| View previous topic :: View next topic |
| Author |
Message |
Anarcho
Advocate
Joined: 06 Jun 2004
Posts: 2970
Location: Germany
|
 Posted: Tue Oct 09, 2007 8:37 pm Post subject: |
 |
|
| Think4UrS11 wrote: | | Anarcho wrote: | | Dann erzähl doch bitte wie du deine Server absicherst? Stecker ziehen zählt natürlich nicht. ebenfalls darf es sich nur um einen Rechner handeln denn das war der Grundgedanke dieses Threads. |
Wie steht es doch so schön in meiner Signatur ... security is always a trade-off with usability. |
Das kann ich in meiner Signatur nicht finden....Ist aber richtig.
| Think4UrS11 wrote: | Heißt nichts anderes als das man immer eine Balance zwischen 'sicher' und 'kann was alle wollen' finden muß.
Es ist mit Sicherheit unsicher(er) einen (PHP'ten)-Web/Mail/Proxy/Datenbankserver/P2P-Host/.. auf dem gleichen System zu betreiben - völlig wurscht ob nun in VM getrennt, via chroot voneinander abgeschottet, mit SELinux eingesperrt oder 'whatever' - als diese Funktionen jeweils eigenen physikalischen Maschinen zuzuordnen.
Sicherheit heißt ja auch 'möglichst unempfindlich gegen DoS' - warum soll mein Mailhost 'leiden' nur weil mein Webserver gerade wg. eines verwundbaren PHP-Scripts angegriffen wird und endlos load erzeugt? Auf mehreren getrennten Maschinen ist die Auswirkung deutlich geringer/nicht vorhanden (die Auslastung der Internetanbindung lassen wir mal aussen vor)
Wenn man nur begrenzt Hardware zur Verfügung hat muß man eben Kompromisse eingehen. Ein immer aktuell gepatchtes System ist sowieso absolute Grundvoraussetzung, genauso wie eine Systeminstallation die nur die Dienste nach außen anbietet die auch gebraucht werden.
Ansonsten 'das übliche', d.h. mehrschichtige Security
- Key/Zertifikat-basierte Authentisierung, möglichst nie user/pwd, never ever plaintext
- Logins von extern auf die User einschränken die es wirklich brauchen (sshd_config AllowUsers/AllowGroups); evtl. hier auch portknocking nutzen
- sauberes Firewalling für ein- wie ausgehenden Traffic ggf. basierend auf UID/PID (wozu muß ein httpd von sich aus nach außen connecten? richtig, gar nicht)
- z.B. im Squid dafür sorgen das der nur für interne Adressen arbeitet, d.h. saubere ACL's in den Apps die das anbieten
- tcpwrapper benutzen wo möglich/sinnvoll
- evtl. sogar alles hinter einem VPN 'verstecken'; geht natürlich nicht für einen (incoming)-Mailserver
- minimale Rechte für die einzelnen Prozesse
- System härten; SELinux/RSBAC/hardened kernel+toolchain, je nach Geschmack und Paranoiagrad (und Wissen, GAAANZ Wichtig - SELinux nützt sehr wenig wenn man keine Ahnung davon hat)
- regelmäßiges Scannen des Systems von außen auf Schwachstellen (nessus, nmap, etc.)
- regelmäßiges Aide/tripwire'n gegen ein Medium mit den gesicherten Prüfsummen
- Logging auf einen anderen Host, dann sind dort evtl. Spuren eines Einbruchs zu finden (wenn möglich via stunnel o.ä.)
..... |
Das kann man auch alles zusätzlich einer VM machen. Vielleicht bin einfach zu Lernresistent aber ich sehe immer noch keine Vorteile eine VM wegzulassen (wenn die Hardware stimmt). Aber nach wie vor Vorteile mit VM.
Ansonsten kann ich mich misterjack anschliessen.
_________________
...it's only Rock'n'Roll, but I like it! |
|
| Back to top |
|
 |
Knieper
l33t
Joined: 10 Nov 2005
Posts: 846
|
| Posted: Wed Oct 10, 2007 7:49 am Post subject: |
|
|
| Anarcho wrote: | | Das kann man auch alles zusätzlich einer VM machen. Vielleicht bin einfach zu Lernresistent aber ich sehe immer noch keine Vorteile eine VM wegzulassen (wenn die Hardware stimmt). Aber nach wie vor Vorteile mit VM. |
Ein DoS-anfaelliges System mit weiterer Hintertuer ist also toll? Gut, vlt. habe ich da andere Vorstellungen.
Genauso mit:
| misterjack wrote: | | Im Zuge der Diskussion um Energie sparen ist es nur sinnvoll, mehrere VMs einzusetzen anstatt Energie zu verpulvern, indem der Server unnötig idlet. |
Ich hielt es fuer einen Witz und ihm wird beigepflichtet? Vorher: unausgelasteter Server. Nachher: Server mit denselben Diensten, aber endlich an der Leistungsgrenze durch die VMs? Wo bitte ist das oekonomisch? Das ist einfach nur doof.
_________________
Je dümmer desto Gnome/KDE. |
|
| Back to top |
|
|
Anarcho
Advocate
Joined: 06 Jun 2004
Posts: 2970
Location: Germany
|
| Posted: Wed Oct 10, 2007 8:02 am Post subject: |
|
|
| Knieper wrote: | | Anarcho wrote: | | Das kann man auch alles zusätzlich einer VM machen. Vielleicht bin einfach zu Lernresistent aber ich sehe immer noch keine Vorteile eine VM wegzulassen (wenn die Hardware stimmt). Aber nach wie vor Vorteile mit VM. |
Ein DoS-anfaelliges System mit weiterer Hintertuer ist also toll? Gut, vlt. habe ich da andere Vorstellungen. |
Sehe ich beides immer noch nicht.
| Knieper wrote: | Genauso mit:
| misterjack wrote: | | Im Zuge der Diskussion um Energie sparen ist es nur sinnvoll, mehrere VMs einzusetzen anstatt Energie zu verpulvern, indem der Server unnötig idlet. |
Ich hielt es fuer einen Witz und ihm wird beigepflichtet? Vorher: unausgelasteter Server. Nachher: Server mit denselben Diensten, aber endlich an der Leistungsgrenze durch die VMs? Wo bitte ist das oekonomisch? Das ist einfach nur doof. |
Das hast du sicher falsch verstanden. Was gemeint war: Entweder ich nutze 5 Server die sich die meiste Zeit langweilen oder einen etwas dickeren Server + Virtualisierung der deutlich besser ausgelastet ist.
_________________
...it's only Rock'n'Roll, but I like it! |
|
| Back to top |
|
|
Knieper
l33t
Joined: 10 Nov 2005
Posts: 846
|
| Posted: Wed Oct 10, 2007 8:21 am Post subject: |
|
|
| Anarcho wrote: | | Das hast du sicher falsch verstanden. Was gemeint war: Entweder ich nutze 5 Server die sich die meiste Zeit langweilen oder einen etwas dickeren Server + Virtualisierung der deutlich besser ausgelastet ist. |
Dann kann man gleich einen weniger dicken Server nehmen, die VMs weglassen und die Dienste raufschieben. Er laeuft dann immer noch genauso schnell und ist dank geringerer Codebasis sicherer. Aber VMs sind z.Zt. eben schick...
_________________
Je dümmer desto Gnome/KDE. |
|
| Back to top |
|
|
Anarcho
Advocate
Joined: 06 Jun 2004
Posts: 2970
Location: Germany
|
| Posted: Wed Oct 10, 2007 8:52 am Post subject: |
|
|
| Knieper wrote: | | Anarcho wrote: | | Das hast du sicher falsch verstanden. Was gemeint war: Entweder ich nutze 5 Server die sich die meiste Zeit langweilen oder einen etwas dickeren Server + Virtualisierung der deutlich besser ausgelastet ist. |
Dann kann man gleich einen weniger dicken Server nehmen, die VMs weglassen und die Dienste raufschieben. Er laeuft dann immer noch genauso schnell und ist dank geringerer Codebasis sicherer. Aber VMs sind z.Zt. eben schick... |
Wir haben da eben 2 völlig verschiedene Meinungen. Wenn du diese 5 Rechner an 5 verschiedene Leute vermietest dann kannst du denen nicht erzählen das sie sich jetzt das OS mit 4 weiteren teilen müssen und alle Adminrechte haben sollen...
Die Zukunft wird zeigen ob sich VMs durchsetzen oder nicht.
_________________
...it's only Rock'n'Roll, but I like it! |
|
| Back to top |
|
|
Knieper
l33t
Joined: 10 Nov 2005
Posts: 846
|
| Posted: Wed Oct 10, 2007 9:24 am Post subject: |
|
|
| Anarcho wrote: | | Wir haben da eben 2 völlig verschiedene Meinungen. Wenn du diese 5 Rechner an 5 verschiedene Leute vermietest dann kannst du denen nicht erzählen das sie sich jetzt das OS mit 4 weiteren teilen müssen und alle Adminrechte haben sollen... |
Du wirst denen aber auch schlecht erzaehlen koennen, dass sie jetzt den Rechner mit 4 anderen teilen koennen, dafuer aber ganz doll sicher ueber eine VM abgschottet sind. Sowas bekommt man nur an Kleintierzuechtervereine und Schueler vermietet.
| Quote: | | Die Zukunft wird zeigen ob sich VMs durchsetzen oder nicht. |
Das ist wie mit Windows oder BIND oder ...
_________________
Je dümmer desto Gnome/KDE. |
|
| Back to top |
|
|
misterjack
Veteran
Joined: 03 Oct 2004
Posts: 1657
|
| Posted: Wed Oct 10, 2007 9:56 am Post subject: |
|
|
| Knieper wrote: | | Nachher: Server mit denselben Diensten, aber endlich an der Leistungsgrenze durch die VMs? |
Das hab ich nirgends geschrieben 
_________________
„Meine Meinung steht fest! Bitte verwirren Sie mich nicht mit Tatsachen.“ |
|
| Back to top |
|
|
Knieper
l33t
Joined: 10 Nov 2005
Posts: 846
|
| Posted: Wed Oct 10, 2007 10:18 am Post subject: |
|
|
Aber | misterjack wrote: | | mehrere VMs einzusetzen anstatt Energie zu verpulvern |
ist nicht besser. Da braucht man gar nicht drueber lachen, das lacht schon von selbst.
Aber wir kommen hier wohl nicht weiter. Ich bin eher der Minimalist, der gerne Ressourcen und unnoetigen Code spart, andere verpulvern sie lieber, sei es weil es Mode ist, Bequemlichkeit oder Aberglaube.
_________________
Je dümmer desto Gnome/KDE. |
|
| Back to top |
|
|
think4urs11
Bodhisattva
Joined: 25 Jun 2003
Posts: 6659
Location: above the cloud
|
| Posted: Wed Oct 10, 2007 7:07 pm Post subject: |
|
|
| Knieper wrote: | | Anarcho wrote: | | Wir haben da eben 2 völlig verschiedene Meinungen. Wenn du diese 5 Rechner an 5 verschiedene Leute vermietest dann kannst du denen nicht erzählen das sie sich jetzt das OS mit 4 weiteren teilen müssen und alle Adminrechte haben sollen... |
Du wirst denen aber auch schlecht erzaehlen koennen, dass sie jetzt den Rechner mit 4 anderen teilen koennen, dafuer aber ganz doll sicher ueber eine VM abgschottet sind. Sowas bekommt man nur an Kleintierzuechtervereine und Schueler vermietet. |
Hmm na gut dann arbeite ich also bei den Kleintierzüchtern. Wenn ich gerade den richtigen Stand habe dann existieren bei uns im RZ 4 dicke ESX-Hosts mit (geschätzt) 70-80 VM-Instanzen.
Diverse alte Anwendungen die noch gebraucht werden aber nicht zusammen auf einem System laufen können wg. unterschiedlicher Libs, Andwendung 'x' läuft halt nur auf W2K, ne andere braucht zwingend min. W2K3, etc., Test/Dev/Stagingsysteme kommen noch dazu, ... Generell 'Virtualisierung=Krampf' zu setzen ist schlicht zu kurz gedacht. Hat absolut seine Daseinsberechtigung. Vielleicht nicht im (high-)Securitybereich aber in vielen anderen.
OpenVZ-Networkingfrage nach Netzwerk mit OpenVZ ausgegliedert.
_________________
Nothing is secure / Security is always a trade-off with usability / Do not assume anything / Trust no-one, nothing / Paranoia is your friend / Think for yourself |
|
| Back to top |
|
|
Knieper
l33t
Joined: 10 Nov 2005
Posts: 846
|
| Posted: Thu Oct 11, 2007 8:09 am Post subject: |
|
|
| Think4UrS11 wrote: | | Generell 'Virtualisierung=Krampf' zu setzen ist schlicht zu kurz gedacht. Hat absolut seine Daseinsberechtigung. Vielleicht nicht im (high-)Securitybereich aber in vielen anderen. |
Momentan setzt nur jeder Popanz¹ VMs ein, ob er es braucht oder nicht, um es dann mit fadenscheinigen und falschen Sicherheitsargumenten zu untermauern. Dagegen habe ich etwas. Konnte sich frueher ein Hoster um seine paar angebotenen Dienste kuemmern, so laufen Netzseiten heute parallel in x VMs, alle angreifbar, alle mit unterschiedlichen Systemen mit potenziertem Risiko.
Wenn man auf Nostalgiesoftware angewiesen ist und keinen anderen Rechner opfern kann, einheitl. Testsysteme braucht etc. sind VMs prima, aber das habe ich auch nie abgestritten:
| Knieper wrote: | | Virtualisierungen bringen eigentlich selten Vorteile (Testumgebungen, Kinderbackup etc.) |
¹ Ein Beispiel ist unser Themenstarter. Mickrige Hardware, Hang zu loechriger Bloatsoftware und dann noch eine VM mit der er nun Probleme hat. Das haette auch anders gehen koennen.
_________________
Je dümmer desto Gnome/KDE. |
|
| Back to top |
|
|
trikolon
Apprentice
Joined: 04 Dec 2004
Posts: 297
Location: Erlangen
|
| Posted: Thu Oct 11, 2007 9:08 am Post subject: |
|
|
| Quote: | | ..und dann noch eine VM mit der er nun Probleme hat |
naja ganz so würde ich das nicht sagen nur weil ich mit einer virtualisierungslösung rumspiele und da im moment mit der netzwerkconfig kämpfe. das system ist unverändert bis auf den openvz-kernel... aber könnten wir dieses streitthema nun beenden? ihr habt doch nun beide eure meinung kund getan und eben keinen gemeinsamen nenner gefunden! |
|
| Back to top |
|
|
|
Deutsches Forum (German) 
