Hallo Matthias, hallo Leute, Am Donnerstag, 8. Dezember 2005 22:59 schrieb Matthias Eberspächer:
meine merkwürdigen ;-);-) Argumente bezüglich Sicherheitsupdates mit der Bitte um Gegendarstellung sind wahrscheinlich in meiner Erfolgsmeldung "Remote-Zugriff...*GELÖST*" untergegangen. Daher hier nochmal mein Lieschen-Müller-Standpunkt, mit der Bitte um konstruktiven Verriß, oder aber auch Bestätigung (bevorzugt):
Wenn Du das unbedingt willst... ;-)
Am Dienstag, 6. Dezember 2005 23:36 schrieb Christian Boltz:
(...) Hatte ich das Stichwort "fehlende Sicherheitsupdates" schon mal in die Runde geworfen? ;-);-)
Hatte ich schonmal gefragt, ob das Wort "Nervensäge" irgendeine Bedeutung für Dich hat? ;-);-)
*LoL*
Aber im Ernst (pfffffrrmft): 1) Wenn der Server erstmal so tut, wie er soll (fehlt aktuell noch der Drucker) schmeisse ich alles runter, was er nicht fürs routen und drucken braucht. Private oder sonstige wichtige Daten liegen hier nicht. Kein KDE, kein Browser, kein Mail-, Fax- oder sonstiger Server. Nur Router und Printer. ( Dann sind logischerweise "nur" noch diese Dienste angreifbar. Aber auch die (und auch der Kernel) können Sicherheitslücken haben, für die Du keine Updates mehr bekommst.
2) Zugriff auf das Internet erfolgt dann von 9.3 (demnächst vielleicht 10.1 oder andere Distribution in aktueller Version). Das ist - wenn ich die Idee mit der Fernsteuerung vom smpppd richtig verstanden habe - so, als würde ich mich mit 9.3 direkt einwählen (oder nicht?!). D.h. es greifen dann die Sicherheitsabdeits des Clients... denke ich... die ich natürlich täglich einspiele (hüstel...)
Nö, so einfach ist es nicht. Das, was Du über die "Fernsteuerung" des smpppd machst, ist nichts anderes als das Auf- und Abbauen der Verbindung - sonst nichts. Der Server ist immer noch das Tor zur Welt - falls also im Kernel (speziell: iptables) eine remote ausnutzbare Sicherheitslücke sein sollte, hast Du ein Problem.
3) Allgemeiner-Kultur-Pessimismus-auf-die-Gefahr-hin-zum-Hack-auf-meinen -Rechner-einzuladen: Wer hat ein ernsthaftes Interesse daran meine Urlaubsbilder zu löschen (die ich als vorbildlicher Nutzer ohnehin regelmäßig auf DVD archiviere - ohne gehüstel!).
Klar, als Privatuser wird Dir kein profesioneller Auftrags-Angreifer auf die Pelle rücken. Automatisierte Angriffe durch Würmer o. ä. können aber jeden treffen. (Du ahnst nicht, wie viele Loginversuche per SSH ich auf meinem Server habe. Und das, obwohl ich nur SSH-Keys erlaube ;-))
Ja, klar, böse Jungs können noch ganz andere versaute Sachen mit meinen Rechnern anstellen
Eben.
- Aber wozu? Möglich ist das grundsätzlich nur, wenn ich Online bin (armer ISDN-Schlucker). Und da ich kein DSL-verwöhnter Dauer-Onliner bin, sind diese Zeiten sehr beschränkt & ich bin dann ja auch da...
Trotzdem - auch in dieser Zeit kann jemand angreifen.
Downloads/eMails gehen (wie unter 2 bemerkt) direkt auf den 9.3er.
Wie schon gesagt: Das reduziert das Risiko (weil Dein Webbrowser, FTP-Client, Mailer usw. auf dem aktuellen Stand sind) - allerdings sind immer noch Sicherheitslücken im Kernel oder iptables vorstellbar.
4) Wenn's nicht kaputt ist, reparier's nicht!
Fehlende Sicherheitsupdates würde ich schon als halbwegs kaputt betrachten...
Bin froh das der %$&/(&$ jetzt halbwegs läuft! Glaubst Du ernsthaft, ich frickel jetzt nochmal 3 Wochen 'rum, nur um meinem (Deinem) Aktuelle-Versions-Fetischismus zu fröhnen???
Nächstes Mal geht es schneller - Du hast ja geübt ;-) und kannst die Konfiguration (zumindest großteils) übernehmen.
Widerspruch/Klarstellung meiner naiven Sichtweise gerne erwünscht!
Genügt obiges? ;-) Zusammengefasst: Ich würde keinesfalls einen Server ohne Sicherheitsupdates ans Netz hängen - auch wenn er nur hinter einer ISDN-Leitung hängt.
In diesem Zusammenhang wäre ich auch für allgemeine Hinweise/Best Practices bezüglich Firewall-Konfig auf Server&Client dankbar...
Bei einem Server ohne Sicherheitsupdates würde ich jedenfalls die Client-Firewall gut abdichten *g* Gruß Christian Boltz -- I read the BOFH texts long time ago and remember them, but this attitude is unfortunately not really called for business Linux versions ;) "In the new SUSE Linux release we are now standardizing on the 'netcat' browser. It is fully costumable to your viewing experience." ;) [Marcus Meissner in suse-security]