Am Sat, 04 Aug 2001 schrieb Heiko Brüning:
ich habe gerade erschreckendes festgestellt: wenn ich mit 'telnet localhost $PORT' die bei mir installierten Server abfrage, gibt es bei *jedem* Server eine Möglichkeit, dass er mir (oder dem Hacker) seine Versionsnummer (bis ins Patchlevel!) anzeigt.
Ja und? Security by Obscurity ist ohnehin nutzlos.
Sehr gesund scheint mir das nicht zu sein, da ich keine Lust habe, jedes Patch mitzumachen (die rothaut z.B. fass ich nach schlechten Erfahrungen mit yast-Update gar nicht mehr an bis zur nächsten Neu-Installation). IMHO kann ein guter Hacker gerade mit den Patchlevel-Infos doch schon eine Menge anfangen (Ist Euch schonmal aufgefallen, dass SuSE bei sendmail IMHO zu weit gegangen ist? gpm: Sendmail 8.11.3/8.11.3/SuSE Linux 8.11.1-0.5 Demnächst baut SuSE noch den aktuellen Wetterbericht in die fetchnews-Versionsnummer ein, hab ich gehöhrt ;-) )
Sorry, aber die Aussage zeugt nicht gerade von einem gesunden Verständnis für Sicherheitsprobleme. Security by Oscurity ist eine sinnlose Idee, die seit 30 Jahren in Fachkreisen als solche entlarvt ist, auch wenn immer noch irgendwelche selbsternannten Sicherheits-Fachleute was anderes behaupten. Keine Sicherheit ist immer noch besser als Scheinsicherheit, denn man nimmt sie wenigstens wahr.
Meine Frage nun: Wie krieg ich die Server (v.a. sendmail, apache, fetchnews) zum Schweigen? Ein Hacker sollte bei mir möglichst überhaupt nicht sehen, dass er in ein Linux einzusteigen versucht. Windows vorgaukeln wird wohl sinnlos sein, dazu ist die Unix-Struktur zu offensichtlich, aber *mehr* braucht eigendlich keiner von draussen zu wissen.
Das Unterfangen ist aussichtslos, denn alleine an der Charakteristik von Antworten auf Netzwerk-Anfragen kann ein Angreifer u.U. schon sehen welche Software Du einsetzt. Setz eine Firewall auf, deaktiviere alle nicht benötigten Dienste, sperre den Zugriff auf alle nur intern benötigten Dienste von Außen und halte den Rest ebenso wie den Kernel und alle zentralen Libraries auf einem den aktuellen Security-Meldungen entsprechenden Patchlevel. Alles andere ist Spielerei. -- MfG, Erhard Schwenk