Mailinglist Archive: opensuse-de (5177 mails)
| < Previous | Next > |
Re: 1&1-Root-Server + Webserver + Sicherheit
- From: Michael Meyer <mime@xxxxxx>
- Date: Tue, 17 Jun 2003 20:19:56 +0200
- Message-id: <20030617181956.GA15039@xxxxxxxxxxxxxxxx>
Matthias Houdek wrote:
eben.
das ist aber auch nur eine gutgemeinte warscheinlichkeitsrechnung, oder?
eben drum mein sehr erstauntes 'was?'.
aber ja, hast ja recht ... hätte ich ignorieren können. aber ... so
weit solltest du mich eigentlich kennen. ;)
na klar ... du nicht?
ja, vielleicht. man muss sich dann halt fragen, ob man einer
closed-source-software vertraut.
nur bisher ging es doch gar nicht um firewalls. ok, der op schreibt
firewall. aber würdest du mit mir wetten wollen, dass er nicht in
wirklichkeit paketfilter meint? ich an deiner stelle würde nicht
wetten.
wessen? meiner nicht.
ja, ok.
was genau war denn die vorraussetzung?
der kern der frage des op war doch:
,----|
| kann/Sollte/MÜSSTE eine firewall installiert werden oder bietet der
| apache genügend sicherheit?
`----|
wobei ich davon ausgehe, dass der OP mit 'firewall' einen paketfilter
meint.
daher meine antwort: nein, braucht er nicht.
ahh ... ich kann dir folgen. das kann wohl unter umständen sinn machen.
ach ... Matthias, du bekommst hier doch auch immer mal wieder mit, wie
firewall gerne definiert wird. diese allgemeine
computer-bild-definition weicht doch von der deinen, und auch von
der meinen, meilenweit ab.
du kannst doch, mit an sicherheit grenzender warscheinlichkeit, davon
ausgehen, dass für den OP eine firewall == paketfilter ist.
IMHO zeigt die fragestellung dieses auch.
'richtig dicht' wird wohl immer ein wunsch bleiben. aber ja, und so
verstehe ich dich, dass ist schon die optimalere umsetzung.
na immerhin _eine_. ;)
micha
[Michael Meyer]:
Matthias Houdek wrote:
[Michael Meyer]:
ok, gutes argument. scp?
Dafür muss ssh laufen. Bist du sicher, dass das immer nur auf die
angegebenen Hostadressen reagiert? Eigentlich schon, aber was
heißt "eigentlich", wenn es mir auf Sicherheit ankommt.
bist du sicher das dein paketfilter immer richtig reagiert?
eigentlich schon ...
Ja, eigentlich schon.
eben.
Und ich bin mir noch sicherer, dass nicht beide an der gleichen
Stelle versagen.
das ist aber auch nur eine gutgemeinte warscheinlichkeitsrechnung, oder?
was?
Na nix, wenn der Paketfilter Port 80 blockt.
so wie du es geschrieben hattest, liest es sich für mich, als ob
ich den paketfilter brauche, damit mein apache anfragen auf port 80
entgegenehmen kann. da musste ich einfach mit einem 'was?'
nachfragen.
So weit solltest du mich eigentlich kennen.
eben drum mein sehr erstauntes 'was?'.
aber ja, hast ja recht ... hätte ich ignorieren können. aber ... so
weit solltest du mich eigentlich kennen. ;)
(ggf. könnte man das in beschränktem Umfang vielleicht sogar
(teil)automatisieren).
na klar ... portsentry z.b. kann das von hause aus.
Ach, du kennst sowas sogar.
na klar ... du nicht?
Und, ist das kein Tool einer Firewall?
ja, vielleicht. man muss sich dann halt fragen, ob man einer
closed-source-software vertraut.
nur bisher ging es doch gar nicht um firewalls. ok, der op schreibt
firewall. aber würdest du mit mir wetten wollen, dass er nicht in
wirklichkeit paketfilter meint? ich an deiner stelle würde nicht
wetten.
dazu fällt mir dann nur ein: selber schuld! so was krankes wie ftp
würde ich nicht mehr einsetzen.
Es ist aber für allgemeinen Up- und Download noch der Standard.
wessen? meiner nicht.
Und auch über scp kann man dir noch alles mögliche unterjubeln.
ja, ok.
Ausnahme: nur du alleine spielst Daten auf die Kiste. Aber das war
nicht die Voraussetzung.
was genau war denn die vorraussetzung?
der kern der frage des op war doch:
,----|
| kann/Sollte/MÜSSTE eine firewall installiert werden oder bietet der
| apache genügend sicherheit?
`----|
wobei ich davon ausgehe, dass der OP mit 'firewall' einen paketfilter
meint.
daher meine antwort: nein, braucht er nicht.
Das, was reinkommt, wird erst mal gefiltert, bevor es wirklich
das System erreicht.
sind wir noch bei http und ssh?
Bei Upload auf den Rechner.
ahh ... ich kann dir folgen. das kann wohl unter umständen sinn machen.
wenn aber doch nur der webserver erreichbar ist und keine weiteren
dienste laufen, bleibt der webserver als erstes potentielles
angriffsziel. da hilft dann auch kein paketfilter, ausser du
blockst alle anfragen an den webserver.
Die Frage ging nicht ausschließlich nach Paketfilter, sondern nach
Firewall.
ach ... Matthias, du bekommst hier doch auch immer mal wieder mit, wie
firewall gerne definiert wird. diese allgemeine
computer-bild-definition weicht doch von der deinen, und auch von
der meinen, meilenweit ab.
du kannst doch, mit an sicherheit grenzender warscheinlichkeit, davon
ausgehen, dass für den OP eine firewall == paketfilter ist.
IMHO zeigt die fragestellung dieses auch.
Richtig dicht wäre das auch erst, wenn der Webserver in
einer DMZ steht und nur über einen Proxy von außen erreichbar ist.
'richtig dicht' wird wohl immer ein wunsch bleiben. aber ja, und so
verstehe ich dich, dass ist schon die optimalere umsetzung.
nur, warum hast du dann einen?
Gute Frage ;-)
na immerhin _eine_. ;)
micha
| < Previous | Next > |