[Eisfair] Sicherer Betrieb als Internetserver (war: Re: Tschuess Eisfair)

Mo Sep 1 09:26:24 CEST 2025

Hallo Kay,

Kay Martinen wrote:

>>> Was aber in Zukunft mit BFB machen...???
>>> Ist BFB tot sobald es nach irgend einem Eisfair Update nicht mehr
>>> lauffähig ist...? Dann wird es schwierig, denn im Grunde ist Eisfair für
>>> externe Dienste ab da auch nicht mehr sicher nutzbar.
>> 
>> Umkehrschluss: Da es derzeit BFB nur/noch für eisfair gibt - Olaf passt
>> es ja wohl für Debian an - ist nur mit eisfair ein sicherer Betrieb eines
>> öffentlich erreichbaren Servers möglich.
> 
> Das sehe ich in dieser Ausschließlichkeit eigentlich nicht so.

Du hälst also auch ohne BFB einen sicheren Betrieb als Internetserver für 
machbar, ebenso den Einsatz eines Debian, SuSE, Fedora, ..., für die es BFB 
garnicht gibt?

Das sollte - vielleicht hätte ich am Ende statt einem Punkt ein Fragezeichen 
machen sollen - der Kern meiner Aussage sein.

IMHO macht BFB einen Server kein mm sicherer, denn er blockt doch nur IPs, 
die zu häufig hintereinander den Zugriff vornehmen, schliesst aber keine 
möglicherweise vorhandene Sicherheitslücke. Trifft der "Böse" schon im 
ersten Versuch in Schwarze, hilft BFB auch nicht.

Beruhigt BFB, das kann natürlich gewünscht sein, nicht eher die Nerven, weil 
dann in den Logs nicht ständige "Angriffsversuche" zu sehen sind?

Die extern freigegebenen Dienste eines Servers müssen einbruchssicher sein.

Geht doch in der Regel dann weniger um eine veröffentlichte Webseite, 
sondern z. B. oft um den Versuch in einen ssh einzubrechen.

Hier gilt doch:

- sehr sehr starkes Passwort
- oder nur Zugang per Schlüssel
- und/oder anderen Port als 22 wählen
- oder Zugang ins lokale Netz per VPN
- ...

Oder einen offenen SMTP-Port, um den als Spamschleuder zu missbrauchen.

> Aber jede Software hat irgendwo immer Fehler - die jemand finden und
> nutzen kann.

Und wo macht BFB dann den Betrieb sicherer?

Natürlich kann es unerkannte Fehler in Software geben; solange sie gänzlich 
unerkannt sind, kennen auch Hacker sie nicht.

Sind sie bekannt müssen sie auf dem Server sofort geschlossen werden, was ja 
unter Linux - und ich denke, wir sind da bei eisfair auch in der Regel ganz 
flott - so gehandhabt wird.

Eine schwerwiegende Sicherheitslücke kann ja sogar soweit gehen, dass der 
Hacker garnicht rumprobieren muss, sondern die Lücke sofort den Zugriff 
freigibt. Dann würde BFB auch nicht greifen.

> Da jetzt noch mit einem Paketfilter (der auch nur den Zugriff abblockte)
> irgend eine Extra-Sicherheit herbei zu reden hat schon mehr was von
> Schlangenöl.

Sind wir uns da nicht einig?

BFB kann man machen, um die lästigen "Durchprobierer" in ihre Schranken zu 
verweisen, aber eine Erhöhung der Sicherheit ist das meiner Meinung nach 
nicht.

-- 
Gruß Marcus
[eisfair-Team]