alles in allem klingt das sehr vielversprechend : - keine neue distri sondern aufsatz auf woody - bisher gibt es meineswissen keine solche distri - trusteddebian - security einfacher gemacht? :-)
ich werds mir auf jeden fall mal anschauen, denn vorablob iss ja auch nix *g*. ich hoffe nur, dass die stabilität nicht unter den security-patches leidet. werden wir ja sehen.
Von komplett_verruckt am Do, 20. März 2003 um 09:09 #
Tach Leute.
Diese Option gibt es meines Wissens auch in OpenBSD und wer weiß wo noch. Wenn ichs richtig verstanden habe, kann man bestimmte Änderungen damit nur noch im Single-User-Modus machen. Das ist doch in einer produktiven Umgebung gar nicht zu realisieren, oder? Dann müsste man die Kiste jedes Mal unerreichbar machen, wenn man ein Sicherheitsupdate oder sonstwas einspielt.
Wenn Du nur durch booten in den Single-User-Modus Aenderungen an bestimmten Systemdateien machen kannst, bedeutet das schon mal, dass ein entfernter Eindringling diese Dateien nicht korrumpieren kann. Allerdings bedeutet das fuer den Admin eine downtime des Systems, wenn er selber etwas (rechtmaessig) an diesen Dateien zu wurschteln hat. also : mehr Sicherheit aber dafuer mehr downtime LIDS unter Linux loest dies z.B. mit einem Passwort zum deaktivieren des Schutzes. ciao Pierre
Also mit single-user mode hat das ganze eigentlich nichts zu tun. Soweit ich das verstanden hab werden durch den Patch die Speicherseiten, in denen irgendwelche Daten stehen als non-executable markiert. Das soll gegen das Ausführen fremden Codes schützen und so z.B. viele Buffer-Overflow-Attacken nutzlos machen.
Und ja, das gibts in OpenBSD auch. Wird wohl in einem der nächsten Releases kommen und per default aktiviert sein.
Da brauchst du auch die Karte. Im fall von ssh würde es langen, das du die Accountnamen und die IP des Rechners kennst. Besonders witzig stell ich mir vor, wenn man so auch noch den root-Account lahmlegen kann
> Inwiefern erhoeht das die Sicherheit? Ein Passwort wird sowieso so gewaehlt, dass man es durch probieren nicht erraten kann.
Nicht zwangsläufig. Vor allem in Bereichen, in denen User ihr eigenes Passwort festlegen können sind die Passwörter oft so einfach gestrickt, daß man mit einem Dictionary Angriff gute Chancen hast.
Ich hab mal bei meinem Arbeitgeber die /etc/shadow auf einem Webserver auf so einfach Passwörter abgeklopft und oft genug waren Passwörter ala 12345 oder abc dabei.
Ja, das mit den unsicheren Passwörtern ist ein Problem, allerdings würde ich die Accounts nicht nach 3 Fehlerversuchen komplett sperren (sehr viel Aufwand für die Admins, sie wieder zu entsperren) und dos Attacken sind gut möglich, sondern stattdessen beim Passwortändern ein Passwortcheckprogramm laufen lassen, so dass die User gezwungen sind ein schwierigeres Passwort zu wählen. Außerdem hilft es noch viel, den Usern überhaupt klar zu machen, das ein Passwort sicher sein soll und wie es sicher ist.
alles in allem klingt das sehr vielversprechend :
- keine neue distri sondern aufsatz auf woody
- bisher gibt es meineswissen keine solche distri
- trusteddebian - security einfacher gemacht? :-)
ich werds mir auf jeden fall mal anschauen, denn vorablob iss ja auch nix *g*. ich hoffe nur, dass die stabilität nicht unter den security-patches leidet. werden wir ja sehen.
bis die tage...
Diese Option gibt es meines Wissens auch in OpenBSD und wer weiß wo noch. Wenn ichs richtig verstanden habe, kann man bestimmte Änderungen damit nur noch im Single-User-Modus machen.
Das ist doch in einer produktiven Umgebung gar nicht zu realisieren, oder? Dann müsste man die Kiste jedes Mal unerreichbar machen, wenn man ein Sicherheitsupdate oder sonstwas einspielt.
komplett_verruckt, wie immer
also : mehr Sicherheit aber dafuer mehr downtime
LIDS unter Linux loest dies z.B. mit einem Passwort zum deaktivieren des Schutzes.
ciao Pierre
Soweit ich das verstanden hab werden durch den Patch die Speicherseiten, in denen irgendwelche Daten stehen als non-executable markiert. Das soll gegen das Ausführen fremden Codes schützen und so z.B. viele Buffer-Overflow-Attacken nutzlos machen.
Und ja, das gibts in OpenBSD auch. Wird wohl in einem der nächsten Releases kommen und per default aktiviert sein.
- dass man nach jedem Fehlversuch 10 Sekunden warten muss?
- dass nach 3 Fehlversuchen der Account gesperrt wird?
Könnt seine Gründe haben, oder?
selbst root kann ich so sperren. Und das aus gutem Grund :-)
(für Internet Banking braucht man keine Karte)
Die automatische Deaktivierung von Accounts gleicht eher einer DoS-Attacke.
Nicht zwangsläufig.
Vor allem in Bereichen, in denen User ihr eigenes Passwort festlegen können sind die Passwörter oft so einfach gestrickt, daß man mit einem Dictionary Angriff gute Chancen hast.
Ich hab mal bei meinem Arbeitgeber die /etc/shadow auf einem Webserver auf so einfach Passwörter abgeklopft und oft genug waren Passwörter ala 12345 oder abc dabei.