[Eisfair] Sicherer Betrieb als Internetserver (war: Re: Tschuess Eisfair)

[Marcus Röckrath]

Hallo Kay,

Kay Martinen wrote:

> Eben aus dem Grund entstand ja EISfair, um die ganzen Serverdienste auf
> einen anderen Rechner legen zu können, richtig.

Ja! Weil Routing und Serverdienste aus Sicherheitsgründen auf getrennten 
Maschinen laufen sollte.

>> Grundsätzlich spricht natürlich nichts dagegen, bestimmte Dienst und Port
>> gegebenenfalls auch für die böse weite Welt zu öffnen.
> 
> Man sollte dann aber gut überlegen was die Folgen sein können. S.u.

Klar, aber es kann Gründe geben, den Server im Internet zu exponieren.

>> Ob ein Hacker etwas Böses anstellen kann, hängt vom Zustand des Systems
>> und seiner Aktualität ab, nicht davon, ob ich bestimmte IPs/IP-Bereiche
>> sperre.
> 
> Eben. Zeitnahe Updates! Darauf läuft es hinaus.

Ja, ist die Software "fehlerfrei" (ohne bekannte Sicherheitslücken) und 
korrekt konfiguriert, kommt man einem sicheren Betrieb nahe.

>> Server mit kritischen Daten gehören sowieso in die Hände von
>> ausgebildeten Fachleuten, die Beherschung des Dreisatzes
>> configure;make;make install recht dafür nicht.
> 
> Naja, der hat; früher; für alles her halten müssen. Auch für den Kernel
> und seine Module selbst. Das hat aber jetzt nicht direkt etwas mit
> Sicherheit zu tun. Oder wo siehst du da den Angriffspunkt? Das jemand
> dabei in Unkenntnis Fehler macht?

Nein, sollte nur sagen, dass man, wenn man mit den üblichen Befehlen eine 
Software übersetzen kann, noch lange nicht zum Netzwerkexperten wird, der 
wirklich davon was versteht, wie man einen exponierten Server konfigurieren 
muss.

IMHO gehört ein exponierter Server auch in die DMZ und nicht ins lokale 
Netz. Sinnvollerweise betreibt man dann eben zwei Server, einen nur für den 
lokalen Datenverkehr und einen exponierten.

> Die Eisfair-konfigschicht fängt sicherlich Fehler ab und macht es in dem
> Sinn sicherer einen Server Einfacher zu verwalten.

Bedeutet aber nicht, dass dabei auch Optionen falsch von uns umgesetzt sein 
können, Optionen nicht konfigurierbar sind, der Anwender mit schlampigen 
Passwörtern arbeitet, ...

> Aber der Anwender wird dadurch auch nicht kompetenter.

Dann muss er sich kundig machen, aber das würde doch wirklich die meisten 
überfordern, wobei ich mich nicht mal ausschließe.

> oder Optionen die existieren aber beim EIS nicht vorgesehen sind.

siehe vorhin: Die eisfair-Konfigurationsschicht bildet einen sinnvollen Satz 
von Optionen für den Normalanwender, und damit auch eher den Betrieb als 
Heimserver ab.

> Aber, alles hat seine Schattenseiten.

Man muss sich derer bewusst sein.

-- 
Gruß Marcus
[eisfair-Team]