From: "Jesper Louis Andersen" <none@jlouis--mongers.org.lh.bsd-dk.dk> Date: Thu, 24 Feb 2005 22:47:28 +0100 To: bsd-novice@bsd-dk.dk Subject: Re: Sikkedhedspatches og opgraderinger...
Quoting Torben Wölm (torben.wolm@europe.lego.com):
> Mange steder har jeg læst at man ikke bør installere en compiler på en server, der skal være virkelig sikker (fx firewall), fordi en evt. cracker ville nyde at finde et fungerende udviklingsmiljø på den server han lige er brudt ind i.
Og hvis han ikke finder et udviklingsmiljoe, hvor mange resourcer tager det
saa at skaffe sig et paa en i386, OpenBSD? Jeg tror du kan ramme 3 typer af
indtraengere:
* Dem, der har resourcer. For denne type er det naeppe et problem. Det er
korrekt at du saenker deres hastighed saa du maaske kan opdage dem. Men -
det er forudsat at de ikke har gaettet at det er en OpenBSD/i386 de
angriber. Hvis du har resourcer, saa ved du saadan noget i forvejen.
* Dem, der bare leger scriptkiddiot og kommer ind. Denne type har det med
at inficere mange maskiner automatiseret. Lur mig om ikke det foerste
de goer at at finde ud af maskintypen, hente et binary rootkit, der passer,
og saa bare er ligeglade?
* Mig. Jeg uploader Fabrice Bellards tinyCC
(http://fabrice.bellard.free.fr/tcc/), eller passende version af den, og
saa har jeg en compiler alligevel. Saa uploader jeg source koden for
/sbin/init med et par passende aendringer, saaledes at der i syslog skrives
``jlouis was here'' hver gang den store og lille viser passerer hinanden
paa en urskive. Bare for at bevise det kan lade sig goere ;) Ganske vist
skal det vaere en static-binary, men det viser meget godt hvor svaert det
er at sikre sig.
Du vil gerne have en buildhost af helt andre grunde. Det er langt mere
tilfredsstillende at have en maskine i netvaerket hvis eneste formaal er
at opgradere de andre. For det foerste kan du centralisere dine eventuelle
patches og dokumentation af build. For det andet belaster du ikke dine
produktionsmaskiner med oversaettelser. For det 3. Kan du lave ordentlig
test af dine releases foer du ruller dem ud.
En anden god grund til ikke at have en oversaetter er af pladshensyn. Men med
dagens harddiske er det ikke noget specielt godt bud, med mindre du vil
goere dine firewalls staerke ved ikke at give dem nogen mekaniske dele
(laes: CF-kort).
Mangel af compiler er endnu et lag i skallen af sikkerhed som en indtraenger
skal bryde igennem. Men det er ikke et lag man skal bruge unoedvendigt megen
tid paa, for der er sandsynligvis staerkere ting tilgaengeligt for en meget
lille investering. En bridging firewall, hvor der kun er adgang fra en
trusted host paa et 3. NIC kan vaere ret fedt og goere livet meget surt for
en indtraenger, etc.
-- jlouis
This archive was generated by hypermail 2b30 : Wed 15 Nov 2006 - 18:25:11 CET