Hi, Christian Frommeyer wrote: > Am Donnerstag 19 Oktober 2006 04:36 schrieb Gerhard Wendebourg: >> wie ist die Option einzuschaetzen, einen Server zu schuetzen, indem >> seine aktiven Komponenten (Binary's usw.) von CD betrieben werden, um >> damit die Korruption durch malware zu unterbinden? > > Einen gewissen Schutz bietet das. Aber nicht vor einem Angriff, sondern > eigentlich nur davor, das ein Angreifer über einen Reboot hinaus "im > System" bleiben kann. > Hat ein Angreifer erst einmal root-Rechte erlangt, kann er auf der für > Logs etc vorhandenen HD auch Binaries abladen, ist die Platte mit > noexec gemountet ist er auch zu einem Remount berechtigt.
Ein System auf CD zu brennen hat einen entscheidenen Nachteil. Für ein security Fix muss eine neue CD/DVD gebrannt werden. Ansonsten ist das Konzept allerdings genial, weil sehr einfach. Hostbasierte IDS sind nicht trivial einzurichten und können auch ausgetrickst werden. Ausserdem ist es eben wieder einmal ein Mehr an Software auf dem Rechner. Besser ist ein System mit nur den notwendigsten Programmen und Bibliotheken. Bei einem CD-basiertem System, sollte man jedoch darauf achten, dass man eben keine HD oder andere wiederbeschreibare Medien im Rechner hat. Man muss sich dann darum kümmern, das die Logdateien auf ein anderes System geschrieben werden. Dazu bestehen folgende Möglichkeiten: - Die Daten über eine serielle Schnittstelle auf ein anderes System schreiben. - Die Logdaten ausdrucken. - Die Logdaten auf einem Loghost aufzuzeichnen. Die einzelnen Lösungen bieten mehr oder weniger Sicherheit. Im normalen Fall würde ich die Logdaten über ein dediziertes Netz auf einen Loghost schreiben. Alternativ kann auch das 'normale' Netz verwendet werden. Allerdings ist hier dann TCP Pflicht. Ausserdem würde ich die Daten dann nur verschlüsselt über das Netz senden. Dafür eignet sich syslog-ng sehr gut. -Joerg -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)
