Date: Mon, 6 May 2002 17:43:44 +0100 From: Alex Holst <none@a--area51.dk.lh.bsd-dk.dk> To: bsd-dk@bsd-dk.dk Subject: Re: NetBus/SubSeven toolkit?
Quoting Kristian Rask (krask@mediac.dk):
> > > Så selvom paranoiaen ikke rakte til ssh, så har maskinerne dog
> > > overlevet indtil flere exploits der erblevet fundet siden 3.2 og har
> > > samtidigt været fuldt ud fjern administrerbare. Det er da glimrende..
> >
> > Nej, det er meget, meget dumt. Hvordan ved du ioevrigt at de ikke er
> > blevet brudt ind i?
>
> Hvor i ligger det "meget, meget dumme" ved at anvende et pakkefilter
> til at definere hvem der må tale med hvilke services ?
Det er jo ikke det du goer. I stedet for at opgradere software med
kendte sikkerhedsfejl bruger du et IP filter som eneste forhindring i at
enhver kan bryde ind paa dine maskiner. Det er meget, meget dumt.
Jeg gaar fuldt ind for, at blokere adgang til services der kun skal
bruges internt, men det betyder ikke at det er passende at koere
services med kendte fejl i. Det betyder blot, at naeste gang der bliver
fundet en fejl i noget software kun interne mennesker kan naa, behoever
du ikke styrte ind paa arbejdet midt om natten for at patche dine
maskiner. Du kan sikre dig at servicen ikke er tilgaengelig for resten
af verden og vente til naeste morgen med at reagere.
Men det er dine maskiner, saa det staar dig naturligvis frit at tage mit
raad eller smide det vaek. Nu er det hvertfald givet.
> Når filantallet og block størrelserne er det samme for alle dir pånær
> /var/log og mail og når md5 summerne passer på alle filerne, så tror
> jeg på skuden holder.
Dejligt at se file integrity checkers i brug. De er langt vigtigere end
firewalls og network IDS, men naesten ingen bruger dem.
-- I prefer the dark of the night, after midnight and before four-thirty, when it's more bare, more hollow. http://a.area51.dk/
This archive was generated by hypermail 2b30 : Wed 15 Nov 2006 - 18:24:20 CET