Subject: RE: OpenBSD stripping Date: Fri, 17 Aug 2001 22:03:22 +0200 From: Martin R. Sørensen <none@mrs--javilan.dk.lh.bsd-dk.dk> To: <none@bsd-dk--bsd-dk.dk.lh.bsd-dk.dk>
Det er fordi jeg er ude efter en lille installation der ikke fylder alt
for meget ... til flashdisk... jeg vil samtidig også gerne kunne
installere en OpenBSD som indeholder min egen konfiguration som default
-----Original Message-----
From: Thomas Ammitzbøll-Bach [mailto:tabac@worldonline.dk]
Sent: 17. august 2001 21:13
To: bsd-dk@bsd-dk.dk
Subject: Re: OpenBSD stripping
"Martin R. Sørensen" <none@mrs--javilan.dk.lh.bsd-dk.dk> wrote:
> jeg var ikke ude efter information om firewall men om hvordan man
laver
> en custom installation af OpenBSD... det vil sige strippe OpenBSD for
> alle uønsket programmer / daemons og der efter lave en installations
CD
> med egne config filer, programmer o.s.v, men ellers tak til alle som
har
> svaret.
Hej Martin.
På misc@openbsd.org var dette fornyligt et hedt debatemne, og jeg vil
gerne give mit besyv på dette: Hvad f*nden vil du opnå med en såkaldt
stripning? Der er kun sshd og portmapperen, der kører, når en OpenBSD
er installeret, og der er stort set ingen processer, der kører.
Der hersker en udbredt misforståelse, nemlig at en apache/named/ftpd
whatever udgør en sikkerhedsrisiko. Det gør de ikke! Det gør de kun
hvis de kører, og det gør de ikke som default. Både inetd og
portmapperen er auditeret flere gange og det er ikke her, du skal lede
efter sikkerhedsbrister. Det er i en firewall-installation oftere
kernens tcp/ip-stak, pf/ipf og andet kerneguf. Er du bange for inetd
og portmapperen, kan den nemt gøres arbejdsløb i rc.conf .
Mit forslag er dette:
o Hold dig ajour med http://www.openbsd.org/errata.html og løs de
problemer, der vedrører dig.
o Overvov din firewall. Check dine logs. Er den som den plejer?
Nok kan man skjule et angreb med de fleste root-kits, men dem,
der dagligt gøder og vander deres servere, ved når der er noget
galt. Log evt. til en syslogger på en anden maskine indenfor
firewallen.
o Lav en plan for genetablering. Hvis du laver et ghostimage,
en "dd if=/dev/rhd0c | gzip -c | dd of=/dev/st0" eller noget
andet, der hurtigt kan genetablere din firewall, kan du bruge det
ind i mellem, hvis du føler for det. Der er intet at stille
op med en firewall, der jævnligt genetableres. Hvis du laver
ændringer i din firewall, så genetabler først, lav ændringerne,
test og lav et nyt image.
o Køb to harddiske, gerne små, billige restvarer, og monter den
ene read-only (jumper på harddisken). Hvis du er rigtig fræk,
monterer du en lille vippekontakt (eller anvender en evt. gammel
"turbo"-knap) på fronten af kabinettet. Nu skal man have fysisk
adgang til maskinen for at ændre på harddisken. Brug den anden
disk til /tmp, /var og swap.
Det er her, man anvender sin tid korrekt. Det andet er ikke tiden
værd. Hvis man har for meget tid til sin rådighed, så kan man jo hjælpe
med at auditere kildetekster, for det er her det virkelig batter.
-- <!------------------------------ 72 chr -------------------------------> Thomas Ammitzbøll-Bach -- Perl/Unix Consultant
This archive was generated by hypermail 2b30 : Wed 15 Nov 2006 - 18:24:13 CET