On Wed, 14 Aug 2002, Jens Benecke wrote: Moin Jens, > Ich halte das für besser als "by default" 10.000 Dienste zu aktivieren, > die keiner braucht, aber eine _Lösung_ ist das nicht.
Aber lieber ist defaultmässig wenig drauf und man muss dann bei bedarf nach installieren, als umgekehrt. > > z.B. der "ultrasichere" openbsd-ftpd, der so gut wie nichts kann. > Zugegeben, proftpd ist sicherheitstechnisch nicht sonderlich top, aber > was nützt mir das, wenn kein anderer ftp-server die benötigten Features > hat? Solange man die Vorteile und Nachteile gegeneinander abgewogen hat ist das auch OK. > > BTW Was ist so schlimm an OpenBSD? > > Die Philosophie, bzw. was daraus geworden ist. Insbes. seit der > openssh-Schlappe. Bei der Philosophie stimme ich dir zu. > Einen Server"hardening" Dienst hat ein Programm, welches weder suid root > läuft noch als Server dient, nicht zu interessieren. Nicht daß licq auf Hmmm... Ich vertrete die Meinung das auf einem Server nur Programme drauf sein müssen die man auch wirklich braucht. > dem Rechner unbedingt erforderlich gewesen wäre (es ist aber: ich will > licq-console per ssh benutzen können, von aussen), aber warum ist denn icq auf nem Server hälte ich nicht für sinnvoll, aber du wirst schon für dich die richtige Entscheidung getroffen haben. > nicht auch gleich gcc rausgeflogen? Compiler haben auf Servern auch nix > zu suchen. GCC hat auf einem Server rein gar nichts zu suchen, da gebe ich dir absolut recht. > > NFS sollte IMHO auch auf keinem Host laufen der von Internet her > > erreichbar ist. > > Und woher weiss harden, daß mein Rechner vom Internet her erreichbar > ist? Und woher weiss harden, was *ich* von meinem Rechner erwarte? IMHO solltest du gefragt werden. >> NFS über SSL existiert, you know. I Know, aber nur wenn sich der Client mit einem Cert authentifizieren muss bevor eine Verbindung zum NFS Server erlaubt, ansonsten macht es den NFS Server nicht wirklich sicherer. Ich kenne allerdings nicht die genaue Implemtierung. > > > > und der FTP Server entfernt wird, damit definitiv NICHT. Und > > > "apt-cache show harden" erklärt auch nicht, warum diese Pakete raus > > > sollen. > > Lese dir doch mal Grundsätzliches zum Thema Sicherheit durch und du > > wirst wissen warum.;-) > > Ich glaube nicht, daß ich in der Hinsicht blutiger Anfänger bin. Es tut mir leid das ich aus deinem Posting geschlossen habe das du nicht so tief in der Materie steckts. Ich wollte dir in keinster Weise zu nahe treten. > > > Aber in der Tat könnte man dem Maintainer vorschlagen einen > > entsprechenden Link in die Beschreibung mit aufzunehmen.:-) > > harden sieht für mich entweder nach einem _sehr_ frühen Stadium aus oder > nach einem mehr oder weniger zufällig zusammengewürfelten Haufen von > Regeln, die der Maintainer für nett hält und damit anderen Leuten > vorschreiben will. > Kann ich nichts zu sagen, da ich mich mit harden für Debian noch nicht näher beschäftig habe. > Gibt es einen _TECHNISCHEN_ Grund, warum licq nicht da sein soll? Ich Hmmm... es ist schliesslich ein ausführbarer Cod,e den du gedenkst zu benutzen und sollte er Sicherheitslücken enthalten könnte das jemand ausnutzen. Ich gehe eher den minimalistischen Ansatz aber wir oben schon erwähnt du wirst deine Gründe haben. cu Markus -- Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)