On Tue, Jun 17, 2003 at 02:18:34PM +0200, Martin Borchert wrote:
sinnfrei. Überhaupt fällt mir kein vernünftiges Setup ein, bei dem es nötig wäre, einen _einzelnen_ Server mit einem Paketfilter zu versehen.
Ich weiß von einem Setup, bei dem ein Java Application Server sich weigert, über einen UNIX Domain Socket mit dem MySQL zu reden. Also schirmt der Paketfilter die 3306 nach draussen ab. In einem anderen Setup läuft ein imap/pop auf 143/110 und sslwrap auf 993/995. Der Paketfilter macht hier die 143/110 nach aussen zu.
Viel wichtiger ist es, nur die Services laufen zu lassen, die du benötigst und zu diesen jeweils als sicher[tm] eingestufte Versionen der Software einzusetzen.
Generell ist es sinnvoll, mehr als eine Verteidigungslinie aufzubauen. Das schützt zusätzlich gegen Konfigurationsfehler und Admindummheit. Kristian