On Thu, May 27, 2004 at 03:43:25PM +0200, Wolfgang Jeltsch wrote: > ich denke derzeit dar�ber nach, von stable mit Backports auf unstable > umzusatteln. Nun wurde auf dieser Liste ja sehr davon abgeraten, einen > Rechner mit unstable direkt am Internet zu betreiben. Mangels Ressourcen will > ich aber meinen Heimrechner direkt mit meinem DSL-Modem verkabeln. Gibt es > eine M�glichkeit, trotzdem ausreichende Sicherheit bei der Verwendung von > unstable zu erreichen?
Da die Anwendungen ziemlich unabh�ngig von der Distribution sind (ob der bind9 einer bestimmten Version unter Debian oder RedHat l�uft, ist v�llig egal), w�rde ich mir darum nicht zu viele Sorgen machen. Ich w�rde zwar davon abraten, einen ungepatchten Windows XP-Rechner ohne Firewalls ins Internet zu h�ngen. Aber ein Linux-PC mit vern�nftigem Regelsatz kann jederzeit ins Internet. Und ich bin schon paranoid, was Sicherheit angeht. Aber die Meinung der gesch�tzten Mitlister teile ich keineswegs. ;) > Es fallen ja ab und zu solche Spr�che wie: "unstable l�uft bei mir stabiler > als SuSE." Hei�t das, dass man mit unstable auch ungef�hr die gleiche > Sicherheit wie mit SuSE u.�. kriegen kann? Grunds�tzlich gilt: jede Anwendung, die du durch die Firewall (bzw. den iptables-Regelsatz) durchl�sst, musst du im Auge behalten. L�sst du nur Port 80 f�r den Apachen durch, musst du dich auf der entsprechenden Security-Mailingliste selbst informieren, welche Sicherheitsl�cher bekannt werden. > Wie lange dauert es i.d.R. vom Bekannt-Werden eines Sicherheitsloch bis zur > Bereitstellung des Fixes in unstable? Einen "Fix" in unstable gibt es h�chstens im Sinne einer neueren Version. Und wann die kommt, obliegt dem Verhalten des Paketverwalters. Bugfixes/Security-Patches gibt es bekannterma�en nur f�r Woody. > An sich will ich kaum irgendwelche Services meines Rechners von au�en nutzen. > Wie w�re es, wenn ich mittels iptables und Connection-Tracking alle �ber das > Internet kommenden Kontaktierungsw�nsche abblocke mit Au�nahme von > SSH-Verbindungsversuchen? Und wenn ich ferner mittels iptables f�r > Verbindungsanforderungen an den SSH-Port nur eine bestimmte IP-Adresse als > Absenderadresse zulasse? Wenn ich vielleicht au�erdem noch SSH so > konfiguriere, dass nur eine Authentifizierungsmethode zugelassen ist und sich > auch nur ein ganz bestimmter User per SSH einloggen kann? Was f�r > Sicherheitsl�cken k�nnen dann noch zum Tragen kommen? Wenn in der SSH-Version keine Probleme bekannt sind, w�rde ich mir nicht zuviele Gedanken machen. Ich lasse bei mir auch SSH mit Pubkey zu. > Wie wahrscheinlich sind sicherheitsrelevante Bugs in iptables und den f�r > Paketfilterung, Connection-Tracking usw. ben�tigten Kernelmodulen? Genauso wahrscheinlich wie Verwundbarkeit in jedem anderen Modul. Aufgrund der Probleme mit der Speicherverwaltung in den letzten Kerneln, kann theoretisch jeder User-Account missbraucht werden. Schlie�e also alle User-Accounts, die du nicht brauchst. Auf meinen wichtigeren Servern gibt es deshalb nur den Root-Account. Ich vertrete weniger "man soll nicht als root arbeiten", sondern eher "man sollte keine unn�tigen Accounts haben". > Sollte ich bei gerade beschriebener iptables/SSH-Konfiguration den Kernel > aus stable nehmen? SSH vielleicht auch? Ich pers�nlich nehme den aktuellsten 2.4er-Kernel. > Wie ist die Sicherheit eines Debian unstable zu bewerten, wenn ich auch den > SSH-Port mittels iptables vollkommen schlie�e? Ziemlich gut. Wie gesagt, Debian Sid/Unstable bedeutet nur zwei Dinge: 1. Niemand versorgt dich mit Bugfixes a la security.debian.org 2. Du benutzt Versionen, die vermutlich noch nicht so lange erprobt sind und Bugs enthalten k�nnen. Deine Ideen sind schon gut so. Gru�, Christoph -- ~ ~ ".signature" [Modified] 3 lines --100%-- 3,41 All -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)
