nicht angemeldet
Feature-Artikel zum SELF-Server
hallo Forum ;-)
Die "news" machen mal wieder auf einen neuen Feature-Artikel (unter http://aktuell.de.selfhtml.org/artikel/server/self/index.htm aufmerksam, der in gewisser Weise etwas völlig Neues ist, weil darin nicht zuerst etwas erklärt oder dargelegt wird, was sich irgendjemand zuhause zusammenschrauben könnte, sondern weil das Prinzip der SELF-Reflektion hier auf die Serverkonfiguration, die dem Forum selbst zugrundeliegt, angewendet wurde. Insgeheim hatte ich zwar gedacht, daß "so etwas" irgendwann irgendwie passieren müßte, ich hatte ja vor einiger Zeit mal in einem Thread "Open Source" in dieser Richtung nachgefragt - aber was man da jetzt zu lesen bekommt, ist im Grunde genommen weit mehr als bloß "open source". Ich habe den Artikel mit großer Aufmerksamkeit gelesen und finde bis auf ein paar Rechtschreibfehlerchen (naja, kleine Stichelei dieser Art muß ja sein ;-) ) eine ziemlich lückenlos wirkende Dokumentation, die weit mehr aussagt, als ich je zu fragen gewußt hätte. Insbesondere die Darstellung der eingesetzten Scripts ist ein gutes Beispiel dafür, wie man die Bewältigung einer Aufgabenstellung angehen kann.
Eine kleine Nachfrage ergibt sich für mich: ich hab nun seit rund fünf Jahren immer mehr oder weniger "parallel" Rechner mit WINDOWS- und mit LINUX-Systemen gefahren. Mein LINUX-Rechner hatte vor Jahren zunächst eine Slackware-Distribution, dann aber in schöner Regelmäßigkeit immer die aktuellen S.u.S.E.-Distributionen, wobei ich von Version zu Version immer skeptischer gegenüber den "Eigenarten" der S.u.S.E wurde und seit geraumer Zeit überlegt hab, ob nicht mal ein Ausprobieren von FreeBSD sinnvoll wäre. Nur hab ich das nie im Handel entdeckt. Zwar gibts einen online-Anbieter unter http://www.iso-top.de/ aber ehe man dort eine CD bestellen kann, muß man sich registrieren lassen, und das klappt irgendwie nicht richtig. Wo krieg ich nun dieses System her ? Ein download von ftp://ftp.freebsd.org/pub/FreeBSD/releases/i386/ mag sinvoll sein, wenn man ne DSL-Verbindung hat, ich hab die seit Monaten zwar bestellt, aber die Telekom liefert einfach nicht, und über ISDN ist mir der Aufwand nun wirklich zu groß ...
Grüße aus Berlin
Christoph S.
-
hi!
Wo krieg ich nun dieses System her ?
http://www.lob.de/ ist die erste Anlaufstelle für BSD- und
Linux-Systeme aller Art... :)...oder du kommst zum nächsten SELF-Treffen und sagst vorher Bescheid,
dass du ein BSD brauchst... ;)bye, Frank!
-
...oder du kommst zum nächsten SELF-Treffen und sagst vorher Bescheid,
SELFTREFFEN ???!!!
wo, wann , wie, wer ist eingeladen ?
gruss
martin :-)-
Hallo Martin!
SELFTREFFEN ???!!!
wo, wann , wie, wer ist eingeladen ?
Niemand ist eingeladen, jeder lädt sich selbst ein! Mehr dazu im SCB http://www.atomic-eggs.com/selfspezial/scbboard/.
Patrick
-
Hallo Martin!
SELFTREFFEN ???!!!
wo, wann , wie, wer ist eingeladen ?
Niemand ist eingeladen, jeder lädt sich selbst ein! Mehr dazu im SCB http://www.atomic-eggs.com/selfspezial/scbboard/.
Patrick
Ey cool, die seite kannte ich nocht nicht !
danke patrick !
gruss
martin
-
-
-
öööööhhhmmmm ...
...oder du kommst zum nächsten SELF-Treffen und sagst vorher Bescheid,
dass du ein BSD brauchst... ;)also, die Logik geht genau anders herum: zunächst "will" ich das haben, woraus sich allerdings sehr schnell ergeben kann, daß ich es sogar existenziell "brauche". Und daraus ergibt sich wiederum nach deinem Posting, daß ich zum Treffen unbedingt erscheinen muß ? Ok, dann muß ich das Fahrgeld erwirtschaften, und das krieg ich hin, wenn ich meine Unterrichtsstunden tematisch um FreeBSD erweitere, wozu ich wiederum erstmal ne FreeBSD-Installation zwingend benötige :-(
"ein Teufelskreis" würde TVKaiser sagen
Grüßchens
Christoph S.
-
-
Hi Christoph
bis auf ein paar Rechtschreibfehlerchen (naja, kleine Stichelei dieser Art muß ja sein ;-)
Es wäre schön wenn du die Fehler Christian zumailen könntest, Adresse ist
ck1@wwwtech.deGruss Daniela
P.S. Er schreibts nicht selber weil er im Moment technische Probleme hat.
-
Hallo Daniela
P.S. Er schreibts nicht selber weil er im Moment technische Probleme hat.
Na, da sid wohl alle Ports geschlossen *insider*.
Tschö Matti
-
Daniela ...
Es wäre schön wenn du die Fehler Christian zumailen könntest
mach ich, klar ;-) aber diese winzige Stichelei konnt ich mir halt nicht verkneifen, und sie "beschädigt" den Artikel ja auch nicht
Grüße aus Berlin
Christoph S.
-
-
Sup!
Ist es nicht total unverantwortlich und ultragefährlich, die Verzeichnisstruktur eines Rechners zu verraten?
Oder ist die sowieso gelogen?Gruesse,
Bio
-
hi Bio ;-)
Ist es nicht total unverantwortlich und ultragefährlich, die Verzeichnisstruktur eines Rechners zu verraten?
Nein. Ich glaube eher, daß das eine ausgesprochen souveräne Geste ist.
Oder ist die sowieso gelogen?
Nana, wer wird denn sowas zu denken wagen ...
Grüße aus Berlin
Christoph S.
-
Moin!
Nein. Ich glaube eher, daß das eine ausgesprochen souveräne Geste ist.
Naja, souveraen ist sie, wenn man es sich leisten kann... ;-)
So long
-
Sup!
Tja, und was souverän ist, und was Übermut, was Wagemut, was Leichtsinn... stellt sich immer erst nachher heraus, gelle?
Gruesse,
Bio
-
-
-
Hi Bio!
Ist es nicht total unverantwortlich und ultragefährlich, die Verzeichnisstruktur eines Rechners zu verraten?
Damit ich das richtig verstehe: Du meinst falls jemand einen Angriff
auf den Server plant, in dem er eine Lücke in den CGIs oder im Apache
ausnützt, dann kann er die Kenntniss des Verzeichnissbaums nutzen, um dann
an relevante Daten zu gelangen?Ist eine Geheimhaltung des Verzeichisbaumes wirklich effektiv, schließlich
wird doch meist nach 08/15 Defaultmustern strukturiert?Bye
Rolf-
Sup!
Also, ich _glaube_, daß, wenn man z.B. irgendwie die Möglichkeit bekommt, ein CGI auszuführen, daß unsicher ist, und sich z.B. irgendwelche Parameter unterschieben lässt, die dann dazu führen, das irgendwelche von Dir bestimmten Befehle ausgeführt werden, dann könnte es nützlich sein, genau zu wissen, wo das Cgi-Bin liegt, weil man sonst nicht weiss, wo eigentlich das eigene Working-Directory ist, und evtl. gar nichts bösartiges tun kann.
Aber das wird beim Ultra-Sicheren BSD nicht so wichtig sein...Gruesse,
Bio
-
Hoi,
Also, ich _glaube_, daß, wenn man z.B. irgendwie die Möglichkeit
bekommt, ein CGI auszuführen, daß unsicher ist, und sich z.B.
irgendwelche Parameter unterschieben lässt, die dann dazu führen,
das irgendwelche von Dir bestimmten Befehle ausgeführt werden,
dann könnte es nützlich sein, genau zu wissen, wo das Cgi-Bin liegt,
weil man sonst nicht weiss, wo eigentlich das eigene
Working-Directory ist, und evtl. gar nichts bösartiges tun kann.Och, wenn jemand Code ausfuehren kann auf der Maschiene, dann ist ein
Directory-Listing das geringste Problem.
Mal im Ernst: die Directory-Struktur selber stellt eigentlich nicht
wirklich ein Problem dar, IMHO. Die kann man sich relativ leicht selber
beschaffen.Gruesse,
CK -
Hi Bio,
Also, ich _glaube_, daß, wenn man z.B. irgendwie die Möglichkeit
bekommt, ein CGI auszuführen, daß unsicher ist, und sich z.B.
irgendwelche Parameter unterschieben lässt, die dann dazu führen,
das irgendwelche von Dir bestimmten Befehle ausgeführt werden,dann wird einer der ersten dieser Befehle einer sein, sich auf der
Maschine umzusehen.dann könnte es nützlich sein, genau zu wissen, wo das Cgi-Bin liegt,
weil man sonst nicht weiss, wo eigentlich das eigene Working-Directory
istWie oft muß hier im Forum noch gepostet werden, daß CGI kein zuverlässig
definiertes working directory hat?
Dafür aber ausführliche Informationen über das Environment:
http://aktuell.de.selfhtml.org/artikel/cgiperl/inbetriebnahme/#a18und evtl. gar nichts bösartiges tun kann.
Aber das wird beim Ultra-Sicheren BSD nicht so wichtig sein...Das liegt nicht an einem "ultra-sicheren" BSD, sondern an einem vernünfti-
gen Konzept zur Vergabe von Rechten.
Wenn die "interessanten" Informationen in Verzeichnissen liegen, welche
Benutzerkennungen gehören, die sich in Gruppen befinden, zu denen die
Apache-Betriebskennung nicht gehört, dann kannst Du per CGI diese Infor-
mationen nicht lesen - egal, wie genau Du weißt, wo sie stehen.Sicherheit durch vorheriges Nachdenken ist m. E. um Klassen besser als
"security by obscurity".Viele Grüße
Michael-
Hi Michael
Sicherheit durch vorheriges Nachdenken ist m. E. um Klassen besser als
"security by obscurity".Prinzipiell gebe ich dir recht! In der Kryptologie gilt auch der
Grundsatz, dass der Algorithmus öffentlih bekannt sein sollte!dann wird einer der ersten dieser Befehle einer sein, sich auf der
Maschine umzusehen.Einschränkung: Es könnten beschreibbare Dateien/Directories existieren die man durch umsehen
nicht ohne weiteres findet. Es reicht oben in der Dir-Hierarchie ein read-bit
wegzulassen, und schon wird das "Umsehen" sehr schwierig!Allerdings wer macht sowas schon?
Viele Grüße
Rolf-
Hi Rolf,
dann wird einer der ersten dieser Befehle einer sein, sich auf der
Maschine umzusehen.
Einschränkung: Es könnten beschreibbare Dateien/Directories existieren die man durch umsehen
nicht ohne weiteres findet. Es reicht oben in der Dir-Hierarchie ein read-bit
wegzulassen, und schon wird das "Umsehen" sehr schwierig!Je nachdem, wo Du mit dem "Umsehen" anfängst.
Es gibt ja außer "/" noch weitere Verzeichnisse, von deren Existenz man
per Definition weiß:- den Inhalt von $PATH
- DOCUMENT_ROOT und ähnliche CGI-Environment-Variablen
- Pfade, die durch Informationskommandos ausgegeben werden
('perl -V' etc.) - mount points ('df'?)
- ...
Etwas Phantasie und Systemkenntnis produzieren eine Menge Startpunkte.
Allerdings wer macht sowas schon?
Der Provider der Maschine, auf der meine Domain liegt, beispielsweise.
(Das war gleich das erste, was ich mit SSH probiert habe ... ich möchte
ja wissen, was der taugt. Einen Fingerfehler hatte er in seiner Konfigu-
ration drin, den ich aber selbst reparieren konnte.)Viele Grüße
Michael
-
-
-
-
-