Difference between revisions of "OpenChaos/Securing Unix"
(→Notizen zum Vortrag: Link korr.) |
|||
| (10 intermediate revisions by 4 users not shown) | |||
| Line 1: | Line 1: | ||
| − | + | Folien und eine Linkliste gibt es auf [http://www.ampersize.org/files/vortraege/securing-unix.html ampersize.org] | |
| − | |||
| + | Es gibt auch eine [http://w8n.koeln.ccc.de/media/slides/OpenChaos/20080131-CCC.Cologne-OpenChaos-Securing_UNIX.pdf Lokale Kopie] der Folien | ||
== Notizen zum Vortrag == | == Notizen zum Vortrag == | ||
| Line 7: | Line 7: | ||
Mache '''BACKUPS''', aber sicher! | Mache '''BACKUPS''', aber sicher! | ||
| − | * zu: "XSS ist nicht schlimm" | + | * zu: "XSS ist nicht schlimm" siehe Hintergrund auf [http://www.heise.de/security/suche/?rm=search&q=XSS&Suchen=los Heise-Security] |
* interessante Firefox-Extension: [http://addons.mozilla.org/firefox/addon/966 Tamper-Data] zum Bearbeiten der zu sendenden Formulardaten vor dem Übertragen an den Server | * interessante Firefox-Extension: [http://addons.mozilla.org/firefox/addon/966 Tamper-Data] zum Bearbeiten der zu sendenden Formulardaten vor dem Übertragen an den Server | ||
* Link zu PHP-Hardening-Projekt: http://www.hardened-php.net/ | * Link zu PHP-Hardening-Projekt: http://www.hardened-php.net/ | ||
| − | * "Nichts hält besser als ein Provisorium, deshalb ist Gaffa-Tape so | + | * "Nichts hält besser als ein Provisorium, deshalb ist [http://de.wikipedia.org/wiki/Gaffa-Tape Gaffa-Tape] so beliebt!" |
| − | * Zu faul eigene, sichere Passwörter auszudenken | + | * Zu faul eigene, sichere Passwörter auszudenken? pwgen oder apg! |
* "Ehemaliger Chef schaltet abends den Web-Server aus und morgens wieder an, damit er nachts nicht gehackt werden kann." | * "Ehemaliger Chef schaltet abends den Web-Server aus und morgens wieder an, damit er nachts nicht gehackt werden kann." | ||
| − | * Beim regelmäßigen Checks (Firmware-Updates, Rechte, Erreichbarkeit etc.) Drucker nicht vergessen | + | * Beim '''regelmäßigen''' Checks (Firmware-Updates, Rechte, Erreichbarkeit etc.) die '''Drucker''' nicht vergessen! |
* Gewarnt sei vor: Plesk, Webmin, etc. Lieber selber scripten (im Gegensatz zu CMS???) | * Gewarnt sei vor: Plesk, Webmin, etc. Lieber selber scripten (im Gegensatz zu CMS???) | ||
* Eigene Aktionen Dokumentieren: Gespräche/Einweisungen mit neuen Mitarbeitern/Azubis sind hilfreiche Indikatoren wo geschummelt wurde | * Eigene Aktionen Dokumentieren: Gespräche/Einweisungen mit neuen Mitarbeitern/Azubis sind hilfreiche Indikatoren wo geschummelt wurde | ||
* Ätzend: Wenn das Log zu voll ist (Debug-Mode? PHP-Errors?) um zu ... | * Ätzend: Wenn das Log zu voll ist (Debug-Mode? PHP-Errors?) um zu ... | ||
| − | * Link zu Congress-Vortrag: SELinux | + | * Link zu Congress-Vortrag: Hier? [http://media.koeln.ccc.de/search?query=selinux&submit=Search%21&sort=swishrank SELinux] |
* Google mal nach: "FreeBSD Advisories", automatische Kontrolle aktueller Security-Meldungen | * Google mal nach: "FreeBSD Advisories", automatische Kontrolle aktueller Security-Meldungen | ||
* Benachrichtigungen: Ketten bilden, Kompetenz beachten | * Benachrichtigungen: Ketten bilden, Kompetenz beachten | ||
| Line 25: | Line 25: | ||
== Probleme == | == Probleme == | ||
* ''IPv6'': entweder ausschalten oder richtig filtern (Immernoch problematisch!) | * ''IPv6'': entweder ausschalten oder richtig filtern (Immernoch problematisch!) | ||
| − | * ''Default-Dienste''? "Das ist ja auch | + | * ''Default-Dienste''? "Das ist ja auch ''Open''Suse, was meinst Du woher der Name kommt." |
| − | |||
== Fragen == | == Fragen == | ||
* ''Selber scripten oder nicht?'' Das muss wohl jeder für sich entscheiden. Komplexe und große Systeme eher nicht (CMS), kleine Verwaltungstools eher doch (statt Plesk und Consorten). | * ''Selber scripten oder nicht?'' Das muss wohl jeder für sich entscheiden. Komplexe und große Systeme eher nicht (CMS), kleine Verwaltungstools eher doch (statt Plesk und Consorten). | ||
| − | * '' | + | * ''SSH erst nach Knocking: bringt das was oder ist das nur obscurity?'' Obscurity! Probleme: Knocking-Pakete sind eine Einladung, Timeouts/RaceConditions, Kompliziert und ein Script zum Öffnen ist eine neue Sicherheitslücke. |
* ''Virtuoso einsetzen?'' Ja, kostet aber Geld. (openVZ leider nicht so toll) | * ''Virtuoso einsetzen?'' Ja, kostet aber Geld. (openVZ leider nicht so toll) | ||
Latest revision as of 18:02, 4 February 2008
Folien und eine Linkliste gibt es auf ampersize.org
Es gibt auch eine Lokale Kopie der Folien
Notizen zum Vortrag
Mache BACKUPS, aber sicher!
- zu: "XSS ist nicht schlimm" siehe Hintergrund auf Heise-Security
- interessante Firefox-Extension: Tamper-Data zum Bearbeiten der zu sendenden Formulardaten vor dem Übertragen an den Server
- Link zu PHP-Hardening-Projekt: http://www.hardened-php.net/
- "Nichts hält besser als ein Provisorium, deshalb ist Gaffa-Tape so beliebt!"
- Zu faul eigene, sichere Passwörter auszudenken? pwgen oder apg!
- "Ehemaliger Chef schaltet abends den Web-Server aus und morgens wieder an, damit er nachts nicht gehackt werden kann."
- Beim regelmäßigen Checks (Firmware-Updates, Rechte, Erreichbarkeit etc.) die Drucker nicht vergessen!
- Gewarnt sei vor: Plesk, Webmin, etc. Lieber selber scripten (im Gegensatz zu CMS???)
- Eigene Aktionen Dokumentieren: Gespräche/Einweisungen mit neuen Mitarbeitern/Azubis sind hilfreiche Indikatoren wo geschummelt wurde
- Ätzend: Wenn das Log zu voll ist (Debug-Mode? PHP-Errors?) um zu ...
- Link zu Congress-Vortrag: Hier? SELinux
- Google mal nach: "FreeBSD Advisories", automatische Kontrolle aktueller Security-Meldungen
- Benachrichtigungen: Ketten bilden, Kompetenz beachten
- Thorsten Holz: Beste Quelle zum Thema Botnetz-Angriffe: http://honeyblog.org/
- Nette Pseudo-Buchcover "selber machen": http://www.oreillymaker.com/
Probleme
- IPv6: entweder ausschalten oder richtig filtern (Immernoch problematisch!)
- Default-Dienste? "Das ist ja auch OpenSuse, was meinst Du woher der Name kommt."
Fragen
- Selber scripten oder nicht? Das muss wohl jeder für sich entscheiden. Komplexe und große Systeme eher nicht (CMS), kleine Verwaltungstools eher doch (statt Plesk und Consorten).
- SSH erst nach Knocking: bringt das was oder ist das nur obscurity? Obscurity! Probleme: Knocking-Pakete sind eine Einladung, Timeouts/RaceConditions, Kompliziert und ein Script zum Öffnen ist eine neue Sicherheitslücke.
- Virtuoso einsetzen? Ja, kostet aber Geld. (openVZ leider nicht so toll)
