Christian Frommeyer schrieb:
Am Donnerstag 19 Oktober 2006 13:15 schrieb Bernd Schwendele:
Gerhard Wendebourg schrieb:
wie ist die Option einzuschaetzen, einen Server zu schuetzen, indem
seine aktiven Komponenten (Binary's usw.) von CD betrieben werden,
um damit die Korruption durch malware zu unterbinden?
Da würde ich an Deiner Stelle lieber readonly mounten.
Das funktioniert nicht. Denn wenn jemand drin ist, hinder ihn keiner an
einem rw remount.
Gruß Chris
Wenn jemand im System ist, hindert ihn nichts mehr. ;) Kein Tripwire,
keine Binaries auf CD, nada. Wenn jemand in Dein System eingetrungen
ist, kannst Du quasi den Server abschreiben und alle Daten gleich mit.
Du kannst vorbeugen und es dem Eindringling nicht unnötig leicht machen
- das ist alles. Umständliche Skripte oder Hacks, die angeblich die
Sicherheit erhöhen sind fehl am Platz. Man hat ja schon genug damit zu
tun, das System sicher zu halten, wenns jetzt noch kompliziert wird,
dann gute Nacht. Meine Meinung ist: ein sicheres System ist auch immer
ein einfaches System.
Das Problem bei seiner Idee ist, wie update ich die Programme bzw. den
Kernel? Und weil angesprochen: Wie groß ist die Gefahr, dass ich mit
UNIONFS wieder ein paar Bugs und Sicherheitslöcher mehr im System habe?
Ist die Datensicherheit mit dieser Strategie noch gewährleistet? Zum
anderen - was für Dienste sollen da laufen? Ist die gewünschte
Performance noch da oder ist sie weit unter dem gewünschten Niveau?
Irgendwie finde ich, dass der Threadsteller eine Art Hardware-Jail
versucht ;)
(Software-)Jails funktionieren ganz gut, natürlich nicht unter Linux
*grins und duck*
Grüße
--
Haeufig gestellte Fragen und Antworten (FAQ):
http://www.de.debian.org/debian-user-german-FAQ/
Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED]
mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)
