Sicherheitsrisiko Suse 8.2 als Router?
Hallo Liste, meine merkwürdigen ;-);-) Argumente bezüglich Sicherheitsupdates mit der Bitte um Gegendarstellung sind wahrscheinlich in meiner Erfolgsmeldung "Remote-Zugriff...*GELÖST*" untergegangen. Daher hier nochmal mein Lieschen-Müller-Standpunkt, mit der Bitte um konstruktiven Verriß, oder aber auch Bestätigung (bevorzugt): Am Dienstag, 6. Dezember 2005 23:36 schrieb Christian Boltz:
(...) Hatte ich das Stichwort "fehlende Sicherheitsupdates" schon mal in die Runde geworfen? ;-);-)
Hatte ich schonmal gefragt, ob das Wort "Nervensäge" irgendeine Bedeutung für Dich hat? ;-);-) Aber im Ernst (pfffffrrmft): 1) Wenn der Server erstmal so tut, wie er soll (fehlt aktuell noch der Drucker) schmeisse ich alles runter, was er nicht fürs routen und drucken braucht. Private oder sonstige wichtige Daten liegen hier nicht. Kein KDE, kein Browser, kein Mail-, Fax- oder sonstiger Server. Nur Router und Printer. 2) Zugriff auf das Internet erfolgt dann von 9.3 (demnächst vielleicht 10.1 oder andere Distribution in aktueller Version). Das ist - wenn ich die Idee mit der Fernsteuerung vom smpppd richtig verstanden habe - so, als würde ich mich mit 9.3 direkt einwählen (oder nicht?!). D.h. es greifen dann die Sicherheitsabdeits des Clients... denke ich... die ich natürlich täglich einspiele (hüstel...) 3) Allgemeiner-Kultur-Pessimismus-auf-die-Gefahr-hin-zum-Hack-auf-meinen-Rechner-einzuladen: Wer hat ein ernsthaftes Interesse daran meine Urlaubsbilder zu löschen (die ich als vorbildlicher Nutzer ohnehin regelmäßig auf DVD archiviere - ohne gehüstel!). Ja, klar, böse Jungs können noch ganz andere versaute Sachen mit meinen Rechnern anstellen - Aber wozu? Möglich ist das grundsätzlich nur, wenn ich Online bin (armer ISDN-Schlucker). Und da ich kein DSL-verwöhnter Dauer-Onliner bin, sind diese Zeiten sehr beschränkt & ich bin dann ja auch da... Downloads/eMails gehen (wie unter 2 bemerkt) direkt auf den 9.3er. 4) Wenn's nicht kaputt ist, reparier's nicht! Bin froh das der %$&/(&$ jetzt halbwegs läuft! Glaubst Du ernsthaft, ich frickel jetzt nochmal 3 Wochen 'rum, nur um meinem (Deinem) Aktuelle-Versions-Fetischismus zu fröhnen??? Widerspruch/Klarstellung meiner naiven Sichtweise gerne erwünscht! In diesem Zusammenhang wäre ich auch für allgemeine Hinweise/Best Practices bezüglich Firewall-Konfig auf Server&Client dankbar...
Hallo Matthias, hallo Leute, Am Donnerstag, 8. Dezember 2005 22:59 schrieb Matthias Eberspächer:
meine merkwürdigen ;-);-) Argumente bezüglich Sicherheitsupdates mit der Bitte um Gegendarstellung sind wahrscheinlich in meiner Erfolgsmeldung "Remote-Zugriff...*GELÖST*" untergegangen. Daher hier nochmal mein Lieschen-Müller-Standpunkt, mit der Bitte um konstruktiven Verriß, oder aber auch Bestätigung (bevorzugt):
Wenn Du das unbedingt willst... ;-)
Am Dienstag, 6. Dezember 2005 23:36 schrieb Christian Boltz:
(...) Hatte ich das Stichwort "fehlende Sicherheitsupdates" schon mal in die Runde geworfen? ;-);-)
Hatte ich schonmal gefragt, ob das Wort "Nervensäge" irgendeine Bedeutung für Dich hat? ;-);-)
*LoL*
Aber im Ernst (pfffffrrmft): 1) Wenn der Server erstmal so tut, wie er soll (fehlt aktuell noch der Drucker) schmeisse ich alles runter, was er nicht fürs routen und drucken braucht. Private oder sonstige wichtige Daten liegen hier nicht. Kein KDE, kein Browser, kein Mail-, Fax- oder sonstiger Server. Nur Router und Printer. ( Dann sind logischerweise "nur" noch diese Dienste angreifbar. Aber auch die (und auch der Kernel) können Sicherheitslücken haben, für die Du keine Updates mehr bekommst.
2) Zugriff auf das Internet erfolgt dann von 9.3 (demnächst vielleicht 10.1 oder andere Distribution in aktueller Version). Das ist - wenn ich die Idee mit der Fernsteuerung vom smpppd richtig verstanden habe - so, als würde ich mich mit 9.3 direkt einwählen (oder nicht?!). D.h. es greifen dann die Sicherheitsabdeits des Clients... denke ich... die ich natürlich täglich einspiele (hüstel...)
Nö, so einfach ist es nicht. Das, was Du über die "Fernsteuerung" des smpppd machst, ist nichts anderes als das Auf- und Abbauen der Verbindung - sonst nichts. Der Server ist immer noch das Tor zur Welt - falls also im Kernel (speziell: iptables) eine remote ausnutzbare Sicherheitslücke sein sollte, hast Du ein Problem.
3) Allgemeiner-Kultur-Pessimismus-auf-die-Gefahr-hin-zum-Hack-auf-meinen -Rechner-einzuladen: Wer hat ein ernsthaftes Interesse daran meine Urlaubsbilder zu löschen (die ich als vorbildlicher Nutzer ohnehin regelmäßig auf DVD archiviere - ohne gehüstel!).
Klar, als Privatuser wird Dir kein profesioneller Auftrags-Angreifer auf die Pelle rücken. Automatisierte Angriffe durch Würmer o. ä. können aber jeden treffen. (Du ahnst nicht, wie viele Loginversuche per SSH ich auf meinem Server habe. Und das, obwohl ich nur SSH-Keys erlaube ;-))
Ja, klar, böse Jungs können noch ganz andere versaute Sachen mit meinen Rechnern anstellen
Eben.
- Aber wozu? Möglich ist das grundsätzlich nur, wenn ich Online bin (armer ISDN-Schlucker). Und da ich kein DSL-verwöhnter Dauer-Onliner bin, sind diese Zeiten sehr beschränkt & ich bin dann ja auch da...
Trotzdem - auch in dieser Zeit kann jemand angreifen.
Downloads/eMails gehen (wie unter 2 bemerkt) direkt auf den 9.3er.
Wie schon gesagt: Das reduziert das Risiko (weil Dein Webbrowser, FTP-Client, Mailer usw. auf dem aktuellen Stand sind) - allerdings sind immer noch Sicherheitslücken im Kernel oder iptables vorstellbar.
4) Wenn's nicht kaputt ist, reparier's nicht!
Fehlende Sicherheitsupdates würde ich schon als halbwegs kaputt betrachten...
Bin froh das der %$&/(&$ jetzt halbwegs läuft! Glaubst Du ernsthaft, ich frickel jetzt nochmal 3 Wochen 'rum, nur um meinem (Deinem) Aktuelle-Versions-Fetischismus zu fröhnen???
Nächstes Mal geht es schneller - Du hast ja geübt ;-) und kannst die Konfiguration (zumindest großteils) übernehmen.
Widerspruch/Klarstellung meiner naiven Sichtweise gerne erwünscht!
Genügt obiges? ;-) Zusammengefasst: Ich würde keinesfalls einen Server ohne Sicherheitsupdates ans Netz hängen - auch wenn er nur hinter einer ISDN-Leitung hängt.
In diesem Zusammenhang wäre ich auch für allgemeine Hinweise/Best Practices bezüglich Firewall-Konfig auf Server&Client dankbar...
Bei einem Server ohne Sicherheitsupdates würde ich jedenfalls die Client-Firewall gut abdichten *g* Gruß Christian Boltz -- I read the BOFH texts long time ago and remember them, but this attitude is unfortunately not really called for business Linux versions ;) "In the new SUSE Linux release we are now standardizing on the 'netcat' browser. It is fully costumable to your viewing experience." ;) [Marcus Meissner in suse-security]
Tach alle, hallo Christian, also, erst nochmal Danke für die ausführlichen Darlegungen aus dem Hause Klugscheiß ;o) Ist natürlich alles richtig & ich werde es auch (bei Gelegenheit, bzw. spätestens bei Erscheinen der nächsten "stabilen" (was immer das heißt) Version berücksichtigen. Ich möchte aber doch mal kurz einen in diesem Forum möglicherweise unpopulären Standpunkt vertreten (falls das ganze hier Off-Topic ist, bitte "Ordnung" rufen!): Ich weiß nicht genau wie lange es her ist, dass ich die 8.2er erstmals installiert habe - 2 Jahre? 2 einhalb Jahre? Gefühlte Zeit ist es eher weniger... Seit einem halben Jahr gibt es keine Sicherheitsupdates (sic!) mehr und das halten anerkannte Experten (namens cboltz) für so kritisch, dass man besser mal upgraden sollte, bevor man damit das eigentlich in der modernen PC-Kultur nebensächliche Feature Internet benutzt. Das bedeutet de facto, dass das keine zwei Jahre alte Betriebssystem nicht mehr nutzbar ist!!! Upgraden, oder - wie meine Frau es nennt - "Computer-Periode" (wobei ICH die Kopfschmerzen bekomme!), bedeutet nach meiner persönlichen Erfahrung: Am besten Rechner komplett Backupen, platt machen, neu installieren, Backups wieder einspielen. Dann Treiber suchen bis alle Hardware wieder bekannt ist. Dann Lieblingssoftware downloaden & ärgern, dass irgenwelche Packages fehlen oder jetzt in der falschen Version vorliegen. Die "richtigen" Versionen runterladen und ärgern, dass jetzt irgendwas anderes nicht mehr läuft. Zwischendurch versuchen, die Konfiguration wieder so hinzubekommen, das alles wieder so tut wie es soll. Über Nebeneffekte bei erwünschten oder unerwünschten Versionsupdates ärgern (z.B. bei OpenOffice auf die Version, die SuSe für 2.0 gehalten hat...) Trotz alledem ist das noch schneller und gefahrloser als der "automatisierte" Upgrade-Versuch über YAST. Das hat bei mir noch nie reibungslos funktioniert - wobei ich nicht ausschließe, dass diese Aussage bereits die Hauptursache dafür beinhaltet! Wie dem auch sei, Backup, platt, neu, Backup dauert (mein Erfahrungswert) gerade etwas länger als zwei bis drei verregnete Wochenenden. Ist also durchaus mit Arbeit verbunden. Da ich diese Zeit selten am Stück habe bedeutet ein Upgrade für mich in der Regel 2 bis 4 Monate "undefinierter Systemzustand" in dem irgenwas nicht so tut wie es soll (Drucker/Internet/Brenner/meine Lieblingsanwendung....). Und als ISDNer muss ich für die CDs/DVDs auch noch anständig Geld berappen. Also: Alle zwei Jahre aktuelle Version kaufen, mit nicht unerheblichem Aufwand installieren, Ärger mit Treibern und teilweise nur halb funktionsfähiger (dafür aber - zugegeben - überwiegend kostenloser) Software, ständiges 'runterladen & installieren der Sicherheitsupdates (mit ISDN!), statt mit Kindern spielen oder Frau vögeln (oder umgekehrt ;o) ) in irgendwelchen Newsgroups 'rumhängen und mit Eierköpfen diskutieren ;o).... Bitte, bitte, bitte: Erinnert mich nochmal daran, warum es nicht besser ist, alle 5 Jahre das aktuelle Windoof zu kaufen und einmal im Monat die Patch-Orgie zu ertragen! Oder möglicherweise auf eine Linux-Distribution ausweichen, deren Verfallszeit
2 Jahre ist (Vorschläge?)
Gruß, Mebs Am Donnerstag, 8. Dezember 2005 23:10 schrieb Christian Boltz:
Hallo Matthias, hallo Leute,
Am Donnerstag, 8. Dezember 2005 22:59 schrieb Matthias Eberspächer:
meine merkwürdigen ;-);-) Argumente bezüglich Sicherheitsupdates mit der Bitte um Gegendarstellung sind wahrscheinlich in meiner Erfolgsmeldung "Remote-Zugriff...*GELÖST*" untergegangen. Daher hier nochmal mein Lieschen-Müller-Standpunkt, mit der Bitte um konstruktiven Verriß, oder aber auch Bestätigung (bevorzugt):
Wenn Du das unbedingt willst... ;-)
Am Dienstag, 6. Dezember 2005 23:36 schrieb Christian Boltz:
(...) Hatte ich das Stichwort "fehlende Sicherheitsupdates" schon mal in die Runde geworfen? ;-);-)
Hatte ich schonmal gefragt, ob das Wort "Nervensäge" irgendeine Bedeutung für Dich hat? ;-);-)
*LoL*
Aber im Ernst (pfffffrrmft): 1) Wenn der Server erstmal so tut, wie er soll (fehlt aktuell noch der Drucker) schmeisse ich alles runter, was er nicht fürs routen und drucken braucht. Private oder sonstige wichtige Daten liegen hier nicht. Kein KDE, kein Browser, kein Mail-, Fax- oder sonstiger Server. Nur Router und Printer.
( Dann sind logischerweise "nur" noch diese Dienste angreifbar. Aber auch die (und auch der Kernel) können Sicherheitslücken haben, für die Du keine Updates mehr bekommst.
2) Zugriff auf das Internet erfolgt dann von 9.3 (demnächst vielleicht 10.1 oder andere Distribution in aktueller Version). Das ist - wenn ich die Idee mit der Fernsteuerung vom smpppd richtig verstanden habe - so, als würde ich mich mit 9.3 direkt einwählen (oder nicht?!). D.h. es greifen dann die Sicherheitsabdeits des Clients... denke ich... die ich natürlich täglich einspiele (hüstel...)
Nö, so einfach ist es nicht.
Das, was Du über die "Fernsteuerung" des smpppd machst, ist nichts anderes als das Auf- und Abbauen der Verbindung - sonst nichts.
Der Server ist immer noch das Tor zur Welt - falls also im Kernel (speziell: iptables) eine remote ausnutzbare Sicherheitslücke sein sollte, hast Du ein Problem.
3) Allgemeiner-Kultur-Pessimismus-auf-die-Gefahr-hin-zum-Hack-auf-meinen -Rechner-einzuladen: Wer hat ein ernsthaftes Interesse daran meine Urlaubsbilder zu löschen (die ich als vorbildlicher Nutzer ohnehin regelmäßig auf DVD archiviere - ohne gehüstel!).
Klar, als Privatuser wird Dir kein profesioneller Auftrags-Angreifer auf die Pelle rücken. Automatisierte Angriffe durch Würmer o. ä. können aber jeden treffen. (Du ahnst nicht, wie viele Loginversuche per SSH ich auf meinem Server habe. Und das, obwohl ich nur SSH-Keys erlaube ;-))
Ja, klar, böse Jungs können noch ganz andere versaute Sachen mit meinen Rechnern anstellen
Eben.
- Aber wozu? Möglich ist das grundsätzlich nur, wenn ich Online bin (armer ISDN-Schlucker). Und da ich kein DSL-verwöhnter Dauer-Onliner bin, sind diese Zeiten sehr beschränkt & ich bin dann ja auch da...
Trotzdem - auch in dieser Zeit kann jemand angreifen.
Downloads/eMails gehen (wie unter 2 bemerkt) direkt auf den 9.3er.
Wie schon gesagt: Das reduziert das Risiko (weil Dein Webbrowser, FTP-Client, Mailer usw. auf dem aktuellen Stand sind) - allerdings sind immer noch Sicherheitslücken im Kernel oder iptables vorstellbar.
4) Wenn's nicht kaputt ist, reparier's nicht!
Fehlende Sicherheitsupdates würde ich schon als halbwegs kaputt betrachten...
Bin froh das der %$&/(&$ jetzt halbwegs läuft! Glaubst Du ernsthaft, ich frickel jetzt nochmal 3 Wochen 'rum, nur um meinem (Deinem) Aktuelle-Versions-Fetischismus zu fröhnen???
Nächstes Mal geht es schneller - Du hast ja geübt ;-) und kannst die Konfiguration (zumindest großteils) übernehmen.
Widerspruch/Klarstellung meiner naiven Sichtweise gerne erwünscht!
Genügt obiges? ;-)
Zusammengefasst: Ich würde keinesfalls einen Server ohne Sicherheitsupdates ans Netz hängen - auch wenn er nur hinter einer ISDN-Leitung hängt.
In diesem Zusammenhang wäre ich auch für allgemeine Hinweise/Best Practices bezüglich Firewall-Konfig auf Server&Client dankbar...
Bei einem Server ohne Sicherheitsupdates würde ich jedenfalls die Client-Firewall gut abdichten *g*
Gruß
Christian Boltz -- I read the BOFH texts long time ago and remember them, but this attitude is unfortunately not really called for business Linux versions ;) "In the new SUSE Linux release we are now standardizing on the 'netcat' browser. It is fully costumable to your viewing experience." ;) [Marcus Meissner in suse-security]
Am Freitag, 9. Dezember 2005 22:30 schrieb Matthias Eberspächer:
Tach alle, hallo Christian, .[...] Also: Alle zwei Jahre aktuelle Version kaufen, mit nicht unerheblichem Aufwand installieren, Ärger mit Treibern und teilweise nur halb funktionsfähiger (dafür aber - zugegeben - überwiegend kostenloser) Software, ständiges 'runterladen & installieren der Sicherheitsupdates (mit ISDN!), statt mit Kindern spielen oder Frau vögeln (oder umgekehrt ;o) )
Kinder vögeln???,-hm
in irgendwelchen Newsgroups 'rumhängen und mit Eierköpfen diskutieren ;o)....
Bitte, bitte, bitte: Erinnert mich nochmal daran, warum es nicht besser ist, alle 5 Jahre das aktuelle Windoof zu kaufen und einmal im Monat die Patch-Orgie zu ertragen!
Wenn das Zeug macht was du willst und du das so siehst....
Oder möglicherweise auf eine Linux-Distribution ausweichen, deren Verfallszeit > 2 Jahre ist (Vorschläge?)
Debian. Wenn nur als rooter: http://www.fli4l.de/ Gruß Harald
participants (3)
-
Christian Boltz
-
Harald Huthmann
-
Matthias Eberspächer