch
Userprojekt
Userprojekt
Posts: 7066
Joined: 2002-10-09 14:30
Location: Dorsten

Re: Shell Angebote - wie absichern?

Post by captaincrunch » 2005-01-03 18:44

Ich habe bis jetzt Debian sarge mit einem 2.6.7-grsec Kernel mit allen möglichen Restriktionen
Was bringen dir sämtliche Restriktionen, wenn dein Kernel als solcher diverse Sicherheitslücken hat? ;)

SCNR
DebianHowTo
echo "[q]sa[ln0=aln256%Pln256/snlbx]sb729901041524823122snlbxq"|dc

millo
Posts: 49
Joined: 2004-03-05 17:29

Re: Shell Angebote - wie absichern?

Post by millo » 2005-01-03 19:08

Ich weiß dass 2.6.7 älter ist, allerdings gibts momentan nur dafür grsec. Wenn der Patch für 2.6.10 da ist update ich ja schon. :P

andreask2
Posts: 696
Joined: 2004-01-27 14:16
Location: Aachen

Re: Shell Angebote - wie absichern?

Post by andreask2 » 2005-01-03 21:00

Warum nimmst Du nicht 2.4.28?

captaincrunch
Userprojekt
Userprojekt
Posts: 7066
Joined: 2002-10-09 14:30
Location: Dorsten

Re: Shell Angebote - wie absichern?

Post by captaincrunch » 2005-01-03 21:15

Zum Thema GRSec und 2.6:
Due to significant changes in the "stable" 2.6 tree that break much of PaX, a 2.6.8 patch may not be coming soon.
Und noch mal:
Grsecurity 2.0.2 will be released for the 2.6 series of kernels when a PaX port is complete for the latest 2.6 kernel. As the 2.6 series of kernels are mimicking more of a development series than a stable series, the 2.4 series of kernels are recommended at this time.
Quelle jeweils: http://www.grsecurity.net/news.php

Im Klartext: sofern Linus und Co. den 2.6er eher zum experimentieren denn zum produktiven Einsatz vorsehen wollen, und somit Dinge wie PaX in die Hose gehen, sollte man wohl wirklich besser beim 2.4er bleiben.
DebianHowTo
echo "[q]sa[ln0=aln256%Pln256/snlbx]sb729901041524823122snlbxq"|dc

hinrich
Posts: 19
Joined: 2003-03-17 13:48

Re: Shell Angebote - wie absichern?

Post by hinrich » 2005-01-03 23:34

millo wrote:Ich weiß dass 2.6.7 älter ist, allerdings gibts momentan nur dafür grsec. Wenn der Patch für 2.6.10 da ist update ich ja schon. :P
Wie wär's mit Abschalten bis dahin?

millo
Posts: 49
Joined: 2004-03-05 17:29

Re: Shell Angebote - wie absichern?

Post by millo » 2005-01-03 23:59

Hinrich wrote:
millo wrote:Ich weiß dass 2.6.7 älter ist, allerdings gibts momentan nur dafür grsec. Wenn der Patch für 2.6.10 da ist update ich ja schon. :P
Wie wär's mit Abschalten bis dahin?
Warum? Ich biete doch noch gar keine Shell Dienste an. Außerdem läuft die Testmaschine lokal. 8O

Falls das ganze überhaupt online gehen soll, werde ich schon einen stabilen 2.4. oder 2.6. Kernel nehmen, jenachdem wie die Kernel und grsec Entwicklungszukunft aussieht.

captaincrunch
Userprojekt
Userprojekt
Posts: 7066
Joined: 2002-10-09 14:30
Location: Dorsten

Re: Shell Angebote - wie absichern?

Post by captaincrunch » 2005-01-04 20:06

Mal kurz nebenbei bemerkt: es gibt GRSec mittlerweile für 2.6.10, allerdings habe ich keine Ahnung, wie der aktuelle Status des ganzen ist:
http://www.grsecurity.net/~spender/grse ... 1126.patch
DebianHowTo
echo "[q]sa[ln0=aln256%Pln256/snlbx]sb729901041524823122snlbxq"|dc