Wenn ich das richtig verstehe, meinst Du, Linux wäre leichter zu cracken als BSD, richtig?
Das will ich gar nicht in Abrede stellen nur frage ich mich, warum ich in 8 Jahren bei mehreren hundert Angriffen am Tag auf meinem Debian-Server nie einen Einbruch hatte?
Nun gut, sehr viel habe ich wirklich nicht zu verbergen aber dennoch versuchen es immer wieder welche und irgendwie schaffen die es nicht.
Vielleicht liegt das ja daran, dass Sicherheit auf Servern nur zu einem Bruchteil vom Betriebssystem abhängt. Wenn Du auf Deinem BSD eine uralte Joomla-Installation mit automatischer Nutzerregistrierung und ein paar putzigen Plugins hast (die zum Beispiel Dateien schreiben dürfen etc), dann würdest Du auch mit einem vom MAD zertifizierten BSD als Betriebsystem nicht lange ruhig schlafen können...
Dieser Beitrag wurde 1 mal editiert. Zuletzt am 07. Dez 2012 um 16:36.
"Das will ich gar nicht in Abrede stellen nur frage ich mich, warum ich in 8 Jahren bei mehreren hundert Angriffen am Tag auf meinem Debian-Server nie einen Einbruch hatte?"
Vielelicht hast Du neben Können auch Glück gehabt. Denke nur an Debians Openssl-Geschichte.
Ja, die ist in diese Zeit gefallen --- lass mich nachdenken, war das nicht was mit Elevation von Nutzerrechten?
Hat mich vielleicht deswegen nicht erwischt, weil ich jede Person, die jemals einen aktiven SSH-Zugang zu meinem System hatte, mit Name und Adresse kenne. Und weil ich jeden SSH-Account, der nicht regelmäßig gebraucht wird, abschalte? Und weil ich nur Passwörter erlaube, die man beim besten Willen nicht mit dem Wörterbuch cracken kann? Und weil auch die kein ewigens Leben haben?
Worauf ich hinaus will: Für einen normalen Webserver, der allenfalls ein paar hundert Nutzer mit Zugang via http und nur eine handvoll bekannte echte Unix-Nutzer hat, ist Linux/Debian allemal gut genug.
Nach allem, was ich darüber weiß, würde ich für ein System, das viel mehr Angriffsfläche bietet, vielleicht auch ein BSD ausprobieren aber für Webserver nehme ich Debian, weil ich das inzwischen ganz gut kenne und weil alles funktioniert wies soll....
Nichtsdestotrotz war Debian damals alles andere als sicher. Das gleiche galt natürlich auch für anderer Linuxe mit Debian-"Schlüsselteilnehmern".
Du wirst auch wohl nicht das Pech haben, dass irgendjemand für Deinen Server ein spezielles Debian-Kernel-Modul gewissermaßen als Unikum zusammenstoppelt, nur um etwas von Dir zu "holen".
Wie prüfst Du denn eigentlich nach, dass "Dich" noch kein Root-Kit erwischt hat?
>Wie prüfst Du denn eigentlich nach, dass "Dich" noch kein Root-Kit erwischt hat?
Soviel ich weiß, muss so ein Ding irgendwie installiert werden oder?
Dazu gibt es bei mir nicht sehr viele Möglichkeiten. Ich würde sagen, der gefährlichste Teil bei mir ist PHP GD, allenfalls noch Mysql. Ansonsten wird es schwierig, solange nicht der Update-mirror auf meinem Provider gecrackt wird -- dann wäre wohl eh alles zu spät...
Ansonsten kann ich das, was meine Kiste macht, noch einigermaßen selbst überblicken(habe nur die unverzichtbaren Dienste laufen und nicht sehr viel Traffic und keine Community-Seite, shop oder dergleichen).
"Das will ich gar nicht in Abrede stellen nur frage ich mich, warum ich in 8 Jahren bei mehreren hundert Angriffen am Tag auf meinem Debian-Server nie einen Einbruch hatte?"
*prust!!* Sorry jetzt hab ich mich doch glatt nassgemacht.
Achtung Ironie!
Ja, mein Zonealarm sagt mir auch hunderte Male am Tag ich würde angegriffen werden und mein Symantec Antivirus auch. Ich bin total sicher da alle diese bösen Angriffe ins Leere laufen. Die bösen Buben wissen ja nicht, dass ich Symantec benutze!!
Ernsthaft... wenn einer von ein paar hundert Angriffen pro Tag schreibt, ist er entweder das Ziel Nummer eins auf der Welt oder er ist schlicht zu dämlich zu wissen was ein Angriff und was nur ein beschissener Portscan oder ähnliches ist.
Wo liegt dein Gerät? Ist die Platte verschlüsselt? Ist die Implementation der Verschlüsselungssoftware korrekt? Ist die Implementation der sicheren Verbindung korrekt? Sind die Implementationen aller beteiligten Bibliotheken korrekt? Wie viele Leute kennen den Schlüssel? Auf wie vielen Geräten wird der Schlüssel verwendet/eingegeben? Auf welchem Gerät wurde er generiert? Ist die Implementation des Schlüsselgenerators auf diesem Gerät korrekt? Sind die Nummern des involvierten Zufallsnummerngenerators wirklich zufällig? Usw.
Sicherheit ist ein Kompromiss. Wer auf nummer sicher gehen möchte, der schaltet sein Gerät am besten ab.
Schon möglich. Es wäre aber dumm, deshalb die Schulter zu zucken und zu sagen "Hat eh' alles kein' Zweck, könnwa auch ganz lassen...".
Es geht um die Abwehr von Angriffen gewerblicher Cracker. Und die geht normalerweise nach dem Motto: "Wenn es 5 Minuten dauert, mein Fahrradschloss zu knacken, muss ich nie zu Fuss nach Hause..."
Wenn die Damen und Herren vom BKA an Deine Daten wollen, ich meine: wenn sie da wirklich ran wollen, dann hast Du ein ganz anderes Problem als eine vielleicht nicht 101%ige Implementation eines Schlüsselgenerators...
Hat eh' alles kein' Zweck, könnwa auch ganz lassen...
Die Kernaussage war, dass die Wahl des Systems zweitrangig ist.
Ein Sicherheitsbewusster Admin muss allen voran wissen was er tut und dann noch bereit sein, viel Zeit und Aufwand in regelmaessige, sicherheitsrelevante Wartung zu investieren. Ausserdem hat er grosses interesse daran, moeglichst wenig Dienste mit moeglichst wenig funktionalitaet fuer moeglichst wenig Benutzer anzubieten.
Irgendwann merkt dann jeder, dass sich der Riesenaufwand fuer paranoide Sicherheitsmassnahmen nur dann lohnt, wenn man ein logisches Ziel von Leuten ist, die noch viel besser wissen was sie tun.
Von jemand, dessen Name egal ist am Fr, 7. Dezember 2012 um 22:27 #
Doch. Aber XAMPP ist eine einfache Möglichkeit mehrere Versionen von Apache/PHP parallel zu fahren. Ein symlink aufs XAMPP-Verzeichnis reicht, um mal schnell die Version/Konfiguration zu ändern.
XAMMP finde ich wirklich gut. Zwar habe ich auf Slackware auch diese Dienste, aber mein Laptop arbeitet überwiegend als Desktop. Dafür will ich keine Serverdienste. Da hat es mir XAMMP schon angetan. Wird es nimmer gebraucht, einfach aus /opt löschen und das wars. Keine umständlichen deinstallationen und säuberungen
Geht mir auch so. Hatte ausserdem schon genug Arbeit damit auf meinem Mac zu Hause ein vernuenftiges GNU-Userland aufzusetzen. (Zumindest auf der Konsole ;)) Nee, danke, da muss ich mir nicht noch freiwillig irgendein *BSD oder *Solaris anschaffen!
- FreeBSD (pfSense) - Storage auf Basis von illumos (ehem. not-so-OpenSolaris)
Und wenn ich man jemandem mal ein UNIX-artiges System näher bringen will, habe ich OpenBSD durch seinen Minimalismus im Basissystem als recht übersichtlich wahrgenommen. (rc mag "einfach gestrickt" sein, aber ich konnte damit init knapper erklären als mit SysV oder SMF)
Wobei NetBSD vielleicht auch mal was wäre, habe bisher nicht die Gelegenheit...
Als Bacula DIR und SD Server Als PostgreSQL Cluster Als File-Server mit Netatalk und Samba Als Jboss Application-Server
Lauft gut, zuverlässig und je nach Einsatzfall sogar kostengünstiger als Linux. Die Resourcen werden dank ZFS mit Dedup und Compression besser genutzt. Zudem skaliert es ein wenig schneller.
... dass "Ich nutze nur das vom Weltmarktführer" - BLABLA ... aber, recht hat er! Wir alle wissen: Linux ist Weltmarktführer.
Die Frage ist doch nicht, ob Linux, sondern höchstens, welches.
Für mich deckt Debian meinen ganzen Bedarf vollständig.
Monokulturen sind Scheiße. Egal, ob sie Microsoft, Debian oder sonstwie heißen.
Oder habt ihr nichts zu verbergen?
und auch FreeBSD. Linux nutze ich nicht mehr...
Und die Gründe?
> Oder habt ihr nichts zu verbergen?
Wenn ich das richtig verstehe, meinst Du, Linux wäre leichter zu cracken als BSD, richtig?
Das will ich gar nicht in Abrede stellen nur frage ich mich, warum ich in 8 Jahren bei mehreren hundert Angriffen am Tag auf meinem Debian-Server nie einen Einbruch hatte?
Nun gut, sehr viel habe ich wirklich nicht zu verbergen aber dennoch versuchen es immer wieder welche und irgendwie schaffen die es nicht.
Vielleicht liegt das ja daran, dass Sicherheit auf Servern nur zu einem Bruchteil vom Betriebssystem abhängt. Wenn Du auf Deinem BSD eine uralte Joomla-Installation mit automatischer Nutzerregistrierung und ein paar putzigen Plugins hast (die zum Beispiel Dateien schreiben dürfen etc), dann würdest Du auch mit einem vom MAD zertifizierten BSD als Betriebsystem nicht lange ruhig schlafen können...
Dieser Beitrag wurde 1 mal editiert. Zuletzt am 07. Dez 2012 um 16:36."Das will ich gar nicht in Abrede stellen nur frage ich mich, warum ich in 8 Jahren bei mehreren hundert Angriffen am Tag auf meinem Debian-Server nie einen Einbruch hatte?"
Vielelicht hast Du neben Können auch Glück gehabt. Denke nur an Debians Openssl-Geschichte.
> Debians Openssl-Geschichte
Ja, die ist in diese Zeit gefallen --- lass mich nachdenken, war das nicht was mit Elevation von Nutzerrechten?
Hat mich vielleicht deswegen nicht erwischt, weil ich jede Person, die jemals einen aktiven SSH-Zugang zu meinem System hatte, mit Name und Adresse kenne. Und weil ich jeden SSH-Account, der nicht regelmäßig gebraucht wird, abschalte? Und weil ich nur Passwörter erlaube, die man beim besten Willen nicht mit dem Wörterbuch cracken kann? Und weil auch die kein ewigens Leben haben?
Worauf ich hinaus will: Für einen normalen Webserver, der allenfalls ein paar hundert Nutzer mit Zugang via http und nur eine handvoll bekannte echte Unix-Nutzer hat, ist Linux/Debian allemal gut genug.
Nach allem, was ich darüber weiß, würde ich für ein System, das viel mehr Angriffsfläche bietet, vielleicht auch ein BSD ausprobieren aber für Webserver nehme ich Debian, weil ich das inzwischen ganz gut kenne und weil alles funktioniert wies soll....
Nichtsdestotrotz war Debian damals alles andere als sicher. Das gleiche galt natürlich auch für anderer Linuxe mit Debian-"Schlüsselteilnehmern".
Du wirst auch wohl nicht das Pech haben, dass irgendjemand für Deinen Server ein spezielles Debian-Kernel-Modul gewissermaßen als Unikum zusammenstoppelt, nur um etwas von Dir zu "holen".
Wie prüfst Du denn eigentlich nach, dass "Dich" noch kein Root-Kit erwischt hat?
>Wie prüfst Du denn eigentlich nach, dass "Dich" noch kein Root-Kit erwischt hat?
Soviel ich weiß, muss so ein Ding irgendwie installiert werden oder?
Dazu gibt es bei mir nicht sehr viele Möglichkeiten. Ich würde sagen, der gefährlichste Teil bei mir ist PHP GD, allenfalls noch Mysql. Ansonsten wird es schwierig, solange nicht der Update-mirror auf meinem Provider gecrackt wird -- dann wäre wohl eh alles zu spät...
Ansonsten kann ich das, was meine Kiste macht, noch einigermaßen selbst überblicken(habe nur die unverzichtbaren Dienste laufen und nicht sehr viel Traffic und keine Community-Seite, shop oder dergleichen).
"Das will ich gar nicht in Abrede stellen nur frage ich mich, warum ich in 8 Jahren bei mehreren hundert Angriffen am Tag auf meinem Debian-Server nie einen Einbruch hatte?"
*prust!!* Sorry jetzt hab ich mich doch glatt nassgemacht.
Achtung Ironie!
Ja, mein Zonealarm sagt mir auch hunderte Male am Tag ich würde angegriffen werden und mein Symantec Antivirus auch. Ich bin total sicher da alle diese bösen Angriffe ins Leere laufen. Die bösen Buben wissen ja nicht, dass ich Symantec benutze!!
Ernsthaft... wenn einer von ein paar hundert Angriffen pro Tag schreibt, ist er entweder das Ziel Nummer eins auf der Welt oder er ist schlicht zu dämlich zu wissen was ein Angriff und was nur ein beschissener Portscan oder ähnliches ist.
> Oder habt ihr nichts zu verbergen?
Gähn.
Wo liegt dein Gerät? Ist die Platte verschlüsselt? Ist die Implementation der Verschlüsselungssoftware korrekt? Ist die Implementation der sicheren Verbindung korrekt? Sind die Implementationen aller beteiligten Bibliotheken korrekt? Wie viele Leute kennen den Schlüssel? Auf wie vielen Geräten wird der Schlüssel verwendet/eingegeben? Auf welchem Gerät wurde er generiert? Ist die Implementation des Schlüsselgenerators auf diesem Gerät korrekt? Sind die Nummern des involvierten Zufallsnummerngenerators wirklich zufällig? Usw.
Sicherheit ist ein Kompromiss. Wer auf nummer sicher gehen möchte, der schaltet sein Gerät am besten ab.
OpenBSD ist perfekt.
> Sicherheit ist ein Kompromiss.
Schon möglich. Es wäre aber dumm, deshalb die Schulter zu zucken und zu sagen "Hat eh' alles kein' Zweck, könnwa auch ganz lassen...".
Es geht um die Abwehr von Angriffen gewerblicher Cracker. Und die geht normalerweise nach dem Motto: "Wenn es 5 Minuten dauert, mein Fahrradschloss zu knacken, muss ich nie zu Fuss nach Hause..."
Wenn die Damen und Herren vom BKA an Deine Daten wollen, ich meine: wenn sie da wirklich ran wollen, dann hast Du ein ganz anderes Problem als eine vielleicht nicht 101%ige Implementation eines Schlüsselgenerators...
Hat eh' alles kein' Zweck, könnwa auch ganz lassen...
Die Kernaussage war, dass die Wahl des Systems zweitrangig ist.
Ein Sicherheitsbewusster Admin muss allen voran wissen was er tut und dann noch bereit sein, viel Zeit und Aufwand in regelmaessige, sicherheitsrelevante Wartung zu investieren. Ausserdem hat er grosses interesse daran, moeglichst wenig Dienste mit moeglichst wenig funktionalitaet fuer moeglichst wenig Benutzer anzubieten.
Irgendwann merkt dann jeder, dass sich der Riesenaufwand fuer paranoide Sicherheitsmassnahmen nur dann lohnt, wenn man ein logisches Ziel von Leuten ist, die noch viel besser wissen was sie tun.
Alles andere ist Sicherheitsonanie.
> Die Kernaussage war, dass die Wahl des Systems zweitrangig ist.
Genau so sehe ich das auch.
Dieser Beitrag wurde 1 mal editiert. Zuletzt am 07. Dez 2012 um 23:35.Isch 'abe gar keine Sörver...
Dies.
Ich nutze nur Debian, in meinem Fall Sid (siduction). Debian kann alles, was ich brauche und wird auch produktiv eingesetzt.
Nutze hier nur Slackware mit XAMPP auf meinem Entwicklungsserver, der in einer Virtualbox VM läuft.
Wieso XAMP? Gibt es für Slackware keine Pakete für Apache, PHP etc?
Doch. Aber XAMPP ist eine einfache Möglichkeit mehrere Versionen von Apache/PHP parallel zu fahren. Ein symlink aufs XAMPP-Verzeichnis reicht, um mal schnell die Version/Konfiguration zu ändern.
XAMMP finde ich wirklich gut. Zwar habe ich auf Slackware auch diese Dienste, aber mein Laptop arbeitet überwiegend als Desktop. Dafür will ich keine Serverdienste. Da hat es mir XAMMP schon angetan. Wird es nimmer gebraucht, einfach aus /opt löschen und das wars. Keine umständlichen deinstallationen und säuberungen
Solaris 10 (SPARC) und FreeNAS (x86)
Genau genommen nutz ich Linux nur als Client OS
1x suse
1 x Suse in VM
1x WinXP in VM
1x FreeNas als Backupserver
Neben Linux verwende ich nämlich
Linux und daneben noch
Linux und ... ;oP
Geht mir auch so. Hatte ausserdem schon genug Arbeit damit auf meinem Mac zu Hause ein vernuenftiges GNU-Userland aufzusetzen. (Zumindest auf der Konsole ;)) Nee, danke, da muss ich mir nicht noch freiwillig irgendein *BSD oder *Solaris anschaffen!
Vernuenftiges GNU-Userland - das würde ich auch gern mal sehen.
- FreeBSD (pfSense)
- Storage auf Basis von illumos (ehem. not-so-OpenSolaris)
Und wenn ich man jemandem mal ein UNIX-artiges System näher bringen will,
habe ich OpenBSD durch seinen Minimalismus im Basissystem als recht übersichtlich
wahrgenommen. (rc mag "einfach gestrickt" sein, aber ich konnte damit init knapper erklären als mit SysV oder SMF)
Wobei NetBSD vielleicht auch mal was wäre, habe bisher nicht die Gelegenheit...
Hi
Ich führe in meiner Firma FreeBSD produktiv ein
Als Bacula DIR und SD Server
Als PostgreSQL Cluster
Als File-Server mit Netatalk und Samba
Als Jboss Application-Server
Lauft gut, zuverlässig und je nach Einsatzfall sogar kostengünstiger als Linux. Die Resourcen werden dank ZFS mit Dedup und Compression besser genutzt. Zudem skaliert es ein wenig schneller.