Ich bin immer wieder fasziniert, wenn Jemand eine Anleitung schreibt und gleich mal die Sicherheit eines Betriebssystems ohne ein weiter Wort zu verlieren aushebelt.
Ich meine, es gibt Momente an welchen man es ohne Wissen macht, weil man es nicht besser weiß, oder schlicht und einfach absolut keine Ahnung hat von dem was man schreibt. Ich denke an letzteres in solchen Momenten. Man sollte sich immer im klaren darüber sein, dass ein Beginner kommt und die Anleitung befolgt und sich damit ein feines Sicherheitsloch in sein System/Netzwerk reißt, sprich man hat eine Art von Fürsorgefunktion in diesem Moment.
Mein Stein des Anstoßes ist diesmal eine Anleitung auf HowToForge.com für Nagios unter Ubuntu .
Mir wird quälender Weise auf den ersten zwei Seiten erklärt wie man Ubuntu installiert, also richtet sich die Anleitung scheinbar an Einsteiger.
Dann kommt der nette Part auf Seite 3: Now We Will Disable AppArmor
Warum, wieso, weshalb?!?!?!
Sagt der Schöpfer des Artikels nicht.
Ich meine AppArmor hat seine Bewandtnis, es implementiert MAC (Mandatory Access Control).
Die andere Variante nennt sich SELinux (wird auch gerne bei Anleitungen ausgeschaltet)
Einfach gesagt kann man damit die Zugriffsrechte von Prozessen steuern.
Will mir nun Jemand sagen, dass Nagios kein Prozess ist?
Also wäre es nicht eher faszinierend, wenn ich eine Distribution einsetze die eine solche Kontrollinstanz nutzt, zu erklären wie man diesen Schutz genau für diesen Dienst konfiguriert anstelle den Dummerweise abzuschalten?
Aber vielleicht hatte er nur drei Seiten zur Verfügung und eine Installation von Ubuntu ist wirklich so Heavy, dass man sie mit Screenshots darstellen muss, ist ja in keiner weiteren Anleitung auf HowToForge zu lesen.
Lustigerweise wird auf der ubuntueigenen Wikiseite für diese Server-Version kein Hinweis dafür gegeben AppArmor abzuschalten: Ubuntu Documentation > Ubuntu 10.04 > Ubuntu Server Guide > Monitoring > Nagios
Und hätte der HowToForge-Schöpfer mal geschaut: Ubuntu Documentation > Ubuntu 10.04 > Ubuntu Server Guide > Security > AppArmor
Und nun der Klopper auf Kernel.org : Mod apparmor examples nagios
Das kein Wort zu Postfix weiter gesagt wird außer Make sure you select Smarthost option when installing Postfix lasse ich mal aussen vor….
Somit kann ich nur Bitten, wenn man eine Anleitung liest und von einem gefordert wird Sicherheitsmechanismen auszuschalten… Lasst es.
Schaut lieber wie man diese Dienst konfiguriert, damit Eurer Dienst sicher und rund läuft, denn eine 0Day ist nie weit und kann jeden gefährden. Vor allem bei einem Dienst der über Netzwerk kommuniziert.
1 Gedanke zu „Wer keine sichere Anleitung schreiben kann, soll es lassen“
Kommentare sind geschlossen.