From: Henrik Kramshøj <none@henrik.kramshoj--vigilante.com.lh.bsd-dk.dk> To: "'bsd-dk@bsd-dk.dk'" <none@bsd-dk--bsd-dk.dk.lh.bsd-dk.dk> Subject: RE: OpenBSD stripping Date: Sat, 18 Aug 2001 23:12:04 +0200
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1
Hej Thomas
For det første synes jeg det er OK at Martin bruger sin tid
på at lave en tilpasset version af OpenBSD
- - jeg synes det er lidt hæmmende at man kun kan vælge mellem
de eksisterende tgz filer - der alle indeholder mange forskellige
ting. De er gode til en arbejdsstation, men mange programmer ville
ikke blive brugt på en lille mini-mini boks der blot laver kaffe
eller virker som firewall.
For det andet er der efter min mening FOR mange potentielle
sårbarheder
i så godt som alle OS installationer idag. Nu går snakken på OpenBSD
og personligt mener jeg det er horribelt at et OS med fokus på
sikkerhed
har åbne porte efter default install
- - prøver Theo rent faktisk at få skudt rekorden ned ? :-), "Four
years
without a remote hole in the default install!"
NetBSD har den rigtige indstilling med INGEN porte åbne.
- - du ved hvad den skal bruges til, du åbner det du skal bruge :-)
En åben port er en dør man kan banke på, og hvad enten næste måneds
sårbarhed minder om SYN flooding eller andet gør en åben port
serveren
mere sårbar end en lukket - faktum!
Skal man gå i detaljer er et svar på ICMP Timestamp en sårbarhed
- - kører din servers tid ikke synkront med andre servere kan du ikke
samholde log filer med andre systemer - og glem alt om at overbevise
en dommer om noget ...
Til gengæld giver OpenBSD gennemgang af koden, og de andre tiltag
Theo (og resten af teamet gør) bonus på andre punkter - spørg mig på
torsdag så skal jeg prøve at give eksempler.
Mvh
Henrik Lund Kramshøj
henrik.kramshoj@vigilante.com
Reklame:
Har du gammelt Unix hardware, plakater andet så skriv lige til mig!
Jeg/vi vil gerne låne det en dag til www.uptime1.dk
Har det historisk interesse i Unix så skriv!
Group Manager/Security Engineer
___________________
VIGILANTe - Assuring Internet Security
www.vigilante.com
Company Phone +45 7020 6565
Direct Phone +45 7731 6584
Mobile Phone +45 2026 6000
- -----Original Message-----
From: Thomas Ammitzbøll-Bach [mailto:tabac@worldonline.dk]
Sent: 17. august 2001 21:13
To: bsd-dk@bsd-dk.dk
Subject: Re: OpenBSD stripping
"Martin R. Sørensen" <none@mrs--javilan.dk.lh.bsd-dk.dk> wrote:
> jeg var ikke ude efter information om firewall men om hvordan man
> laver en custom installation af OpenBSD... det vil sige strippe
> OpenBSD for alle uønsket programmer / daemons og der efter lave en
> installations CD med egne config filer, programmer o.s.v, men
> ellers tak til alle som har svaret.
Hej Martin.
På misc@openbsd.org var dette fornyligt et hedt debatemne, og jeg vil
gerne give mit besyv på dette: Hvad f*nden vil du opnå med en
såkaldt
stripning? Der er kun sshd og portmapperen, der kører, når en
OpenBSD
er installeret, og der er stort set ingen processer, der kører.
Der hersker en udbredt misforståelse, nemlig at en apache/named/ftpd
whatever udgør en sikkerhedsrisiko. Det gør de ikke! Det gør de kun
hvis de kører, og det gør de ikke som default. Både inetd og
portmapperen er auditeret flere gange og det er ikke her, du skal
lede
efter sikkerhedsbrister. Det er i en firewall-installation oftere
kernens tcp/ip-stak, pf/ipf og andet kerneguf. Er du bange for inetd
og portmapperen, kan den nemt gøres arbejdsløb i rc.conf .
Mit forslag er dette:
o Hold dig ajour med http://www.openbsd.org/errata.html og løs de
problemer, der vedrører dig.
o Overvov din firewall. Check dine logs. Er den som den plejer?
Nok kan man skjule et angreb med de fleste root-kits, men dem,
der dagligt gøder og vander deres servere, ved når der er noget
galt. Log evt. til en syslogger på en anden maskine indenfor
firewallen.
o Lav en plan for genetablering. Hvis du laver et ghostimage,
en "dd if=/dev/rhd0c | gzip -c | dd of=/dev/st0" eller noget
andet, der hurtigt kan genetablere din firewall, kan du bruge
det
ind i mellem, hvis du føler for det. Der er intet at stille
op med en firewall, der jævnligt genetableres. Hvis du laver
ændringer i din firewall, så genetabler først, lav ændringerne,
test og lav et nyt image.
o Køb to harddiske, gerne små, billige restvarer, og monter den
ene read-only (jumper på harddisken). Hvis du er rigtig fræk,
monterer du en lille vippekontakt (eller anvender en evt.
gammel
"turbo"-knap) på fronten af kabinettet. Nu skal man have
fysisk
adgang til maskinen for at ændre på harddisken. Brug den anden
disk til /tmp, /var og swap.
Det er her, man anvender sin tid korrekt. Det andet er ikke tiden
værd. Hvis man har for meget tid til sin rådighed, så kan man jo
hjælpe
med at auditere kildetekster, for det er her det virkelig batter.
- --
<!------------------------------ 72 chr
- ------------------------------->
Thomas Ammitzbøll-Bach -- Perl/Unix Consultant
-----BEGIN PGP SIGNATURE-----
Version: PGP 7.0.1
iQA/AwUBO37bDHhf7VqeYiTFEQJu0QCfWgVTtmnc7LzMjN4dCfxjdmjLjfcAnA0h
cPYCKvda7a3Yo6eVThRdWRXG
=ad9s
-----END PGP SIGNATURE-----
>>>> VIGILANTe.com NOTICE - AUTOMATICALLY INSERTED <<<<
The information transmitted is intended only for the person or entity to
which it is addressed and may contain confidential and/or privileged
material. Any review, retransmission, dissemination or other use of, or
taking of any action in reliance upon, this information by persons or
entities other than the intended recipient is prohibited.
Any opinions expressed in this email are those of the individual and not
necessarily the Company.
If you receive this transmission in error, please email to
postmaster@vigilante.com, including a copy of this message. Please then
delete this email and destroy any copies of it.
>>>>>>>>>>>>>>>>>>>>>>>>>> DISCLAIMER END <<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<
This archive was generated by hypermail 2b30 : Wed 15 Nov 2006 - 18:24:13 CET