Kernel für dedicated Server

TED · Beitrag von **TED** » 18.07.2006 10:25:35

Ich habe ein dedicate Server. Und beschäftige mich mit der Sicherheit wie es sein sollte. Nun habe ich von einen Freund der schon länger im Geschäft ist den Tip bekommen den Kernel zu patchen um ihn sicher zu machen. Das habe ich auch vesucht, doch die Patches erlauben mir maximal den 2.6.14.6 zu verwenden, nun musste ich lesen das der von den Buck betroffen ist den auch gluck hatte(http://www.debianforum.de/forum/viewtopic.php?t=70242). Was soll ich machen. Will lieber einen neuen Kernel weil ich glaube das meinen nicht gerade der perfekte opteron Kernel ist, außerdem klingt der Tip mit den zusätzlichen Patches vernünftig, aber darduch neue Sicherheitzlücken zu reißen will ich nartürlich auch nicht.

Amerkung: Den server hat nach aussen nur einen User der sich einlogen kann(mich) alle anderen sind gesperrt. Auf den Server läuft nach aussen "nur" apache2 mit php postfix und courier, sowie openvpn und ssh(bin aber am überlegeb ssh nur noch über das vpn erreichbar zu machen)

hupfdule · Beitrag von **hupfdule** » 18.07.2006 14:20:05

Was für patches sind das denn? Ich persönlich halte wenig davon. Ein Kernel wird durch Patches in der Regel nicht per se sicherer. Meist erlaubt er nur neue Sicherheitsmechanismen, die dann umgesetzt werden müssen. Ist aber wie gesagt abhängig davon, welche Patches du einspielen willst.

Viel wichtiger als der Kernel sind die nach außen offenen Dienste. Denn die sind der erste Angriffspunkt. Erst wenn man dort eine Lücke ausgenutzt hat, kommt man an die Möglichkeit Sicherheitslücken im Kernel auszunutzen.

herrchen · Beitrag von **herrchen** » 18.07.2006 14:25:08

TED hat geschrieben:läuft nach aussen "nur" apache2 mit php

ich denke auch, dass du deine energie erstmal in die absicherung dieses gespanns stecken solltest.

herrchen

thorben · Beitrag von **thorben** » 18.07.2006 15:02:00

moin,
informier dich am bestern erstmal darüber was du genau willst. dann nimmst dir nen vanilla kernel, patchst den mit grsecurity oder so und installierst ihn auf deiner kiste.

debian kernel patchen halte ich für riskant, der hat schon paar patches

fertig

gruß
thorben

Spasswolf · Beitrag von **Spasswolf** » 18.07.2006 15:14:52

Im Rootforum hat, in einer Diskussion um die neuste Sicherheitslücke, jemand die Sourcen des Gentoo Hardened Kernels reingestellt:
ftp://ftp.my-universe.com/pub/rootserve ... r11.tar.gz
Diese beinhalten unter anderem den grsecurity Patch.

TED · Beitrag von **TED** » 20.07.2006 13:45:19

Meinen Wahl fiel auf grsecurity und lids, der Kernel sollte schon von Kernel.org kommen und nicht aus den Debian Quellen. Tja die Dienste, alles was ich nicht brauch ist abgestellt oder per Firewall geblockt. Es bleiben ssh, vpn, apache und postfix/courier (sowei vielleich noch bind). Von den Diensten hat eigentlich keinen root. Aber sie sind definitiv der Schwachpunkt. Ich kann ja viel machen wenn aber die Software einen Lücke hat und es zum exploits kommt muss der Kernel da stand halten, deswegen patche wie grsecurity und lids. Eigentlich hört sich exec shield noch gut an, will aber nicht mit den 2.14.6 gehn.
Die Ausage vom Debian Team

If you run Linux 2.6.13 up to versions before 2.6.17.4, or Linux
2.6.16 up to versions before 2.6.16.24, please update your kernel
immediately.

sagt mir eigentlich das 2.6.14 kein guter Kernel ist. Die Patches sind aber nicht für neuere Versionen vorhanden, so weit ich das sehen.

@Spasswolf gibt es da einen Forum Link zu?
Prinzipel glaube ich dir ja, nur wenn ich auf meinen Server einen Kernel daruf machen von denen ich nur ein Link zu den sources habe und sonst nicht weiß wo er herkommt, dann kann ich auch gleich das Thema Sicherheit begraben und den Standart Kernel drauf lassen.

Spasswolf · Beitrag von **Spasswolf** » 20.07.2006 17:18:17

Hier hab ich den Kernel gefunden
http://www.rootforum.de/forum/viewtopic.php?t=41527

Kernel für dedicated Server

Kernel für dedicated Server

Re: Kernel für dedicated Server