| View previous topic :: View next topic |
| Author |
Message |
slick
Bodhisattva
Joined: 20 Apr 2003
Posts: 3495
|
 Posted: Sun Dec 07, 2003 12:15 am Post subject: [OT] Serversicherheit |
 |
|
Ich las gerade mit Interesse https://forums.gentoo.org/viewtopic.php?t=112622 und hätte hierzu mal ein paar simple "just-for-info" Fragen.
Wenn ich mir mal den typischen meine-Möglichkeiten-beim-ISP-XYZ-sind-zu-wenig-und-hol-mir-jetzt-einen-Rootserver - User anschaue. OK, er bekommt es hin Gentoo ordentlich aufzusetzen, ist als einziger auf der Maschine und ist sogar in der Lage einen funktionieren Paketfilter einzurichten, welcher nur SSH und HTTP von außen zulässt. SSH hat er auf nen Port > 1024 gelegt damit er nicht so schnell von simplen Scans gefunden wird.
Sehe ich das richtig dass die einzige Sicherheitslücken dann
1. Version von SSH
2. Konfiguration des Apache
3. (unsichere) Scripte (PHP, Perl, etc.) im Apache
währen.
Wenn man sicherstellen könnte, dass die Angriffsflächen 1-3 nicht vorhanden wären, wäre es doch eigentlich vollkommen egal wie der Server "intern" konfiguriert ist.
Also wo ich drauf hinaus will, welche Möglichkeiten hätte denn ein Eingreifer von extern an das System zu kommen, wenn o.g. Vorraussetzuneg erfüllt wären? (1 User, Paketfilter, Software up-to-date, und Webserver wäre voll safe, sämtliche Kommunikation über SSH, ausgenommen HTTP)
Interessiert mich aus 2 Gründen:
1. Habe auch schon mal mit dem Gedanken Root-Server gespielt, bin aber lokal am üben 
2. Denke mal mein DSL-Router (gentoo) ist save, aber versuche mir mögliche Szenarien vorzustellen... |
|
| Back to top |
|
 |
thedave
n00b
Joined: 01 Dec 2003
Posts: 24
Location: World -> Europe -> Germany
|
| Posted: Sun Dec 07, 2003 12:54 am Post subject: |
|
|
Du kalkulierst zu optimistisch. 
Und was ist, wenn der Paketfilter kompromittierbar ist? Zack, im worst case hat man dann Zugriff auf den wunderbar miserabel konfigurierten Server und im Idealfall ist man mit einem remote ausführbaren Exploit irgendeines Dienstes "drin".
Durch eine Mauer kann man mit einem Fahrzeug welches groß und schwer genug ist durchfahren, bei mehreren Mauern wird es da schon schwieriger... irgendwann bleibt dann selbst das schwerste Fahrzeug in einer der Mauern stecken. (hoffentlich  )
| Quote: | | 2. Denke mal mein DSL-Router (gentoo) ist save, aber versuche mir mögliche Szenarien vorzustellen... |
Sicherheit ist eine subjektive Einschätzung, nie ein Fakt - da es 100%ige Sicherheit nicht gibt. Gut, ausser du ziehst dauerhaft den Netzstecker 
Die Wahrscheinlichkeit das sich jemand für deinen lokalen Rechner interessiert ist allerdings recht gering. |
|
| Back to top |
|
|
dertobi123
Retired Dev
Joined: 19 Nov 2002
Posts: 2679
Location: Oberhausen, Germany
|
| Posted: Sun Dec 07, 2003 1:11 am Post subject: |
|
|
Spätestens dann wenn es eine Sicherheitslücke im Apache oder einem Apache Modul gibt, und ein Exploit in Umlauf gerät, bevor du das System aktualisieren kannst geht die Rechnung nicht mehr auf.
Es gibt keine 100% sicheren Systeme. Man kann es potentiellen Angreifern nur so schwer wie möglich machen.
| thedave wrote: | | Die Wahrscheinlichkeit das sich jemand für deinen lokalen Rechner interessiert ist allerdings recht gering. |
Würde ich bezweifeln, wie oft hört man von Leuten, denen der Heimserver gehackt wurde? Gut, in den meisten Fällen ist dann Unwissenheit und grobe Nachlässigkeit schuld, aber auch ein Heimserver ist ein potentielles Ziel.
_________________
Ganz frisch: Praxisbuch Nagios
Gentoo Linux - Die Metadistribution (2. Auflage) |
|
| Back to top |
|
|
ian!
Bodhisattva
Joined: 25 Feb 2003
Posts: 3829
Location: Essen, Germany
|
| Posted: Sun Dec 07, 2003 1:14 am Post subject: |
|
|
| dertobi123 wrote: | | thedave wrote: | | Die Wahrscheinlichkeit das sich jemand für deinen lokalen Rechner interessiert ist allerdings recht gering. |
Würde ich bezweifeln, wie oft hört man von Leuten, denen der Heimserver gehackt wurde? Gut, in den meisten Fällen ist dann Unwissenheit und grobe Nachlässigkeit schuld, aber auch ein Heimserver ist ein potentielles Ziel. |
ACK.
Siehe Signatur. Was da täglich an Standard-Exploits ankommt ist in diesen Adressbereichen schon verwunderlich.
ian!
_________________
"To have a successful open source project, you need to be at least somewhat successful at getting along with people." -- Daniel Robbins |
|
| Back to top |
|
|
amne
Bodhisattva
Joined: 17 Nov 2002
Posts: 6378
Location: Graz / EU
|
| Posted: Sun Dec 07, 2003 9:24 am Post subject: Re: [OT] Serversicherheit |
|
|
| slick wrote: | SSH hat er auf nen Port > 1024 gelegt damit er nicht so schnell von simplen Scans gefunden wird.
|
Natürlich wird primär Port 22 nach ssh-Servern abgesucht, neuere Versionen von nmap haben aber auch schon Service-Detektion eingebaut:
| Code: | PORT STATE SERVICE VERSION
1025/tcp open ssh OpenSSH 3.7.1p2 (protocol 2.0)
|
Ich würde auf jeden Fall tcp-wrappers (hosts.allow/hosts.deny) und/oder (besser und) einen Paketfilter einsetzen, um ssh nur aus jenem Addressbereich zuzulassen, aus dem ich selbst komme. Sofern es Useraccounts auf diesem Rechner gibt, ist diese Maßnahme wohl nicht mehr durchführbar.
Ansonsten gilt wie schon erwähnt: Doppelt hält besser, je schwieriger du es einem potentiellen Eindringling machst, desto besser. |
|
| Back to top |
|
|
slick
Bodhisattva
Joined: 20 Apr 2003
Posts: 3495
|
| Posted: Sun Dec 07, 2003 12:52 pm Post subject: |
|
|
@all
ok, ich sage ja nicht Sicherheit ist Bullsh*t, aber ich denke mal je nach Szenario muss man Kompromisse eingehen. Schönstes beispiel sind einstellungen in hosts.deny/.allow.
Die Frage ist allerdings ob es wirklich Leute gibt welche für ihr kleines Heimnetzwerk mit max. 3 Clients am DSL-Router (oder sonstwo) ein IDS aufsetzen und eine komplexe DMZ einrichten.
Was mir übrigens bei solchen Überlegungen zum Thema Aktualität der Software eingefallen ist, würde ich ein "emerge security" vorschlagen, welche nur potenzielle "Security-Updates" einspielt, da ein emerge world meist viele "unnütze" (Nicht falsch verstehen!) Updates enthält. Ein emerge security könnte man dann theoretisch per cron laufen lassen, was bei einem emerge world nur der noob machen würde. |
|
| Back to top |
|
|
dertobi123
Retired Dev
Joined: 19 Nov 2002
Posts: 2679
Location: Oberhausen, Germany
|
| Posted: Sun Dec 07, 2003 1:12 pm Post subject: |
|
|
| slick wrote: | | Was mir übrigens bei solchen Überlegungen zum Thema Aktualität der Software eingefallen ist, würde ich ein "emerge security" vorschlagen, welche nur potenzielle "Security-Updates" einspielt, da ein emerge world meist viele "unnütze" (Nicht falsch verstehen!) Updates enthält. Ein emerge security könnte man dann theoretisch per cron laufen lassen, was bei einem emerge world nur der noob machen würde. |
Was spricht dagegen die gentoo-announce Liste zu lesen und bei GLSAs betroffene Pakete manuell upzudaten? Zu dem Thema gibt's btw auch ein GLEP.
_________________
Ganz frisch: Praxisbuch Nagios
Gentoo Linux - Die Metadistribution (2. Auflage) |
|
| Back to top |
|
|
mflatischler
n00b
Joined: 13 Jul 2003
Posts: 25
Location: 48°12'29" N 16°22'19" E Vienna, Austria
|
| Posted: Sun Dec 07, 2003 3:29 pm Post subject: |
|
|
Hi an alle,
Wenn ich da mitreden darf, will ich nur etwas schreiben betreffend dem o. g. Threadtitel...
Falls doch jemanden durch einen Firewall kommt, könnte da honeyd etwas Hilfe schaffen.
Die Infos sind hier: http://www.citi.umich.edu/u/provos/honeyd/
_________________
Roger and over |
|
| Back to top |
|
|
sirro
Veteran
Joined: 20 Jul 2003
Posts: 1472
Location: aachen.nrw.de.eu
|
| Posted: Mon Dec 08, 2003 9:08 pm Post subject: |
|
|
| slick wrote: | | Was mir übrigens bei solchen Überlegungen zum Thema Aktualität der Software eingefallen ist, würde ich ein "emerge security" vorschlagen, welche nur potenzielle "Security-Updates" einspiel |
| http://www.gentoo.org/security/en/glsa wrote: |
3. Portage Integration (pending)
The GLSA process will also be integrated with Portage to allow users to run emerge --security or a similar command and get only security-related updates and dependencies for their system. The feature requirements and process definitions are still being finalized, but the final product is expected to work in a fashion similar to the one outlined below:
emerge --security checks for available GLSAs in the portage tree and optionally, may also check the website for new GLSAs not yet in the tree.
It will then check which GLSAs are not applied to the system, as well as which of the pending GLSAs should be applied to the system.
With that list, it then runs a series of validation and verification steps on the pending security updates, including validating the GPG signature and ensuring that the required dependencies of the update is available in the porteage tree.
After each pending update has passed those tests, Portage will execute the actions defined in the GLSA. This will generally be a package update, along with updating and/or installing any required dependencies. Future additional options may also be defined for this step.
The current code can be found in gentoo-projects/gentoo-security/GLSA/usertools/. The backend code that will later be included in portage is in glsa.py, a temporary user interface is implemented in glsa-check.py, its functionality will go into emerge. To use these tools the XML GLSA has to be in ${PORTDIR}/glsa/, you can change it temporary by setting it on the commanline as follows:
Code listing 3.1: setting PORTDIR temporary
| Code: | | PORTDIR=/home/cvs/gentoo-x86/ glsa-check.py --list |
|
Ob das im ernstfall besser ist als GLSA lesen und selber reagieren sei dahin gestellt. Immerhin muss man beachten, dass ein emerge --security solange es portage basierend ist auf ein emerge sync angewisen ist. mit emerge sync sollte man sich aber zurückhalten (max 1-2mal/tag).
Die Idee Die XML-Dateien im Web auszulesen ist natürlich ein guter Schritt. wobei das lesen von GLSA imho weiterhin dazugehören sollte! |
|
| Back to top |
|
|
jay
l33t
Joined: 08 May 2002
Posts: 980
|
| Posted: Tue Dec 09, 2003 8:38 am Post subject: Re: [OT] Serversicherheit |
|
|
| amne wrote: | | um ssh nur aus jenem Addressbereich zuzulassen, aus dem ich selbst komme. |
Eine weitere Möglichkeit der Absicherung oben drauf des bisher Erwähnten, ist der Einsatz von paßwortgeschützten SSH-Keys und der Abschaltung der Paßwort-Only-Logins.
Des weiteren möche ich jedem das Gentoo Security Manual ans Herz legen.
_________________
Do you want your posessions identified? [ynq] (n) |
|
| Back to top |
|
|
warlord
n00b
Joined: 29 Oct 2003
Posts: 4
|
| Posted: Wed Jan 21, 2004 6:51 pm Post subject: |
|
|
Eine weitere möglichkeit, einen Server zu sichern, stellt "LIDS" (Linux Intrusion detection System) dar! (Gibt auch ähnliche u. vergleichbare Systeme!).
Hier unterbinde ich einfach z.B. für bestimmte Dienste den Zugriff auf "relevante" Daten. Nehmen wir nen simples Szenario - nen Angreiffer hat nen Apache übernommen - und is somit in meinem System drin. Nun will er meine Passwort-Datei auslesen - idR. kein grösseres Problem.
Nun kann ich aber mittels LIDS eine Regel erstellen, die besagt, das der Apache-Prozess eben KEINE Leserechte im /etc-Verzeichnis hat (dann sollte ich natürlich benötigte Konfig-Dateien tunlichst auch aus dem /etc rausnehmen...). Dann hilfts dem Angreiffer wenig, wenn er zwar den Apache hat - aber z.B. NUR im Apache-Verzeichnis selbst u. im Webroot-Verz. rumtoben darf...
Aber natürlich ist auch das nur *ein* schritt zum Sicheren Server - der Weg selbst is noch weit |
|
| Back to top |
|
|
toskala
Advocate
Joined: 14 Dec 2002
Posts: 2080
Location: hamburg, germany
|
| Posted: Wed Jan 21, 2004 7:50 pm Post subject: |
|
|
na da haben wir wieder einen thread beisammen...
faktisch sieht es so aus, dass 100% nicht gehen, darauf will ich auch gar nix weiteres sagen.
aber es ist naiv zu denken das man sicherheit auf 3 produkte reduzieren kann.
wenn ich mir ankucke wieviel rechner in den letzten jahren aufgemacht wurden (von denen ich mitbekommen habe) dann sind das zu 90% multiuser kisten und von diesen 90% hatten 80% einfach die updaterei verschlafen.
ohne pflege ist ein system immer unsicher.
ein paketfilter ist völlig sinnbefreit wenn es keine dienste gibt die man beschützen möchte. das wesen eines root-server ist ja aber, dass die dienste die darauf laufen für die allermeisten betreiber, von aussen zugänglich sein sollen. das schließt das firewallen leider schonmal zu grossen strecken aus, weil volksprovider t-online wegzumachen is irgendwie doof.
prinzipiell sind die grundregeln des härtens anzuwenden, dann wird man schonmal einen grossen batzen sorgen los, dann kann man über grsec nachdenken, ssh mit keys wie jay sagte, dienste evlt. in chroot-jails einbauen (wobei das zuweil problematisch ist), aide, snort und dann braucht man natürlich vor allem eins: zeit und erfahrung.
gedankenverbrecher die nichtmal linux auf einer workstation installiert bekommen sollten auch die finger von servern lassen
_________________
adopt an unanswered post
erst denken, dann posten |
|
| Back to top |
|
|
|
|
You cannot post new topics in this forum
You cannot reply to topics in this forum
You cannot edit your posts in this forum
You cannot delete your posts in this forum
You cannot vote in polls in this forum
|
|
Deutsches Forum (German) 
