From: jlouis@jlouis.dk Date: Wed, 22 Aug 2001 18:48:09 +0200 To: bsd-dk@bsd-dk.dk Subject: Re: OpenBSD stripping
On Fri, Aug 17, 2001 at 08:53:58AM +0200, Henrik Kramshøj wrote:
> Jeg vil gerne høre hvad du finder ud af, da OpenBSD i standard
> installationen
> efter min mening er mere usikker end eksempelvis NetBSD
> - - der er mere end en port åben i OpenBSD 2.9, mens NetBSD har det
> rigtige antal
> porte åben efter installation, dvs ingen! Du kan kun pinge en NetBSD
> efter
> default install, sejt og et godt udgangspunkt for en sikker server.
Jeg er ikke enig. Enhver installation boer gennemgaas og tilpasses den
produktion den skal indgaa i. Hardening er ikke at laase alle porte af.
Hardening er at sikre at serveren kan levere de tjenester, den er
tilegnet.
Jeg kan derfor ikke lide ``standard hardening scripts''. Det er ikke en
undersoegelse af, hvad _jeg_ som person skal bruge. Derfor skal man IMO
ikke betragte standardinstallationen. Betragt istedet en version, hvor
der er ryttet op. Jeg vil hellere have en liste over ideer, end en
faerdigt system.
Ideer:
qmail istedet for sendmail
ucspi-tcp/daemontools istedet for inetd
djbdns istedet for bind
publicfile istedet for apache/etc.
ud med r* services. Ud med sendmail, bind, telnetd, etc.
Men igen... hvis du er noedt til at have dynamik i din hjemmeside, kan
publicfile ikke benyttes. Saa flytter kravene til det sikre system sig.
-- Jesper
This archive was generated by hypermail 2b30 : Wed 15 Nov 2006 - 18:24:13 CET