* On Tue, 05 Feb 2002 at 12:12 +0100, Thomas Michael Wanka wrote:
On 4 Feb 2002 at 19:21, Adalbert Michelic wrote:
Das ist Grundvoraussetzung. Da werden ihn aber nicht vorhandene Tools auf dem System kaum dran hindern. Da ist es weit förderlicher Security-Updates und Konsorten nicht einzuspielen.
Ohne Updates geht es ohnehin nicht. Fehlende telnet und Datei systemtools etc. eventuell manipulierte shells etc. sind aber durchaus dazu geeignet den Angreifer zu blockieren. Wenn man
Das sind Steine, die im Weg liegen, aber einfach behoben werden können. man hexdump -b, man sed, man echo
dann noch Filesystemflags einsetzt und den erheblichen Teil
Damit hat er unter Linux aber kein Problem solange er root ist. mit OpenBSD siehts da latürnich wieder anders aus - siehe secure level.
der Dateien schützt, oder auch von CD bootet kann man eine gewisse Sichedrheit voraussetzen.
Spätestens wenn der Rechner nur mehr auf read-only Medien (inkl. Ramdisk, d.h. keine Möglichkeit für eine Ramdisk hat) zugreifen kann, braucht er einen seperaten Logserver.
eingeschränkten System blockiert man sich nur selbst. Reinkommen tut
Was soll's, dann lernst Du's eben mal anders rum. back to the root's. Ich bin immer wieder überrrascht wieviel Probleme man mit den einfachsten Befehlen lösen kann.
Warum sollte ich mir zuhause ein Gateway hinstellen, das derart verkrüppelt ist, daß ich selbst nicht mehr drauf arbeiten kann? Da schaue ich vielmehr drauf, daß ich Paketmäßig auf einem einigermaßen aktuellen Stand bin, und ich mit dem System arbeiten kann.
Was hast Du am Gateway zu arbeiten? Häng Dich per serieller in den Rechner, leg mounte eine CD die Du erst eienschieben mußt, und die Sache ist erledigt.
Hat sich Dir noch nie das Problem gestellt, daß Du, wenn Du auswärts bist, Zugriff auf den Rechner zuhause brauchst? Dann bist Du aus dem Schneider. Ansonsten müsste in Deinem Abstellraum - wenn Du konsequent bist - eine kleine bis mittlere Serverfarm herumstehen. Die kostet nicht nur in der Anschaffung was, sondern auch im Betrieb - man Stromkosten. Irgendeinen Server brauchst Du dann, der Dich per ssh reinlässt. Der ssh-Daemon darf natürlich keine Sicherheitslücken aufweisen, was wiederum mit endlichem Zeitaufwand kaum realisierbar ist. Dann sitzt Dein Angreifer nun nicht mehr am Gateway sondern am ssh-Server. Gottseidank hat der ssh-Server keine read-write Medien, also kann der Angreifer nichts anstellen. Aber halt - Du hast ja noch einen Server, der für Deine Emails zuständig ist, und auf dem ein mutt läuft. Vom ssh-Server würdest Du - wenn Du eine alte Email nachsehen musst - dann auf den mutt-Server weiterspazieren. Der hat ja keine rw-Medien. F*ck, wie kommen da jetzt die neuen Mails drauf? Und warum regt sich Deine Frau/Freundin auf, daß sie im Abstellraum keinen Platz mehr für Lebensmittel hat? Da gehört eindeutig ein eigener Serverraum her. usw, usw, usw. Mir wäre das zuviel Aufwand. -- Adalbert PGP welcome, request public key: mailto:adalbert+key@lopez.at