Hallo,

Ich arbeite als wissenschaftliche Hilfskraft, und betreue zusammen mit zwei Kollegen insgesamt 4 Server (davon 2 Fakultätsserver). Wir bekommen nun in den nächsten Tagen (hoffentlich !!) einen neuen Server, welchen wir mit Suse Linux betreiben wollen. Bis jetzt sind wir noch unentschlossen, ob wir die Professional Version der Distribution oder den Enterprise Server nehmen sollen. Bisher konnten wir in Artikeln und sonstigen Infos auf der Suse-Seite keine konkreten Angaben finden, ob der SLES 8 gegenüber der normalen Distribution wesentlich bessere Sicherheitsfunktionen hat (da wir uns überlegen RSBAC oder Systrace einzusetzen, sind v.a. Sicherheitsfunktionen interessant, die nicht spezielle Kernelmodifikationen angewiesen sind).
Der Server dient hauptsächlich als Webserver (Apache), Fileserver (Samba; darüber aktualisieren die Webmaster der Lehrstühle ihre Seiten), (kleiner) Datenbankserver (MySQL; dient hauptsächlich für dynamische Webseiten) und sekundärer DNS-Server (Bind, oder eine etwas sicherere Variante). Die Webseiten werden mittels NFS auf einen Backupserver (läuft unter AIX 4.3 und beinhaltet einen einsatzbereiten Apache) gespiegelt/gemountet.

Nach der Lektüre einiger Artikel des Linux-Magazines bezüglich Möglichkeiten, die Sicherheit unter Linux zu verbessern, schienen uns RSBAC oder Systrace interessante Lösungen zu sein.
Bisher konnten wir allerdings diese Lösungen aus Zeitgründen und Softwareproblemen (bei Tests mit RSBAC kam es unter Suse 8.2 ständig zu Kompilierfehlern bei den Admin-Tools (1.2.1) oder beim Kernel (1.2.2)) noch nicht ausprobieren :(.

Somit stellt für uns folgende Frage:
Sind RSBAC und Systrace für einen Fakultätsserver mit den oben genannten Aufgabengebieten eine angemessene Sicherheitslösung, oder sind sie dafür viel zu groß und kompliziert ausgelegt ?

Vielen Dank im voraus.

Mit freundlichen Grüßen,
Patrique Wolfrum

Zuerst vorneweg: Ich habe keine Erfahrung mit Systemen dieser Grösse.

Die Frage ist, gegen was der Rechner abgesichert werden muss.
Als Alternative zu RSBAC gilt LIDS und grsec. Welches besser ist, kann ich dir nicht sagen. RSBAC und LIDS scheinen in etwa gleich gut zu sein.

Weiterhin ist es empfehlenswert einen Schutz gegen BOFs (Buffer Overflows) zu verwenden, da eine nicht geringe Anzahl von Sicherheitslücken auf diese Art der Verwundbarkeit beruht.

Hier im Forum wurden schon einige Diskussionen über dieses Thema geführt. Suche doch einmal nach RSBAC und LIDS, sowie OpenWall (nacheinander, nicht und verknüpft). joey.brunner hier im Forum hat in diesem Bereich Erfahrung, ich würde seine Beiträge mehr Beachtung schenken.

Gruss, Andy

Hallo,


Original geschrieben von RapidMax
Zuerst vorneweg: Ich habe keine Erfahrung mit Systemen dieser Grösse.

Die Frage ist, gegen was der Rechner abgesichert werden muss.
Als Alternative zu RSBAC gilt LIDS und grsec. Welches besser ist, kann ich dir nicht sagen. RSBAC und LIDS scheinen in etwa gleich gut zu sein.

Weiterhin ist es empfehlenswert einen Schutz gegen BOFs (Buffer Overflows) zu verwenden, da eine nicht geringe Anzahl von Sicherheitslücken auf diese Art der Verwundbarkeit beruht.

Hier im Forum wurden schon einige Diskussionen über dieses Thema geführt. Suche doch einmal nach RSBAC und LIDS, sowie OpenWall (nacheinander, nicht und verknüpft). joey.brunner hier im Forum hat in diesem Bereich Erfahrung, ich würde seine Beiträge mehr Beachtung schenken.

Vielen Dank für die hilfreichen Tips.

Zu unserem System:

Die Server sind alle zusammen an einem Switch angeschlossen, welcher mit einer Netzwerkkarte unseres Firewall-Rechners verbunden ist. Dieses System läuft unter OpenBSD.
Wir wollen nun bei der Umstellung auf den neuen Server auch einen Überwachungsrechner installieren, welcher als Remote-Logging-Rechner arbeiten soll, und auch die Funktion der von den Servern angebotenen Services überwacht und ggf. uns benachrichtigt.
Unser neuer Server wird als Hauptaufgabe das Angebot der Webseiten der Lehrstühle haben. Der Zugriff seitens der Webmaster auf deren Seiten geschieht nur über Samba. Einen Shell-Zugang erhalten nur wir Admins, und Lehrstuhl-Assistenten, wo dies unbedingt notwendig ist.

Nach Durchsicht der Beiträge denke ich, dass folgende Kombination recht vielversprechend sein dürfte:

RSBAC + Systrace + PaX/OpenWall

Bei RSBAC hat mir gegenüber LIDS das Administrationstool von RSBAC, welches das Erstellen der Regeln doch etwas vereinfacht, besser gefallen. Systrace dürfte als Ergänzung zu RSBAC gute Arbeit leisten.
Bei dem Schutz gegenüber Buffer Overflows bin ich noch etwas schwankend zwischen OpenWall und Pax, allerdings scheint Pax (lt. der Seite von TrustedDebian)einen höheren Funktionsumfang zu bieten.

Die Frage ist jetzt nur, ob sich die Patches miteinander vertragen. Gibt es dazu schon Erfahrungen ?

Vielen Dank im voraus.

Mit freundlichen Grüßen,
Patrique Wolfrum

Hi,

auf www.adamantix.org gibt es das ehemalige "Trusted Debian" Projekt welches viele Security Features wie RSBAC bereits eingebaut hat. ausserdem W^X (wenn ich mich recht erinnere). Vielleicht wäre das eine Alternative?
Dort funktioniert es bereits und man müsste nicht erst herausfinden warum sich dieses oder jenes Paket nicht kompilieren lässt.

Als DNS-Server würde ich den djbdns vorschlagen, der hat keine Sicherheitslücken http://cr.yp.to

Ciao, Bernie

Hallo Bernie,


Original geschrieben von bernie
Hi,

auf www.adamantix.org gibt es das ehemalige "Trusted Debian" Projekt welches viele Security Features wie RSBAC bereits eingebaut hat. ausserdem W^X (wenn ich mich recht erinnere). Vielleicht wäre das eine Alternative?
Dort funktioniert es bereits und man müsste nicht erst herausfinden warum sich dieses oder jenes Paket nicht kompilieren lässt.

Als DNS-Server würde ich den djbdns vorschlagen, der hat keine Sicherheitslücken http://cr.yp.to

Vielen Dank für die Tips.

Adamantix hatten wir uns auch schon überlegt, aber nachdem uns seitens des Rechenzentrums der Universität mitgeteilt wurde, dass, da dort hauptsächlich Suse Linux für deren neue Server eingesetzt wird, wir von ihnen, sofern wir auch Suse verwenden, Support erhalten können. Da dies auch unter dem Aspekt, dass wir das System in absehbarer Zeit (3-4 Semester) an unsere Nachfolger übergeben wollen, recht günstig ist, fiel die Wahl auf Suse Linux (erweitert um zusätzliche Sicherheitsfeatures).
Allerdings ist die Entscheidung noch nicht 100%ig final (der Server ist noch nicht geliefert, und die Software noch nicht fest bestellt ;)).

Gibt es schon Erfahrungsberichte zu Adamantix ?

djbdns klingt sehr vielversprechend. Ich werde mich da mal etwas einlesen, wie man die Konfiguration am besten an unsere Bedürfnisse anpasst (secondary DNS Server, auf den allerdings seitens einer anderen Fakultät transfermäßig zugegriffen wird).

Mit freundlichen Grüßen,
Patrique Wolfrum