sinn von grsecurity

[royal1177]

..hallo !

macht es eures Erachtens, GRSecurity überhaupt Sinn auf einem Server auf dem nur Apache+PHP läuft (kein Mysql, kein Mail, kein ......), der auch einzig und allein von uns betrieben wird (sprich keine weiteren kunden / shared hosting) ???

[Roger Wilco]

Ja, allein schon wegen der zusätzlichen Loggingmechanismen.

[royal1177]

aber in bezug auf die sicherungen habe ich keinen vorteil, wenn ich das richtig sehe ?!

[flo]

Wie schon geschrieben - dafür musst Du die erst einmal "einschalten". Die Protokollfunktionen sind relativ gut, aber auch nur dann, wenn die Logs auch gelesen werden.

[Joe User]

Gresec und SSP/PaX sind proaktive Hilfsmittel, d. h. sie greifen, sofern passend eingesetzt, bevor die eigentlichen Angriffe stattfinden. Allerdings gilt auch hier, dass nicht alle Angriffsmöglichkeiten abdecken können, siehe Dokumentation. Auch in unserem Archiv sind ein paar passssende Threads zu finden...

[royal1177]

aber meine frage ist dahingehend, dass, wenn wirklich nur apache und php läuft, grsec doch in meinen augen sinnlos ist! weil - was soll grsec tun ? Den Apachen schützen vorm apachen selbst ?

Geht ja nicht. Wenn ein loch in der PHP Software drin ist, bringt GRSec doch vermutlich auch nix.

Bitte korrigiert mich, wenn ich irre - ich will einfach nur wissen ob GRSec sich bei meiner Config überhaupt lohnt , oder ob ich die gleiche ausgangssituation hätte, wie ohn grsec.



gruß

[Roger Wilco]

aber meine frage ist dahingehend, dass, wenn wirklich nur apache und php läuft, grsec doch in meinen augen sinnlos ist!

Dann benutze es einfach nicht, wenn du es für sinnlos hältst. Ich halte es für sinnvoll (Stichwort mehrstufige Sicherheit).

[royal1177]

"in meinen augen"

"Bitte korrigiert mich, wenn ich irre"


daher meine Frage an euch, in der Hoffnung eine konstruktive Antwort zu bekommen !

Das grsec sinn macht wenn mehrere sachen auf ner kiste laufen wie z.b. samba, mail, web etc. bzw. bei shared hosting - ist klar !

meine frage ist einfach ob er mir überhaupt was bringt wenn nur apache&php laufen ...

[oxygen]

aber meine frage ist dahingehend, dass, wenn wirklich nur apache und php läuft, grsec doch in meinen augen sinnlos ist! weil - was soll grsec tun ? Den Apachen schützen vorm apachen selbst ?

Geht ja nicht. Wenn ein loch in der PHP Software drin ist, bringt GRSec doch vermutlich auch nix.

Möglicherweise schon. z.B. kannst das ausbrechen aus chroot oder potenzielle root exploits mit grsecurity verhindern.

[royal1177]

auf chrooten habe ich verzichtet, aufgrund der tatsache das nur apache und php läuft auf der kiste

hat ein angreifer überhaupt eine möglichkeit mittels root exploit anzugreifen, wenn die einzigste möglichkeit, anzugreifen, der port 80 bzw. die webanwendungen sind ?

gruß

[Roger Wilco]

hat ein angreifer überhaupt eine möglichkeit mittels root exploit anzugreifen, wenn die einzigste möglichkeit, anzugreifen, der port 80 bzw. die webanwendungen sind ?

Ja.

[flo]

PHP ist nicht unbedingt für umfangreiche Audits bekannt. Die richtigen Applikationen dabei und man kann mit dem Scheunentor winken.

Mir ist mal passiert, daß ich eine aktuelle Version von Horde installiert habe, dann pausiert habe - wegen Schlafens - und schon am nächsten Tag eine Mail vom Hostmaster hatte.

[royal1177]

also schlagt ihr vor, den apache zu chrooten und grsec einzusetzen?

[Joe User]

Alles, womit der User theoretisch in Kontakt kommen könnte, sollte auf einem möglichst sicherem System in einem eigenem Chroot/Jail sitzen. Diese Chroots/Jails müssen dann noch durch weitere Sicherheitsmechanismen beispielsweise Gresec abgeschottet werden. Somit solltest Du nicht Apache+PHP in das gleiche, sondern in getrennte Chroots/Jails stecken (php-fcgi). Gleiches gilt auch für alle anderen Diensten, Scriptsprachen und und und...

[oxygen]

also schlagt ihr vor, den apache zu chrooten und grsec einzusetzen?

Ohne die genaue Situation zu kennen, ist es schwierig passende Empfehlungen abzugeben. Betrachte das ganze eher als das Aufzeigen von Möglichkeiten. Sowohl Chancen als auch Risiken.

[royal1177]

• @oxygen.
  genau deswegen hab ich mich ja an euch gewendet :) - und versucht es ausreichend zu schildern (nur "mein projekt" auf der kiste, keine weiteren kunden, nur apache&php etc)
  
  welche infos benötigst du, damit du eine konstruktive entscheidung abgeben kannst ?
  gruß

[Roger Wilco]

Also mal ehrlich. Du hast hier schon einige Meinungen gehört. Den Rest musst du selbst machen...

[royal1177]

aber meiner Meinung nach leider noch keine die wirklich "on Point" ist..

[flo]

Wir sind seit ca. 32x1.5 Posts on Point - aber ein Allheilmittel für Systemsicherheit per Ferndiagnose gibts nicht.

Du möchtest ein Netzwerk aufbauen, das ist bis jetzt klar - aber sieh doch bitte ein, daß eine umfangreiche Systembewertung anhand oberflächlicher Beschreibungen nicht wirklich möglich ist.

[Joe User]

Meinungen können nicht "on point" sein, deswegen sind es ja Meinungen und Jeder hat eine Andere, sofern er selbstständig Denken kann.
Und nein, Standards gibt es in diesem Bereich glücklicherweise auch nicht, nur individuelle Anforerungen...