Mailinglist Archive: opensuse-de (5177 mails)
| < Previous | Next > |
Re: 1&1-Root-Server + Webserver + Sicherheit
- From: Martin Borchert <martin.borchert@xxxxxx>
- Date: Tue, 17 Jun 2003 19:45:34 +0200
- Message-id: <200306171945.35719@xxxxxxxxxxxxxxx>
Am Dienstag, 17. Juni 2003 18:55 schrieb Matthias Houdek:
Eben nicht. Mir ist nicht ganz klar, wie das funktionieren soll.
Mit einem exploit für den apache mach ich den auf und kann Unfug mit
dessen Rechten machen Möglicherweise wird es sogar zu einem
root-exploit. Jedenfalls bin ich dann lokal und der Paketfilter
kümmert mich nicht mehr.
Mit einem exploit für den netfilter-code genauso. Nur dass ich, wenn
ich den ausnutzen kann, gleich root bin.
Man macht damit eben _nicht_ ein Loch dichter, sondern baut ein
potenzielles neues ein.
Aber doch nicht mit einem Paketfilter. Darum geht es doch hier.
_Man_ _kann_ _einen_ _angreifbaren_ _Service_ _nicht_ _mit_ _einem_
_Paketfilter_ _abdichten_.
Jedenfalls nicht, wenn er öffentlich erreichbar sein soll.
Das ist Security by Obscurity und funktioniert nicht.
Der richtige Einbrecher(TM) bringt sich sein Zeug mit.
Martin
--
when in danger or in doubt, run in circles, scream and shout!
pgp-key: via wwwkeys.de.pgp.net, key id is 0x21eec9b0
[Martin Borchert]:
Am Dienstag, 17. Juni 2003 17:11 schrieb Matthias Houdek:
[Martin Borchert]:
Eben, Und deshalb gehe ich eher davon aus, dass ich nicht nebenUnd ich finde das Argument: "Firewall = zusätzliche SoftwareJa. Ich denke die steht genauso unter ständiger Beobachtung wie
= zusätzliche Angriffsfläche" nicht sehr überzeugend, denn
sicherheitsrelevante Software wie z.B. iptables steht wohl in
besonderem Maße unter ständiger Beobachtung, ob da noch
Lücken geschlossen werden müssen.
andere sicherheitsrelevante Software: sendmail, proftp, bind,
ssh, der apache nebst Modulen hat auch eine gewisse Geschichte
auf Securityfocus.
vorhandene Löcher noch weitere haue, sondern eine dichte Wand
noch einmal abdichte. Falls doch irgendwo ein Loch oder Riss sein
sollte. Und dass beide Schichten an der gleichen Stelle ein Loch
haben ...
Eben nicht. Mir ist nicht ganz klar, wie das funktionieren soll.
Mit einem exploit für den apache mach ich den auf und kann Unfug mit
dessen Rechten machen Möglicherweise wird es sogar zu einem
root-exploit. Jedenfalls bin ich dann lokal und der Paketfilter
kümmert mich nicht mehr.
Mit einem exploit für den netfilter-code genauso. Nur dass ich, wenn
ich den ausnutzen kann, gleich root bin.
Man macht damit eben _nicht_ ein Loch dichter, sondern baut ein
potenzielles neues ein.
Fehlerfreie Software ist eine Illusion. Und wenn derWenn. Aber genau das versucht man ja zu verhindern.
master-httpd erstmal aufgemacht ist, ist iptables schneller
abgeschaltet als du Sicherheitsloch sagen kannst.
Aber doch nicht mit einem Paketfilter. Darum geht es doch hier.
_Man_ _kann_ _einen_ _angreifbaren_ _Service_ _nicht_ _mit_ _einem_
_Paketfilter_ _abdichten_.
Jedenfalls nicht, wenn er öffentlich erreichbar sein soll.
Außerdem kann man es Einbrechern auf einem eigenen System immer
noch schwer machen, das Richtige zu finden.
Das ist Security by Obscurity und funktioniert nicht.
Ein Blinder kann in seiner eigenen Wohnung "sehen", dazu braucht
er kein Licht. Ein Fremder ist ohne Lampe in dieser Wohnung
wirklich blind. Und wenn er seine Taschenlampe vergessen, braucht
er ziehmlich lange, um sich zurecht zu finden *g*.
Der richtige Einbrecher(TM) bringt sich sein Zeug mit.
Martin
--
when in danger or in doubt, run in circles, scream and shout!
pgp-key: via wwwkeys.de.pgp.net, key id is 0x21eec9b0
| < Previous | Next > |