|
Diese Diskussion wurde archiviert.
Es können keine neuen Kommentare abgegeben werden.
|
 |
|
|
|
|
|
|
|
Gibt es irgendo ein check program, das melden kann ob einen server eine "sichere" openssl version verwendet ? (es gibt zB 0.9.6b versionen die sicher (dank patch) sind).
2e90144d17cf6819fb22006885cd231e
|
|
|
|
|
|
|
|
|
Von Anonymer Feigling am Saturday 14. September, 13:01 MEW (#2)
|
|
|
|
|
ich denke das hat viel damit zu tun wie einfach ein system zu bedienen ist.
den M$ IIS bringt man mit 5 mal auf "weiter >>" klicken auf die festplatte. und dann wartet man eben auf die sp's - wenn überhaupt.
bei linux ist das auch so geworden. man kauft sich ne suse/mandrake/... box im nächsten laden. einlegen. 5 mal auf weiter drücken. dann schnell yast starten und das zeugs installieren. dann vergessen.
ich denke hier ist das problem. das viele es als ein stück software wie m$ word behandeln. leicht zu installieren, leicht zu konfigurieren und dann vergessen.
wenn man aber selber kernel backt und bücher/texte liest über den indianer lernt man viel über das system und über sicherheit. man ist sich eher bewusst was man da macht.
bei code red war es auch noch ein begeschmack von "na mir doch gleich wenn mein system infiziert ist. der wurm zerstört ja nichts."
greets bsd-nerd
|
|
|
|
|
|
|
|
|
|
|
Von Anonymer Feigling am Saturday 14. September, 13:21 MEW (#3)
|
|
|
|
|
Ich bin Netzwerkadmin bei einem kleinen Softwarehaus und habe öfters auch auf Kundenmaschinen zu tun. Und vor ein paar Wochen ruft der Admin eines Kunden an und fragt, ob wir vielleicht das Root-Passwort auf seiner Linux-Kiste geändert hätten...? Natürlich war das nicht der Fall; zur Überprüfung der Sache logge ich mich über unseren Useraccount ein und schaue mich mal ein wenig im Dateisystem um. Hmm, woher kommen denn die seltsamen "Hackerspeak"-Usernamen mit UID 0 in /etc/passwd? Die weitere Untersuchung ergab dann, dass ein Scriptkiddie über eine seit Monaten bekannte SSH-Sicherheitslücke ein Rootkit installiert hatte. Für dieses Loch gab es auch schon längst einen Patch des entsprechenden Linux-Distributors, aber leider war dem verantwortlichen Admin das Konzept des Sicherheitsupdates wohl gänzlich unbekannt...
Tja Jungs, wenn die erreichbaren Dienste nicht ordnungsgemäß gewartet werden, dann nützt auch die schönste Firewall nix mehr...:->
|
|
|
|
|
|
|
|
|
|
|
|
|
Rat mal wieviel von solchen Dingern ich schon untersucht habe... ich hab aufgehört zu zählen.
Und ja, alles Fire-and-Forget Linuxkisten unter
SuSE, Redhat und Slackware.
--
"The more prohibitions there are, The poorer the people will be"
-- Lao Tse
|
|
|
|
|
|
|
|
|
Von Anonymer Feigling am Saturday 14. September, 14:05 MEW (#4)
|
|
|
|
|
Unter win32 ist also m$ schuld, unter Linux der Admin, richtig?
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Die Version 0.9.6e reicht um sicher zu sein. Ich weiss nicht wer angefangen hat zu behaupten, dass nun plötzlich 0.9.6g nötig sei. Auf jeden Fall haben das dann alle Newsseiten 1:1 kopiert. http://www.openssl.org/news/ listet ganz klar auf wann das Problem behoben wurde.
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
die meisten schreiben nicht, dass 0.9.6g _nötig_ ist, sondern nur, man solle auf diesen updaten. ich denke sie schreiben dies so, weil 0.9.6g momentan die neuste version ist.
|
|
|
|
|
|
|
|
|
Von Anonymer Feigling am Sunday 15. September, 13:55 MEW (#12)
|
|
|
|
|
Hmm, wenn ich unter Debian woody schaue, dann ist dort 0.9.6c aktuell...
Das ist natürlich auch mit ein Grund, weshalb viele noch nicht über 'e' sind.
Ich dachte mal, man könne der Debian Versionsverwaltung vertrauen, aber scheinbar ist das Trugschluss.
Wer mit Debian arbeitet, ist den aktuellen Versionen immer um Jahre hintendrein oder arbeitet mit 'unstable'...
na Prost
|
|
|
|
|
|
|
|
|
|
Von Anonymer Feigling am Monday 16. September, 02:33 MEW (#14)
|
|
|
|
|
Schau hier:
http://www.debian.org/security/2002/dsa-136
|
|
|
|
|
|
|
|
|
|
|
|
|
was ist die einfachste art, SSL im apache auszuschalten?
ich hab nun einfach im httpd.conf den eintrag 'Listen 443' auskommentiert.
aber das ganze SSL zeugs steht ja immer zwischen [IfDefine HAVE_SSL].
kann man nun nicht irgendwo das HAVE_SSL auf No stellen oder sowas?
|
|
|
|
|
|
|
|
|
|
|
Von Anonymer Feigling am Sunday 15. September, 01:17 MEW (#9)
|
|
|
|
|
Also unter Suse hab ich einfach ( so einfach war das gar nicht, da musten scripte gewälzt werden, bis ich die richtige stelle gefunden hatte) im File /etc/rc.config.d/apache.rc.config die Variable HTTPD_SEC_MOD_SSL=no gesetzt, das hat zur Folge, dass der Aufrud des Daemons httpd ohne die Option "-D SSL" durchgeführt wird. Der Vorteil: keine Änderung an der Originalconfigdatei /etc/httpd/httpd.conf, der Nachteil: /etc/init.d/apache reload ändert nichts, also muss /etc/init.d/apache restart gemacht und somit eine kleine Auszeit in Kauf genommen werden. Ich hätts gern anders gehabt, aber die Installation der neuen ssl-Version arbeitet nicht mit meinem Apache zusammen. Nagut ich steige sowieso bald komplett auf Debian um, da dürften solche Probleme nicht mehr auftreten, ausserdem jetzt gibt es ja vserver und usermodelinux und wer das nicht auf einem Produktivserver einsetzt, braucht sich über fehlende Sicherheit nicht zu wundern.
|
|
|
|
|
|
|
|
|
|
|
|
|
Bei Redhat: "rpm -e mod_ssl"
|
|
|
|
|
|
|
|
|
|
|
|
|
Anstatt mit 'apachectl startssl' startest Du ihn mit 'apachectl start'.
--
Anyone can make an omelet with eggs. The trick is to make one with none.
|
|
|
|
|
