Zur Frage des Risikos: ich hatte die Erfahrung gemacht, dass uns durch einen Angriff komplette Daetenbanken und WebSites geloescht wurden - konnten zwar praktisch vollstaendig durch Backups wiederhergestellt werden, aber verbunden mit nicht ganz unerheblichem Zeitaufwand.
Und von einem Nachbarn habe ich erfahren, dass sich im System, dass durch einen Debian-Router an DSL angebunden ist, bereits mehrfach Rootkits eingenistet haben und nur durch komplette Neuinstallation beseitigt werden konnten. Um weiteres Unheil zu verhindern wurden diverse Abwehrtools, Honeypot usw. aufgebaut. Bei einem System auf CD reicht ein Reboot, um unerwuenschte Parasiten hinauszuwerfen. Ich will nicht behaupten, dass dies ein Allheilmittel sei und damit Firewall und Loganalyse verzichtbar waeren. Aber die potenziellen Schaeden, die durch Angreifen angerichtet werden koennen, sind doch sehr viel begrenzter - vor allem, wenn man nicht ueber die Ressourcen verfuegt, dass permanent ein SysAd ein Auge auf den Betrieb hat. Christian Frommeyer schrieb: > Am Donnerstag 19 Oktober 2006 13:15 schrieb Bernd Schwendele: > >> Gerhard Wendebourg schrieb: >> >>> wie ist die Option einzuschaetzen, einen Server zu schuetzen, indem >>> seine aktiven Komponenten (Binary's usw.) von CD betrieben werden, >>> um damit die Korruption durch malware zu unterbinden? >>> >> Da würde ich an Deiner Stelle lieber readonly mounten. >> > > Das funktioniert nicht. Denn wenn jemand drin ist, hinder ihn keiner an > einem rw remount. > Eben das Problem sehe ich auch, deshalb ein Datentraeger, der aus dem System heraus nicht manipulierbar ist, wie eine CD / DVD-R. Evtl. gibt es eine Moeglichkeit, bei einem Brenner hardwareseitig den Schreibzugriff abzuschalten, so dass man ihn manuell wieder aktivieren kann zum Zweck der Systempflege (Updates..) zb. mit DVD-RAM. Zum USB-Stick: was ich an Hardware kenne, hat keinen solchen Schalter. Waere ansonsten natuerlich aehnlich ueberlegenswert. Auch fuer die Logs waere die Moeglichkeit interessant, sie auf CD/DVD schreiben zu lassen und damit nachtraegliche Manipulationen zu unterbinden. Und auch hier, wie erwaehnt, ggf. die abschaltbare RW-Funktion. Christian Frommeyer schrieb: > Einen gewissen Schutz bietet das. Aber nicht vor einem Angriff, sondern > eigentlich nur davor, das ein Angreifer über einen Reboot hinaus "im > System" bleiben kann. Kann man nicht einen Daemon laufen haben, der die Prozesse im RAM ueberprueft, bzw. einen regelmaessigen Neustart der Prozesse veranlasst und Manipulationen durch Angreifer im Speicher dadurch verhindert / beendet? Ausserdem vielleicht eine generelle automatisierte Ueberwachung der laufenden Prozesse, die Alarm gibt bzw. interveniert, wenn diese "aus dem Ruder laufen" In Verbindung mit einer ordentlichen Firewall duerften es Angreifer dann doch recht schwer haben.. Gruss / GW > -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)
