RootForum Community

Hallo,

mich würde die Absicherung des Servers bei kostenpflichtigen Shell Angeboten interessieren.

Ich habe bis jetzt Debian sarge mit einem 2.6.7-grsec Kernel mit allen möglichen Restriktionen, sowie eine gut angepasste /etc/security/limits.conf.

Welche Sicherheitseinstellungen sind noch wichtig und empfehlenswert?
Die Kunden werden hauptsächlich auf der Shell Bouncer oder Eggdrops konfigurieren und installieren.

Wie sieht es mit dem Rechtlichen aus?
Ich meine, ich mal mir den worst-case einfach mal aus:
Kunde kompiliert einen Exploit und attackiert damit erfolgreich eine Seite. Der Admin vom kompromitierten Server sieht meine IP und wendet sich im schlimmsten Fall mit meiner Anschrift direkt an die Polizei.

Gut, der Fall ist jetzt ziemlich weit hergeholt, aber wie könnte man ihn verhindern?

Vielen Dank für Eure Antworten!

Ich habe bis jetzt Debian sarge mit einem 2.6.7-grsec Kernel mit allen möglichen Restriktionen

Was bringen dir sämtliche Restriktionen, wenn dein Kernel als solcher diverse Sicherheitslücken hat? ;)

SCNR

Ich weiß dass 2.6.7 älter ist, allerdings gibts momentan nur dafür grsec. Wenn der Patch für 2.6.10 da ist update ich ja schon. :P

Warum nimmst Du nicht 2.4.28?

Zum Thema GRSec und 2.6:

Due to significant changes in the "stable" 2.6 tree that break much of PaX, a 2.6.8 patch may not be coming soon.

Und noch mal:

Grsecurity 2.0.2 will be released for the 2.6 series of kernels when a PaX port is complete for the latest 2.6 kernel. As the 2.6 series of kernels are mimicking more of a development series than a stable series, the 2.4 series of kernels are recommended at this time.

Quelle jeweils: http://www.grsecurity.net/news.php

Im Klartext: sofern Linus und Co. den 2.6er eher zum experimentieren denn zum produktiven Einsatz vorsehen wollen, und somit Dinge wie PaX in die Hose gehen, sollte man wohl wirklich besser beim 2.4er bleiben.

millo wrote:Ich weiß dass 2.6.7 älter ist, allerdings gibts momentan nur dafür grsec. Wenn der Patch für 2.6.10 da ist update ich ja schon. :P

Wie wär's mit Abschalten bis dahin?

Hinrich wrote:

millo wrote:Ich weiß dass 2.6.7 älter ist, allerdings gibts momentan nur dafür grsec. Wenn der Patch für 2.6.10 da ist update ich ja schon. :P

Wie wär's mit Abschalten bis dahin?

Warum? Ich biete doch noch gar keine Shell Dienste an. Außerdem läuft die Testmaschine lokal. 8O

Falls das ganze überhaupt online gehen soll, werde ich schon einen stabilen 2.4. oder 2.6. Kernel nehmen, jenachdem wie die Kernel und grsec Entwicklungszukunft aussieht.

Mal kurz nebenbei bemerkt: es gibt GRSec mittlerweile für 2.6.10, allerdings habe ich keine Ahnung, wie der aktuelle Status des ganzen ist:
http://www.grsecurity.net/~spender/grse ... 1126.patch