Debian Etch Webserver secure?

    Hallo Jungs,

    titel sagts schon. An unsere Experten: Würdet Ihr einen mit Debian Etch laufenden Server als Sicher bezeichnen?

    Viele Grüße

    FS03

    Einmal editiert, zuletzt von FS03 (24. April 2012 um 12:25)

    Kommt auch stark drauf an, was drauf läuft.. Sicherheit is immer relativ. Wenn zum Beispiel auch noch veraltete PHP CMS oder so drauf laufen (mit Apache, MySQL usw.) dann kanns schon sein daß es einige mögliche SQL Injection Attacken gibt. Wenn ich mir so die letzten Security Bulletins von RedHat durchschaue, nur Mal so als Momentaufnahme, dann waren da z.B. einige kritische Lücken in Samba (Crash & root), X11 (bypass der Bildschirmsperre durch Tastencombo), und ewig viele potentielle DoS Lücken.

    Auch einen netten Kernel Bug mit Proof of Concept Code gabs erst vor wenigen Monaten (root access als Resultat). Dazu mußt halt schon Mal eine lokale Shell haben..

    Wennst nur einen SSH Port nach außen offen hast, und wenn nur vertrauenswürdige Leute direkt auf der Kiste arbeiten, dann würd ich vorsichtig "ja, wahrscheinlich schon" sagen. Viele Server sind ja auch einfach nur deshalb sicher, weil's keine Sau interessiert, ein unbedeutendes Ziel anzugreifen...

    1-6000-banner-88x31-jpg

    Stolzer Besitzer eines 3dfx Voodoo5 6000 AGP Prototypen:

    • 3dfx Voodoo5 6000 AGP HiNT Rev.A-3700

    [//wp.xin.at] - No RISC, no fun!

    QotY: Girls Love, BEST Love; 2018 - Lo and behold, for it is the third Coming; The third great Year of Yuri, citric as it may be! Edit: 2019 wasn't too bad either... Edit: 2020... holy crap, we're on a roll here~♡!

    Quote Bier.jpg@IRC 2020: "Je schlimmer der Fetisch, desto besser!"

    Handelt sich um einen Webserver mit php und mysql. Beides sind zugegeben recht alte Versionen. Zudem wird openssl verwendet, auch dies in einer alten Version, was aber laut Provider nicht mehr updatebar ist ohne auf eine neuere Version von Debian zurückgreifen zu müssen. Von aussen hat niemand direkten zugriff auf den Server, geschweige denn root.

    Also hast "das Internet" als direkten Angreifer schon Mal ausgeschlossen. Dann wird es Zeit, das Bedrohungsmodell zu definieren: Wie fähig sind die Leute innerhalb der Firma oder Institution im Gebiet des Einbruchs in Systeme, welche Motivation könnten sie haben, den Server anzugreifen (Bereicherung, Spaß an der Herausforderung, Vorsätzliche Schädigung).

    Wenn du eine Bude voller Elitehacker hast, die sich gerne Mal einen Spaß mit der eigenen Infrastruktur erlauben, ist die Bedrohung wohl nicht zu verachten. Wenn aber nur normale, halbwegs zufriedene Bürohengste rumlaufen, die froh sind wenn sie ned mehr machen müssen als das was ihnen aufgetragen wird, ist die Bedrohung wohl vernachlässigbar..

    Bei root ist die Gefahr auch in der Regel nicht dadurch gegeben, daß zuviele Leute das Passwort haben, sondern daß sich jemand den root Status einfach über eine Sicherheitslücke in irgendeinem Tool oder Service holt, der mit root Rechten läuft..

    1-6000-banner-88x31-jpg

    Stolzer Besitzer eines 3dfx Voodoo5 6000 AGP Prototypen:

    • 3dfx Voodoo5 6000 AGP HiNT Rev.A-3700

    [//wp.xin.at] - No RISC, no fun!

    QotY: Girls Love, BEST Love; 2018 - Lo and behold, for it is the third Coming; The third great Year of Yuri, citric as it may be! Edit: 2019 wasn't too bad either... Edit: 2020... holy crap, we're on a roll here~♡!

    Quote Bier.jpg@IRC 2020: "Je schlimmer der Fetisch, desto besser!"

    2 Mal editiert, zuletzt von GrandAdmiralThrawn (25. April 2012 um 08:59)

    Vielen schon mal GAT,

    ich hab mich eben in einem Teil unverständlich ausgedrückt. Ich meinte mit keinen Zugriff von aussen, dass aus dem Web kein Zugriff zur Administration besteht. Sonst ist der Server normal als Webserver für Kunden erreichbar.

    Viele Grüße

    Max

    Ist das ein Server, auf dem Kunden selber ihre eigenen PHP Skripte hochladen und ihre Datenbanken verwalten können (quasi ein ISP Webserver), oder rufen die Kunden nur bestehende Webseiten ab, die intern verwaltet werden?

    1-6000-banner-88x31-jpg

    Stolzer Besitzer eines 3dfx Voodoo5 6000 AGP Prototypen:

    • 3dfx Voodoo5 6000 AGP HiNT Rev.A-3700

    [//wp.xin.at] - No RISC, no fun!

    QotY: Girls Love, BEST Love; 2018 - Lo and behold, for it is the third Coming; The third great Year of Yuri, citric as it may be! Edit: 2019 wasn't too bad either... Edit: 2020... holy crap, we're on a roll here~♡!

    Quote Bier.jpg@IRC 2020: "Je schlimmer der Fetisch, desto besser!"

    Immerhin, dann isses ned ganz so schlimm, wenigstens kann ned gleich jeder Depp PHP Code ausführen wie er will. In so einem Fall würde ich mich vielleicht sogar weniger um die Serversoftware sorgen, als um die Shopsoftware. Derartige Software hat ja des öfteren Mal Lücken, speziell im SQL Injection Bereich (klassisch). Daher denke ich, daß mit einem aktuell Halten der Shopskripte schon sehr viel erreicht ist. Die sollten im Optimalfall auch keine all zu schlimmen System-Abhängigkeiten haben, es sei denn neuere Versionen brauchen zwingend ein bestimmtes PHP oder SQL.

    Natürlich isses dennoch ein wenig riskant, einen veralteten Apache + veraltetes SSL zu fahren, aber hier kann man wenigstens dafür sorgen, daß der Server nirgendwo seine Versionsinfos ausspuckt.

    Grade geschaut, seit Mitte 2011 gab es zwar mehrere Lücken im Apache mit CVSS Level "Important" (DoS Zeug meist), aber keine "Critical" Geschichten a la root Access und Arbitrary code execution als root. Wahrscheinlich läuft euer httpd eh sowieso nicht als root.

    Bei PHP gabs mehrere Criticals, aber solang niemand Code einschleusen kann, sollte das ned "so" schlimm sein.

    Leider hab ich keine Aufzeichnungen von vor Mai 2011 mehr...

    1-6000-banner-88x31-jpg

    Stolzer Besitzer eines 3dfx Voodoo5 6000 AGP Prototypen:

    • 3dfx Voodoo5 6000 AGP HiNT Rev.A-3700

    [//wp.xin.at] - No RISC, no fun!

    QotY: Girls Love, BEST Love; 2018 - Lo and behold, for it is the third Coming; The third great Year of Yuri, citric as it may be! Edit: 2019 wasn't too bad either... Edit: 2020... holy crap, we're on a roll here~♡!

    Quote Bier.jpg@IRC 2020: "Je schlimmer der Fetisch, desto besser!"