[Postfixbuch-users] Fail2ban als Spoiler für Postfix

Robert Felber r.felber at ek-muc.de
Do Mai 24 21:31:21 CEST 2007


On Thu, May 24, 2007 at 09:09:55PM +0200, Uwe Driessen wrote:
> Ralf Hildebrandt schrieb: 
> > * Robert Felber <r.felber at ek-muc.de>:
> > 
> > > a) der syslogd lauscht auch auf TCP
> > 
> > Normalerweise horcht der auf UDP, aber passt scho'
> > 
> > > oder
> > >
> > > b) Der Server bietet auch PHP/CGI Services an.
> > >    In dem Moment musst du wissen, was deine User machen.
> > >    PHP bietet logging auch im Safe Modus an. Auch an andere
> > >    Hosts in deinem Netzwerk
> > >
> > > oder
> > >
> > > c) Der Server hat irgendwelche oeffentlich zugaenglichen
> > >    PHP Scripte laufen, die zwar als non-root laufen, aber
> > >    dennoch irgendwie dazu fuehren entweder php code auszufuehren
> > >    oder shell code. Auch als non-root ist sowas kritisch.
> > 
> > Stimmt beides.
> > 
> > > B) duerfte hier dein groesstes Problem sein.
> > 
> > Oh ja
> 
> Also ich lasse mich ja gerne aufklären aber zur Zeit verstehe ich nicht so ganz wie mir
> jemand ins maillog schreiben kann er sich nicht per SSH auf dem Server einloggt (da gibt
> es nur einen).
> Oder wie jemand fremdes CGI-Scripte installieren könnte die so was ausführen.

Du versteifst dich drauf, dass das nur ueber SSH sinnvoll gaenge weil du jetzt
nur das Program 'logger' kennst.
Lies bitte auch http://de.php.net/manual/en/function.openlog.php
Damit ist zumindest Moeglich auf das Log der Maschine (nicht aber remote, wie
vorher von mir behauptet) zu schreiben. Wenn www auf der selben Maschine
wie der smtp rennt, ist es halt kritisch. Ueber CGI waere das dann aber
auch remote moeglich.


> Meine User
> sind zu Zeit Froh wenn sie Ihre Webpages zum laufen bekommen.

Dieser Satz sollte dir zu denken geben.
Zum einen begehst du den Fehler fremde Faehigkeiten a) runterzuspielen
und b) baust du darauf, dass diese User keinen Fehler machen, der
das gesamte System in einen kritischen Zustand versetzen kann. zB
waere dies getan mit der Installation von div. Blogs, Gallerien, etc.

Frage, wuerdest du deinen Usern die Moeglichkeit geben, auf deine
Firewall Regeln Einfluss zu nehmen? Nein?
Nun, mit Fail2ban machst du es. Ohne dass sie es wissen oder evtl.
ausnutzen wuerden, aber - sie koennten es.

Aber, ich will nicht auf der Paranoia rumreiten. Wenn du der Meinung bist,
dass Log-Parsing auf einer Multi-User (nicht ssh, sodnern www) Maschine "Ok" 
ist, dann siehst du das eben so. :-) Ich bin da mit anderen Sicherheitsstandards
gross geworden.



-- 
    Robert Felber (PGP: 896CF30B)
    Munich, Germany



Mehr Informationen über die Mailingliste Postfixbuch-users