http://www.pro-linux.de Wir geben Ihrem Computer das Leben zurück de Copyright 2013, Pro-Linux Sat, 18 May 2013 16:02:01 +0200 info@pro-linux.de (Pro-Linux) info@pro-linux.de (Pro-Linux) http://www.pro-linux.de/images/NB3/base/global/pl-logo_i70.png http://www.pro-linux.de Wir geben Ihrem Computer das Leben zurück http://www.pro-linux.de/news/1/18697/comm/519501/re6-katze-abzugeben.html Das kann ich dem Artikel nicht entnehmen. Ich würde das sogar stark bezweifeln, denn dann hätten die sicher nicht CentOS sondern das "original" RHEL getestet. http://www.pro-linux.de/news/1/18697/comm/519501/re6-katze-abzugeben.html Mon, 06 Aug 2012 09:22:56 +0200 http://www.pro-linux.de/news/1/18697/comm/519468/re5-katze-abzugeben.html Wenn ich den Artikel nicht missverstanden habe, geschah die Studie im Auftrag von RedHat. http://www.pro-linux.de/news/1/18697/comm/519468/re5-katze-abzugeben.html Sun, 05 Aug 2012 11:58:10 +0200 http://www.pro-linux.de/news/1/18697/comm/519467/re5-katze-abzugeben.html Habe einige andere Blogeinträge des Autors gelesen: Du hast recht. http://www.pro-linux.de/news/1/18697/comm/519467/re5-katze-abzugeben.html Sun, 05 Aug 2012 11:56:21 +0200 http://www.pro-linux.de/news/1/18697/comm/519462/re-katze-abzugeben.html Langweilig!. Was sind das für Sicherheitsexperten... Wenn die keine Ahnung haben, sollten die so eie Quatsch einfach nicht schreiben und Prolinux muss auch noch jeden Quark rausbringen. http://www.pro-linux.de/news/1/18697/comm/519462/re-katze-abzugeben.html Sun, 05 Aug 2012 01:50:10 +0200 http://www.pro-linux.de/news/1/18697/comm/519458/re5-katze-abzugeben.html Deshalb gibt es bei SELinux viele vorkonfigurierte Policies, welche mittels Parameter zur Laufzeit konfiguriert werden können. Aber wie so oft: Es sind natürlich auch hier Verbesserungen möglich und erwünscht. http://www.pro-linux.de/news/1/18697/comm/519458/re5-katze-abzugeben.html Sat, 04 Aug 2012 20:22:06 +0200 http://www.pro-linux.de/news/1/18697/comm/519453/re4-katze-abzugeben.html Genau das muss allerdings das Ziel sein. Also nicht die trügerische Sicherheit, sondern ein System so gut wie möglich absichern ohne sich eben viel Hintergrundwissen zu erarbeiten. Ob nun mit 2 Mausklicks oder mit 20 spielt zunächst einmal keine Rolle, dennoch muss man versuchen so etwas zu ermöglichen. Natürlich ist das anspruchsvoll, aber dennoch erstrebenswert. http://www.pro-linux.de/news/1/18697/comm/519453/re4-katze-abzugeben.html Sat, 04 Aug 2012 18:51:01 +0200 http://www.pro-linux.de/news/1/18697/comm/519450/re3-katze-abzugeben.html In nahezu jedem Fall, da dort u.a. Informationen zum Apache-Benutzer stehen. Wenn Du das umgehen willst, dann musst Du nss_files aus nsswitch rausnehmen. http://www.pro-linux.de/news/1/18697/comm/519450/re3-katze-abzugeben.html Sat, 04 Aug 2012 17:10:56 +0200 http://www.pro-linux.de/news/1/18697/comm/519449/re4-katze-abzugeben.html Das glaube ich nicht. Ich denke die wissen sehr genau wie Linux, Apache und SELinux arbeiten. Die wollen aber auch Ihre Studie verkaufen und die verkauft sich halt sehr viel besser, wenn man irgendein "Problem" gefunden hat. Stell Dir vor im Blog steht "Alles gut, wie erwartet.", wer kauft dann noch die Studie dazu. http://www.pro-linux.de/news/1/18697/comm/519449/re4-katze-abzugeben.html Sat, 04 Aug 2012 17:06:10 +0200 http://www.pro-linux.de/news/1/18697/comm/519409/re5-katze-abzugeben.html > Ist mir noch nicht untergekommen, nicht nur dass das ein ziemlich dämlicher Gedanke ist. Dies Funktion wird von tausenden Hostern eingesetzt. Natürlich stützen sich viele davon nicht auf die /etc/passwd sondern auf einen zentralen Dienst. Wofür aber Apache trotzdem die Rechte benötigt um an die Infos zu kommen. Außerdem geht es meist nicht um die Authentifizierung, sondern schlicht um das... http://www.pro-linux.de/news/1/18697/comm/519409/re5-katze-abzugeben.html Sat, 04 Aug 2012 08:59:43 +0200 http://www.pro-linux.de/news/1/18697/comm/519408/re2-etcpasswd.html Zumindest sollte man die Benutzer welche sich über ssh anmelden können einschränken. Gilt eigentlich für jeden Dienst. http://www.pro-linux.de/news/1/18697/comm/519408/re2-etcpasswd.html Sat, 04 Aug 2012 08:45:48 +0200 http://www.pro-linux.de/news/1/18697/comm/519402/re-etcpasswd.html Du weißt, welche Accounts es auf dem Rechner gibt und welche davon Shellzugriff haben, bei welchen sich also Bruteforcen lohnt. Evtl. kannst du die Accountnamen sogar mit einer Liste abgleichen und gucken, ob du jemanden findest, der überall dasselbe Kennwort nutzt. In diesem Zusammenhang: Kennwortbasierte SSH-Logins abschalten! Keys-basierte Logins sind sichere *und* bequemer, wenn man sie erst... http://www.pro-linux.de/news/1/18697/comm/519402/re-etcpasswd.html Sat, 04 Aug 2012 03:25:25 +0200 http://www.pro-linux.de/news/1/18697/comm/519401/re5-katze-abzugeben.html mod_userdir existiert. Es ist Sache des Admins, ob er das einsetzen will, aber wenn er es tut, benötigt es auch Zugriff auf /etc/passwd, um überhaupt feststellen zu können, welche Verzeichnisse denn per http://example.com/~myuser freizugeben sind. Wenn man das nicht braucht, schaltet man es auch nicht ein. Alternativ kann man ausgewählten Benutzern auch einen VirtualHost der Art... http://www.pro-linux.de/news/1/18697/comm/519401/re5-katze-abzugeben.html Sat, 04 Aug 2012 03:22:15 +0200 http://www.pro-linux.de/news/1/18697/comm/519385/re4-katze-abzugeben.html Ist mir noch nicht untergekommen, nicht nur dass das ein ziemlich dämlicher Gedanke ist. Was haben denn lokale Benutzer mit Auth. im Web gemein? Sicher geht das irgendwie, ist aber nicht der Standard, wird nicht empfohlen, generell eine unschöne Lösung. http://www.pro-linux.de/news/1/18697/comm/519385/re4-katze-abzugeben.html Fri, 03 Aug 2012 21:47:12 +0200 http://www.pro-linux.de/news/1/18697/comm/519381/etcpasswd.html Was nützt einem eigentlich die passwd Datei? Wenn er /etc/shadow hätte lesen können, wär´s doch interessanter gewesen. http://www.pro-linux.de/news/1/18697/comm/519381/etcpasswd.html Fri, 03 Aug 2012 21:32:21 +0200 http://www.pro-linux.de/news/1/18697/comm/519376/re-sehr-allgemein.html Der Autor des Blogs hat SELinux nicht verstanden. Ich gehe sogar davon aus, daß er Autor nur mangelhaftes Verständnis von "Mandatory Access Control" bzw. "Role Based Access Control" hat. Sonst hätte er diese Test erst gar nicht durchgeführt. Er hätte genausogut schreiben können, daß iptables in einer Standardkonfiguration für Webhosting seine Angriffe auf den Webserver... http://www.pro-linux.de/news/1/18697/comm/519376/re-sehr-allgemein.html Fri, 03 Aug 2012 21:22:56 +0200 http://www.pro-linux.de/news/1/18697/comm/519370/re3-katze-abzugeben.html Das Framework ist nur in wenigen Teilen "kompliziert". Zu 95% verstehen die Benutzer schlichtweg nicht das Design von SELinux. Welches aber nicht der Komplexität geschuldet ist, sondern eher dem Fehlen an gut übersetzten und knackigen Tutorials und auch der Benutzer selbst muß sich im Klaren sein, daß Security Frameworks kein Kinderspielzeug sind und einiges an Wissen erfordern. Mit... http://www.pro-linux.de/news/1/18697/comm/519370/re3-katze-abzugeben.html Fri, 03 Aug 2012 21:08:31 +0200 http://www.pro-linux.de/news/1/18697/comm/519364/re3-katze-abzugeben.html Beispielsweise um Benutzerverzeichnisse herauszufinden. Oder wo sind die sonst gespeichert? Allein schon wegen Plugins wie mod_userdir, etc... Die Datei /etc/passwd wird von sehr sehr vielen Programmen benötigt und gelesen, daher ist sie auch von allen lesbar. Dies sollte sich eigentlich schon seit langem herumgesprochen haben. Nicht umsonst werden die heiklen Infos seit ca. 2 Jahrzehnten in... http://www.pro-linux.de/news/1/18697/comm/519364/re3-katze-abzugeben.html Fri, 03 Aug 2012 20:50:54 +0200 http://www.pro-linux.de/news/1/18697/comm/519355/re2-katze-abzugeben.html 100% nicht, aber der Mehrgewinn hält sich in Grenzen. Ein Framework was kompliziert richtig zu konfigurieren ist, bietet nur trügerisch mehr Sicherheit. Und darum gehts, Augenwischerei. http://www.pro-linux.de/news/1/18697/comm/519355/re2-katze-abzugeben.html Fri, 03 Aug 2012 19:39:33 +0200 http://www.pro-linux.de/news/1/18697/comm/519354/re2-katze-abzugeben.html Das liest sich aber ganz anders. In welchem Kontext muss denn Apache die /etc/passwd lesend zu greifen? http://www.pro-linux.de/news/1/18697/comm/519354/re2-katze-abzugeben.html Fri, 03 Aug 2012 19:36:43 +0200 http://www.pro-linux.de/news/1/18697/comm/519339/sehr-allgemein.html Der Beitrag ist aber sehr allgemein gehalten, der Link verweist auf eine Seite mit kyrillischer Schrift.... Ich kann hier wenig qualitativen Inhalt entnehmen. Es wäre schon, wenn der Autor ein paar Erläuterungen zu der Testumgebung gegeben hätte. Z.B. war. mod_security aktiviert ? http://www.pro-linux.de/news/1/18697/comm/519339/sehr-allgemein.html Fri, 03 Aug 2012 17:59:09 +0200 http://www.pro-linux.de/news/1/18697/comm/519333/re-katze-abzugeben.html Selinux schützt Contexte vor einander, aber nicht innerhalb eines Contextes. Wenn der Webserver eine Datei lesen kann und der Angreifer eine Schwachstelle im Webserver findet, dann kann er natürlich auch die Datei lesen. Er kann aber keine Datei außerhalb dieses Contextes lesen. Vereinfacht gesagt. http://www.pro-linux.de/news/1/18697/comm/519333/re-katze-abzugeben.html Fri, 03 Aug 2012 17:05:29 +0200 http://www.pro-linux.de/news/1/18697/comm/519331/re-katze-abzugeben.html Der Entwickler von SELinux hat sehr wohl recht. Alle Sicherheitserweiterungen für Linux sind als zusätzliche Hürden gedacht und kein Entwickler einer dieser Erweiterungen wird 100%igen Schutz versprechen. Außerdem ist die Konfiguration sowohl von Apache als auch SELinux nicht simpel und braucht dadurch einiges an Erfahrung. http://www.pro-linux.de/news/1/18697/comm/519331/re-katze-abzugeben.html Fri, 03 Aug 2012 16:59:19 +0200 http://www.pro-linux.de/news/1/18697/comm/519322/katze-abzugeben.html Klingt für mich so als ob die Versprechen die Red Hat seinen Kunden gibt, nur Marketing Gewäsch sind. http://www.pro-linux.de/news/1/18697/comm/519322/katze-abzugeben.html Fri, 03 Aug 2012 16:27:06 +0200