Gerhard Wendebourg schrieb:
Moin, moin,
wie ist die Option einzuschaetzen, einen Server zu schuetzen, indem
seine aktiven Komponenten (Binary's usw.) von CD betrieben werden, um
damit die Korruption durch malware zu unterbinden?
Logdateien usw. koennen ja weiterhin auf HD geschrieben
Am Donnerstag 19 Oktober 2006 04:36 schrieb Gerhard Wendebourg:
wie ist die Option einzuschaetzen, einen Server zu schuetzen, indem
seine aktiven Komponenten (Binary's usw.) von CD betrieben werden, um
damit die Korruption durch malware zu unterbinden?
Einen gewissen Schutz bietet das. Aber
On Thu, Oct 19, 2006 at 04:36:03AM +0200, Gerhard Wendebourg wrote:
Ich verzichte ggf. lieber auf etwas Performance (liegen die wichtigsten
Prozesse nicht ohnehin im RAM?), als mich mit der Jagd nach Rootkits
Co. und aehnlichen Unwaegbarkeiten abzunerven.
Schau Dir mal tripwire an. Damit
Hallo Gerhard,
Am Donnerstag, den 19.10.2006, 04:36 +0200 schrieb Gerhard Wendebourg:
wie ist die Option einzuschaetzen, einen Server zu schuetzen, indem
seine aktiven Komponenten (Binary's usw.) von CD betrieben werden, um
damit die Korruption durch malware zu unterbinden?
Nicht alles, was
Gerhard Wendebourg schrieb:
Moin, moin,
Hallo!
wie ist die Option einzuschaetzen, einen Server zu schuetzen, indem
Was soll der Server können?
Welche Dienste stellt er bereit?
seine aktiven Komponenten (Binary's usw.)
Hi,
Christian Frommeyer wrote:
Am Donnerstag 19 Oktober 2006 04:36 schrieb Gerhard Wendebourg:
wie ist die Option einzuschaetzen, einen Server zu schuetzen, indem
seine aktiven Komponenten (Binary's usw.) von CD betrieben werden, um
damit die Korruption durch malware zu unterbinden?
Einen
Hi,
Andre Timmermann wrote:
[..].
Also ich würde sagen, dass Ganze ist stark vom Einsatzgebiet abhängig.
Eine Firewall z.B. könnte man so betreiben, da da nicht viel am System
geändert werden muss. Allerdings würde ich das nicht über eine CD
machen. Für sowas würde ich von einem USB-Stick
Joerg Zimmermann wrote:
Ein System auf CD zu brennen hat einen entscheidenen Nachteil. Für
ein security Fix muss eine neue CD/DVD gebrannt werden.
wenn man eine livecd verwendet die auf unionfs aufsetzt (e.g.
debian-live), kann man normal am system arbeiten, d.h. apt-get
Gerhard Wendebourg schrieb:
Moin, moin,
wie ist die Option einzuschaetzen, einen Server zu schuetzen, indem
seine aktiven Komponenten (Binary's usw.) von CD betrieben werden, um
damit die Korruption durch malware zu unterbinden?
Da würde ich an Deiner Stelle lieber readonly mounten.
Am Donnerstag 19 Oktober 2006 13:15 schrieb Bernd Schwendele:
Gerhard Wendebourg schrieb:
wie ist die Option einzuschaetzen, einen Server zu schuetzen, indem
seine aktiven Komponenten (Binary's usw.) von CD betrieben werden,
um damit die Korruption durch malware zu unterbinden?
Da würde
Christian Frommeyer schrieb:
Am Donnerstag 19 Oktober 2006 13:15 schrieb Bernd Schwendele:
Gerhard Wendebourg schrieb:
wie ist die Option einzuschaetzen, einen Server zu schuetzen, indem
seine aktiven Komponenten (Binary's usw.) von CD betrieben werden,
um damit die Korruption durch
Am Donnerstag 19 Oktober 2006 15:13 schrieb Bernd Schwendele:
Wenn jemand im System ist, hindert ihn nichts mehr. ;) Kein Tripwire,
keine Binaries auf CD, nada. Wenn jemand in Dein System eingetrungen
ist, kannst Du quasi den Server abschreiben und alle Daten gleich
mit.
Doch. Eine CD _kann_
Bernd Schwendele wrote:
Und weil angesprochen: Wie groß ist die Gefahr, dass ich mit
UNIONFS wieder ein paar Bugs und Sicherheitslöcher mehr im System habe?
kann man mit an sicherheit grenzender wahrscheinlichkeit ausschliessen.
--
Address:Daniel Baumann, Burgunderstrasse 3, CH-4562
Christian Frommeyer schrieb:
Am Donnerstag 19 Oktober 2006 15:13 schrieb Bernd Schwendele:
Wenn jemand im System ist, hindert ihn nichts mehr. ;) Kein Tripwire,
keine Binaries auf CD, nada. Wenn jemand in Dein System eingetrungen
ist, kannst Du quasi den Server abschreiben und alle Daten
Gerhard Wendebourg schrieb:
Wenn das System vorher in einem sicheren Inkubator gebaut wurde, also
ohne Angriffen aus dem Netz ausgesetzt zu sein, und dann auf CD gebrannt
wird, laesst sich dadurch nicht moeglicherweise ein gesteigertes Mass an
Sicherheit und geringerem Pflegeaufwand erreichen?
Zur Frage des Risikos:
ich hatte die Erfahrung gemacht, dass uns durch einen Angriff komplette
Daetenbanken und WebSites geloescht wurden - konnten zwar praktisch
vollstaendig durch Backups wiederhergestellt werden, aber verbunden mit
nicht ganz unerheblichem Zeitaufwand.
Und von einem Nachbarn
Am Donnerstag 19 Oktober 2006 16:59 schrieb G.Wendebourg:
Kann man nicht einen Daemon laufen haben, der die Prozesse im RAM
ueberprueft, bzw. einen regelmaessigen Neustart der Prozesse
veranlasst und Manipulationen durch Angreifer im Speicher dadurch
verhindert / beendet? Ausserdem vielleicht
Bernd Schwendele schrieb:
Christian Frommeyer schrieb:
Am Donnerstag 19 Oktober 2006 15:13 schrieb Bernd Schwendele:
Wenn jemand im System ist, hindert ihn nichts mehr. ;) Kein Tripwire,
keine Binaries auf CD, nada. Wenn jemand in Dein System eingetrungen
ist, kannst Du quasi den Server
Christian Frommeyer schrieb:
Am Donnerstag 19 Oktober 2006 16:59 schrieb G.Wendebourg:
Kann man nicht einen Daemon laufen haben, der die Prozesse im RAM
ueberprueft, bzw. einen regelmaessigen Neustart der Prozesse
veranlasst und Manipulationen durch Angreifer im Speicher dadurch
G.Wendebourg schrieb:
Nun denn, man wird die Sache vielleicht ergaenzen muessen um die
Moeglichkeit, die Root-Rechte zu begrenzen, Einfluss auf das System zu
nehmen.
Ausserdem wuerde es moeglicherweise Sinn machen, bestimmte
Systemprogramme und Kommandos komplett auszuschalten - bevor ein
Moin, moin,
wie ist die Option einzuschaetzen, einen Server zu schuetzen, indem
seine aktiven Komponenten (Binary's usw.) von CD betrieben werden, um
damit die Korruption durch malware zu unterbinden?
Logdateien usw. koennen ja weiterhin auf HD geschrieben werden: sie
koennen wohl keine Schaeden
21 matches
Mail list logo
