Ein sehr interessanter Artikel über die Sicherheit von FreeBSD 4.8 und was man zu beachten hat, ist hier erschienen:
http://sddi.net/FBSDSecCheckList.html
http://sddi.net/FBSDSecCheckList.html
FreeBSD Sicherheitscheckliste
- Ersteller marzl
- Erstellt am
lars
vom mars
Hi all,
Wollte nur kurz anmerken, dass man, wenn man unter Punkt 9
in der /etc/fstab wirklich "noexec" eingetragen hat:
/dev/ad0s1f /tmp ufs rw,noexec 2 2
der Befehl
#make installworld
nicht funktioniert, da temporär Dateien dorthin kopiert und kompiliert werden.
Ist mir gestern passiert ;-)
Gruss,
Lars.
Wollte nur kurz anmerken, dass man, wenn man unter Punkt 9
in der /etc/fstab wirklich "noexec" eingetragen hat:
/dev/ad0s1f /tmp ufs rw,noexec 2 2
der Befehl
#make installworld
nicht funktioniert, da temporär Dateien dorthin kopiert und kompiliert werden.
Ist mir gestern passiert ;-)
Gruss,
Lars.
CW
Netswimmer
Das Kompilieren eines neuen Systems sollte man ja auch auf einer anderen, plattformgleichen Maschine ausführen und dann z.B. mit rsync auf der zu sichernden Maschine alle neuen Dateien aufspielen.
Das System das gesichert werden soll, soll keine Gelegenheit für potentielle Eindringlinge bieten, dass sie ihre eigenen Programme (Rootkits?) dort kompilieren und ausführen.
Gruß
CW
lars
vom mars
Heisst hier plattformgleich CPU-gleich?
Die Lösung mit einer zweiten Maschine+rsync tönt zwar auch noch cool,
aber kann man so wirklich ein laufendes System updaten?
Wenn empfohlen wird nach
#make installkernel
in den Single-User Modus zu gehen,
wie wird per rsync die neu gemachte installierte Welt auf das System gebracht, oder kann man nach
#make installkernel
#shutdown now
auslassen und im laufenden Betrieb die Programme überschreiben?
Oder man geht nach
#cvup /path/to/supfile
offline und baut sich seine Welt zusammen.
Gruss,
Lars.
Die Lösung mit einer zweiten Maschine+rsync tönt zwar auch noch cool,
aber kann man so wirklich ein laufendes System updaten?
Wenn empfohlen wird nach
#make installkernel
in den Single-User Modus zu gehen,
wie wird per rsync die neu gemachte installierte Welt auf das System gebracht, oder kann man nach
#make installkernel
#shutdown now
auslassen und im laufenden Betrieb die Programme überschreiben?
Oder man geht nach
#cvup /path/to/supfile
offline und baut sich seine Welt zusammen.
Gruss,
Lars.
CW
Netswimmer
Solange sich in der Treiberwelt nicht viel ändert (also wenn z.B. dieselben Netzkarten weiterhin genutzt werden) reicht dieselbe Plattform (i386, alpha, sparc usw.)
Ich wüsste nicht, warum dies nicht gehen sollte.
Du installierst einfach eine zusätzliche Netzkarte und gibst ihr z.B. eine no-route-ip, und auf der Compile-Maschine setzt du auch eine no-route-ip Netzkarte aus dem gleichen Adressbereich ein. Und wenn du auf der Compile-Maschine fertig bist, dann überträgst du mit rsync alles was neu ist auf die eigentliche Maschine.
Man kann die Programme auch im laufenden Betreib überschreiben. Zumindest geht dies mit OpenBSD. Ich weiß nicht, wie pingelig FBSD ist.
Doch als root dürftest du ja sowieso alles machen können
Kann man auch machen.
Das ist eben das gute an *BSD, dass es mehrere Wege zu einem Ziel gibt. und meistens ist da die Entscheidung eher eine Frage des Geschmacks als der Technik
Viele Grüße
CW
lars
vom mars
Reicht es also nicht nur die gleiche Architektur (i386, alpha, sparc) zu haben, sondern die CPU (p2/p3/p4) und die /dev müssen auch gleich sein?
Unter OpenBSD wird ja, IIRC, eh der generische Kernel empfohlen,
damit ist nur die Maschinen Architektur wichtig.
(Was dich natürlich nicht daran hindert den Kernel zu tunen und neu
zu kompilieren.)
Da kenn ich mich nicht so gut aus, ich dachte den Programmen dürften nicht die Bibliotheken unter dem Ar... weggezogen werden, bzw. sie werden nicht komplett in den Speicher geladen, sondern lesen ab und zu von der HDD ihre weiteren Instruktionen/Codeteile.
Wenn du mich erleuchten könntest... hehe.
Da kann ich nur zustimmen und so logisch nachvollziehbar, das lob ich mir an den *BSDs ;-)
Gruss,
Lars
CW
Netswimmer
wenn die Compile-Maschine nicht dieselbe CPU hat, dann kann es zu Problemen hinsichtlich der Performance (und nicht nur das) kommen. Die Compile-Maschine sollte ja auch so eine Art "Zwilling" der zu sichernden Maschine sein.
Denn diese Methode (mit rsync) wendest du ja aus zwei Gründen an:
1.) Mehr Sicherheit aufgrund des Verzichts auf Compile-Vorgänge (und somit Compile-Software) auf der zu sichernden Maschine.
2.) Mehr Speed, weil die Maschine nur noch das macht, was sie auch machen sollte (z.B. Routing, Firewalling usw.) und nicht immer wieder mal langwieriges Compilieren.
Ich weiß, dass unter OpenBSD der GENERIC-Kernel empfohlen wird, ist jedoch hier nicht von Wichtigkeit, weil es hier eher um ein Verfahren geht, wie man System-Updates auf die zu sichernde Maschine rüberbringt, ohne sie zu gefährden bzw. ohne unnötige (möglicherweise ausnutzbare) Software auf ihr zu halten.
Ausserdem empfehlen die Jungs von OBSD den GENERIC-Kernel deswegen, weil er am besten gecheckt worden ist und jedes Neu-Basteln eben Risiken mit sich bringt.
Das ist aber eine andere Sache.
Wenn ein Programm seine Bibliotheken abgelesen hat, so befindet sich diese entweder im Speicher oder wird kurzfristig im Swap abgelegt. *BSD-Systeme lesen nicht immer wieder die Sachen aus, wenn sie sie brauchen.
Ich kann dich nicht erleuchten
Bin es selber nicht
Ich kann dir aber empfehlen, http://www.google.de/bsd zu benutzen und/oder die FAQs/Handbooks zu lesen.
Stimmt
Gruß
CW