Hallo und willkommen...
... in der heutigen Security-Kolumne. Zuerst noch einen kleinen Rückblick auf die Kolumne vom letzten Mal, in der ich gefragt habe, ob ihr die Zertifizierung von SSH-Hostkeys befürwortet: Der Tenor in den Kommentaren tendierte sehr stark gegen "nein!". Da bin ich froh, dass ich nicht der einzige bin, der so denkt. Sicherheit lässt sich halt nicht nur durch obskure Zertifikate erreichen, ein bisschen Verstand und Erfahrung gehört halt schon noch dazu.
netfilter
In der neuen Kernel-Generation 2.4 wurde der Kernelcode, der für das Firewalling zuständig ist, komplett neu geschrieben. Das Framework heisst nun netfilter. Das zog auch ein neues Frontend zur Regelsetzung mit sich. Nach ipfwadm und ipchains kommt nun iptables.
Viele Firewall-Admins werden sich beim Umstieg auf iptables sehr stark umgewöhnen müssen. Denn Rusty Russel hat es in etwas mehr als einem Jahr Programmierarbeit geschafft, den Wildwuchs mit ipmasqadm, NAT mit ipchains und anderen Teillösungen (die als Patches kursierten) zusammenzuführen und in iptables zu integrieren.
Um iptables nutzen zu können, müssen im Kernel CONFIG_NETFILTER sowie alle CONFIG_IP_NF_-Optionen angewählt werden. Wer mehr über den internen Ablauf erfahren möchte, kann zusätzlich noch CONFIG_NETFILTER_DEBUG selektieren. Ferner sollte das /proc-Filesystem fest oder als Modul mitselektiert sein.
Da auch ich bald Firewalls mit 2.4'er Kerneln aufbauen werden, kann ich - bei genügend grossem Bedarf - etwas genauer auf iptables und auf seine Funktionweise eingehen.
Solaris-Fix
Einen interessanten Security-Tipp für Solaris habe ich diese Woche erfahren: Man erweitere die /etc/system um folgende Zeilen:
# no stacksmashing please
set noexec_user_stack=1
set noexec_user_stack_log=1
Und schon blitzen Buffer-Overflows, die Code im Kernel-Stack ausführen möchten, ab.
In eigener Sache
Da auch mir mit der Zeit die Ideen ausgehen, über was ich schreiben könnte, möchte ich euch aufrufen. mir mal zu sagen, welche Themen euch interessieren würden! Ihr könnt dazu einfach die Kommentarfunktion von Symlink nutzen.
|