Hi,

Dann bräuchte ich mich also eigentlich damit gar nicht mehr beschäftigen, wenn diese sowieso keine wirkliche Zukunft mehr besitzt... ;-)

Es ist meine Meinung, das Big-Iron ausgedient hat, aber da kann ich mich natürlich auch irren. Wäre nicht das erste Mal und bestimmt auch nicht das letzte.

So kann ich dann immer (nach Abgrasen der Security-Mailinglisten und SecurityFocus) schauen, welches Programm aktualisiert werden muss und welches warten kann.

Nein, nicht schauen, sondern entscheiden. Mitunter zerstört nämlich auch ein einfaches Sicherheitsupdate die Funktion des Programmes und mitunter ist das Sicherheitsupdate kein Code sondern eine Anleitung für eine etwas andere Benutzung des Programmes und ab und zu verursacht der Patch auch etwas völlig unvorhergesehenes.
Deshalb sind alle Patches vorher zu testen, dafür hast Du ja die lokale Kopie Deines Servers.
Jetzt ist natürlich die Frage, was Du in der Zwischenzeit machst: einfach weiterlaufen lassen? Programm abschalten? Trotzdem den Patch einspielen (vorher natürlich komplettes Backup) und beten das es hält bis der Test durchgelaufen ist?

Fragen über Fragen *sigh* ;-)

Es kommt aber auch stark auf dei Distribution an, bei Debian würde ich z.B. glatt das Letzte wählen: einfach den Patch einspielen und beten. Im Securitybulletin steht normalerweise drin, was genau gepatched wird und welche Schwierigkeiten evt zu erwarten sind. Das Risiko läßt sich heir also klein halten. Wie das bei Gentoo aussieht weiß ich nicht.
Auf dem Rechner mit dem ich das hier poste läuft ein ganzen Haufen Bleeding-Edge Software und auch sonst ein paar Schweinereien, aber bei Serversoftware bin ich schon _sehr_ konservativ ;-)

[Deine Gimmick-Hinweise]

Naja, ich denke, dass diese Features doch mehr als nur ein Gimmick sind - zumindest dürften sie es einem Angreifer erschweren, mit einem übernommenen Server schnell was anfangen zu können.

Ja, aber das ist alles minimal, selbst in der Summe. Wenn das ohne Eingriffe in die Programmlogik eingebaut worden wäre (z.B. wie mein regelmäßiger Ersatz des Apache Versionsmeldungsstrings durch ein simples "Webserver" ) ginge das sogar noch in Ordnung, aber es wurde teils erheblich eingegriffen für einen sehr geringen Effekt. Mit ein wenig Pech schadet das mehr als es nutzt.
Nein, was so Sachen wie GRSecurity, SELinux et al sinnvoll und auch nützlich machen sind die vielen kleinen Patches des Kernelcodes.

Meinst du damit eine Festplattenverschlüsselung à la dm-crypt?

Nein, eine atomare Objektverschlüsselung. Was die ganzen ACLs mit Rechten machen müßte ersteinam bis zum Ende durchgezogen werden und dann auch nicht mit Rechten sondern mit Verschlüsselung.
Daran wird seit einigen Jahren von einigen Seiten aus dran gearbeitet, aber es dürfte wohl noch 10 oder gar mehr Jahre dauern, bis es allgemein einsetzbar ist.
Es war auch kein Vorschlag von mir -- bitte um Entschuldigung, falls das so verstanden wurde -- sondern gehörte nur zu meinem Argument, das ACLs nur ein Workaround wären.
Und was auch nicht schlecht wäre: root ersatzlos zu streichen. Das wäre dann zwar relativ unbequem, aber sicher.

Das einzige, was meiner Meinung nach dem entgegen spricht, ist die etwas schlechtere Performance bei Platten-Zugriffe. Inwieweit diese wirklich zu spüren ist, müsste im Einzelnen natürlich noch genauer getestet werden. Laut Linux-Magazin sinkt so z.B. die Datendurchsatzrate auf einem Pentium IV PC von 53MB/s auf 23MB/s.

Da die Prozessorleistung bei einem Server eh nur sehr selten voll genutzt wird, ist die Kompression der Daten zu empfehlen. Aber wenn's nur JPEG Bilder o.ä. sind, ist's natürlich Essig mit der Kompression ;-)

Aber Verschlüsselung kostet nunmal, nichts gibt's umsonst. Es sollten also nur die wirklich wichtigen Daten verschlüsselt werden, wie z.B. eure Mailboxen oder gar das ganze Homeverzeichnis und /var/spool/mail usw. BTW: das nützt natürlich rein gar nix, wenn in der Swappartition alles im Klartext steht, also entweder die auch verschlüsseln oder abschalten. Dann muß auch noch die Verbindung zum Server gesichert sein. Und so weiter und so fort.
Im Großem und Ganzem: ich würd's nicht tun, sodnern dafür sorgen, das alles gleich schon verschlüsselt auf den Server kommt, was euch in -- sagen wir mal: prekäre Situationen bringen könnte.

so short

Christoph Zurnieden