Difference between revisions of "OpenChaos/Securing Unix"

From C4 Wiki
Jump to: navigation, search
(Notizen zum Vortrag: Link korr.)
 
(10 intermediate revisions by 4 users not shown)
Line 1: Line 1:
Vortragsfolien kommen noch
+
Folien und eine Linkliste gibt es auf [http://www.ampersize.org/files/vortraege/securing-unix.html ampersize.org]
 
 
  
 +
Es gibt auch eine [http://w8n.koeln.ccc.de/media/slides/OpenChaos/20080131-CCC.Cologne-OpenChaos-Securing_UNIX.pdf Lokale Kopie] der Folien
  
 
== Notizen zum Vortrag ==
 
== Notizen zum Vortrag ==
Line 7: Line 7:
 
Mache '''BACKUPS''', aber sicher!
 
Mache '''BACKUPS''', aber sicher!
  
*  zu: "XSS ist nicht schlimm" Link mit Gegenbeispiel kommt noch?
+
*  zu: "XSS ist nicht schlimm" siehe Hintergrund auf [http://www.heise.de/security/suche/?rm=search&q=XSS&Suchen=los Heise-Security]
 
*  interessante Firefox-Extension: [http://addons.mozilla.org/firefox/addon/966 Tamper-Data] zum Bearbeiten der zu sendenden Formulardaten vor dem Übertragen an den Server
 
*  interessante Firefox-Extension: [http://addons.mozilla.org/firefox/addon/966 Tamper-Data] zum Bearbeiten der zu sendenden Formulardaten vor dem Übertragen an den Server
 
*  Link zu PHP-Hardening-Projekt: http://www.hardened-php.net/
 
*  Link zu PHP-Hardening-Projekt: http://www.hardened-php.net/
*  "Nichts hält besser als ein Provisorium, deshalb ist Gaffa-Tape so  
+
*  "Nichts hält besser als ein Provisorium, deshalb ist [http://de.wikipedia.org/wiki/Gaffa-Tape Gaffa-Tape] so beliebt!"
*  Zu faul eigene, sichere Passwörter auszudenken: pwgen!
+
*  Zu faul eigene, sichere Passwörter auszudenken? pwgen oder apg!
 
*  "Ehemaliger Chef schaltet abends den Web-Server aus und morgens wieder an, damit er nachts nicht gehackt werden kann."
 
*  "Ehemaliger Chef schaltet abends den Web-Server aus und morgens wieder an, damit er nachts nicht gehackt werden kann."
*  Beim regelmäßigen Checks (Firmware-Updates, Rechte, Erreichbarkeit etc.) Drucker nicht vergessen
+
*  Beim '''regelmäßigen''' Checks (Firmware-Updates, Rechte, Erreichbarkeit etc.) die '''Drucker''' nicht vergessen!
 
*  Gewarnt sei vor: Plesk, Webmin, etc. Lieber selber scripten (im Gegensatz zu CMS???)
 
*  Gewarnt sei vor: Plesk, Webmin, etc. Lieber selber scripten (im Gegensatz zu CMS???)
 
*  Eigene Aktionen Dokumentieren: Gespräche/Einweisungen mit neuen Mitarbeitern/Azubis sind hilfreiche Indikatoren wo geschummelt wurde
 
*  Eigene Aktionen Dokumentieren: Gespräche/Einweisungen mit neuen Mitarbeitern/Azubis sind hilfreiche Indikatoren wo geschummelt wurde
 
*  Ätzend: Wenn das Log zu voll ist (Debug-Mode? PHP-Errors?) um zu ...
 
*  Ätzend: Wenn das Log zu voll ist (Debug-Mode? PHP-Errors?) um zu ...
*  Link zu Congress-Vortrag: SELinux kommt noch?
+
*  Link zu Congress-Vortrag: Hier? [http://media.koeln.ccc.de/search?query=selinux&submit=Search%21&sort=swishrank SELinux]
 
*  Google mal nach: "FreeBSD Advisories", automatische Kontrolle aktueller Security-Meldungen
 
*  Google mal nach: "FreeBSD Advisories", automatische Kontrolle aktueller Security-Meldungen
 
*  Benachrichtigungen: Ketten bilden, Kompetenz beachten
 
*  Benachrichtigungen: Ketten bilden, Kompetenz beachten
Line 25: Line 25:
 
== Probleme ==
 
== Probleme ==
 
*  ''IPv6'': entweder ausschalten oder richtig filtern (Immernoch problematisch!)
 
*  ''IPv6'': entweder ausschalten oder richtig filtern (Immernoch problematisch!)
*  ''Default-Dienste''? "Das ist ja auch OpenSuse, was meinst Du woher der Name kommt."
+
*  ''Default-Dienste''? "Das ist ja auch ''Open''Suse, was meinst Du woher der Name kommt."
 
 
  
 
== Fragen ==
 
== Fragen ==
 
*  ''Selber scripten oder nicht?'' Das muss wohl jeder für sich entscheiden. Komplexe und große Systeme eher nicht (CMS), kleine Verwaltungstools eher doch (statt Plesk und Consorten).
 
*  ''Selber scripten oder nicht?'' Das muss wohl jeder für sich entscheiden. Komplexe und große Systeme eher nicht (CMS), kleine Verwaltungstools eher doch (statt Plesk und Consorten).
*  ''SHH erst nach Knocking: bringt das was oder ist das nur obscurity?'' Obscurity! Probleme: Knocking-Pakete sind eine Einladung, Timeouts/RaceConditions, Kompliziert und ein Script zum Öffnen ist eine neue Sicherheitslücke.
+
*  ''SSH erst nach Knocking: bringt das was oder ist das nur obscurity?'' Obscurity! Probleme: Knocking-Pakete sind eine Einladung, Timeouts/RaceConditions, Kompliziert und ein Script zum Öffnen ist eine neue Sicherheitslücke.
 
*  ''Virtuoso einsetzen?'' Ja, kostet aber Geld. (openVZ leider nicht so toll)
 
*  ''Virtuoso einsetzen?'' Ja, kostet aber Geld. (openVZ leider nicht so toll)

Latest revision as of 18:02, 4 February 2008

Folien und eine Linkliste gibt es auf ampersize.org

Es gibt auch eine Lokale Kopie der Folien

Notizen zum Vortrag

Mache BACKUPS, aber sicher!

  • zu: "XSS ist nicht schlimm" siehe Hintergrund auf Heise-Security
  • interessante Firefox-Extension: Tamper-Data zum Bearbeiten der zu sendenden Formulardaten vor dem Übertragen an den Server
  • Link zu PHP-Hardening-Projekt: http://www.hardened-php.net/
  • "Nichts hält besser als ein Provisorium, deshalb ist Gaffa-Tape so beliebt!"
  • Zu faul eigene, sichere Passwörter auszudenken? pwgen oder apg!
  • "Ehemaliger Chef schaltet abends den Web-Server aus und morgens wieder an, damit er nachts nicht gehackt werden kann."
  • Beim regelmäßigen Checks (Firmware-Updates, Rechte, Erreichbarkeit etc.) die Drucker nicht vergessen!
  • Gewarnt sei vor: Plesk, Webmin, etc. Lieber selber scripten (im Gegensatz zu CMS???)
  • Eigene Aktionen Dokumentieren: Gespräche/Einweisungen mit neuen Mitarbeitern/Azubis sind hilfreiche Indikatoren wo geschummelt wurde
  • Ätzend: Wenn das Log zu voll ist (Debug-Mode? PHP-Errors?) um zu ...
  • Link zu Congress-Vortrag: Hier? SELinux
  • Google mal nach: "FreeBSD Advisories", automatische Kontrolle aktueller Security-Meldungen
  • Benachrichtigungen: Ketten bilden, Kompetenz beachten
  • Thorsten Holz: Beste Quelle zum Thema Botnetz-Angriffe: http://honeyblog.org/
  • Nette Pseudo-Buchcover "selber machen": http://www.oreillymaker.com/

Probleme

  • IPv6: entweder ausschalten oder richtig filtern (Immernoch problematisch!)
  • Default-Dienste? "Das ist ja auch OpenSuse, was meinst Du woher der Name kommt."

Fragen

  • Selber scripten oder nicht? Das muss wohl jeder für sich entscheiden. Komplexe und große Systeme eher nicht (CMS), kleine Verwaltungstools eher doch (statt Plesk und Consorten).
  • SSH erst nach Knocking: bringt das was oder ist das nur obscurity? Obscurity! Probleme: Knocking-Pakete sind eine Einladung, Timeouts/RaceConditions, Kompliziert und ein Script zum Öffnen ist eine neue Sicherheitslücke.
  • Virtuoso einsetzen? Ja, kostet aber Geld. (openVZ leider nicht so toll)