Vannacht was het weer zover: m'n servertje gehacked. voor de tweede keer in drie jaar tijd. eerste keer was met een redhat 6.2 installatie in combinatie met een lousy ftp daemon, nu was redhat 7.0 aan de beurt.
Knacker / worm in kwestie had vrolijk adore geinstalleerd, en vond een reboot noodzakelijk. Gelukkig voorkwam een gebrek aan keyboard (min of meer opzettelijk) een succesvolle herstart, maar desalniettetoch ben ik wat teleurgesteld in redhat. alle services dicht, systeem enkele maanden geleden nog up-to-date gemaakt (ssh ed). (ok, ok, ik geef toe, ik zit niet elke week mijn systeem te patchen) maar dit was niet genoeg. Bezoekje aan de website van redhat leert mij dat er genoeg mogelijkheden zijn, van fetchmail t/m kernel...
Kortom, ik zit zonder webserver en zonder mail. Voor de liefhebbers: server in kwestie stond achter een fysieke firewall, met alleen http(poort 80, geen https), smtp en ssh geforward. apache draaide een eigen gecompileerde php4.06
Enfin, mijn dilemma is: what to do. Hoe installeer ik een server zonder me non-stop druk te hoeven maken om patches.
Immunix lijkt een aardige optie, maar helemaal up-to-date vind ik ze ook niet (release stamt uit midden 2001 en is gebaseerd op redhat 7.0). Principe is op zich wel aardig, en berust op het 'sandbox' principe. Met een aangepaste c compiler is alles (behalve de kernel) zo gecompileerd dat het hele zakie bestendig is tegen buffer overflows. Door een soort 'marker' op de heap te plaatsen wordt in geval van een buffer overflow geen code uitgevoerd, maar wordt de applicatie ge-herstart. althans, zo begrijp ik e.e.a. van de website. 100% dicht is het niet.
Trustix is natuurlijk ook een optie, hoewel ik mijn bedenkingen heb omdat het niet veel meer voorstelt dan het systeem 'kaal' installeren. Je moet gewoon blijven patchen.
gentoo spreekt me ook wel aan, doch daar heb ik nog nul komma nada ervaring mee.
Maar eigenlijk was ik zwaar aan het overwegen om met openbsd aan de gang te gaan. Daarmee begeef ik me wel op deels onbekend terrein, doch dat zou wel moeten lukken; een kennis van me klaagde echter dat hij troubles had met bsd en het nooit succesvol aan de praat had gekregen ivm hardware incompatibaliteiten (desbetreffende kennis is overigens mijn persoonlijke linux-'guru').
Op zich heb ik genoeg hardware slingeren om dit probleem te overkomen (heb ook eens solaris voor x86 geinstalleerd, en deze is toch vrij kritisch), en heb ook wel 2 schijfjes van 1 gieg slingeren, plus een serieuze van 40gb, dus ik heb ruimte om e.e.a. te experimenteren.
Maar voordat ik m'n weekend + avonduren opoffer om te experimenteren wou ik eens rondneuzen voor advies. Mijn wensen zijn zeer concreet, gebruikersvriendelijk zal me op zich een biet zijn, maar ik wil dat mijn systeem zo dicht zit als maar kan.
/me vraagt zich toch af hoe IBM dat doet met linux op hun servertjes
suggestions?
Knacker / worm in kwestie had vrolijk adore geinstalleerd, en vond een reboot noodzakelijk. Gelukkig voorkwam een gebrek aan keyboard (min of meer opzettelijk) een succesvolle herstart, maar desalniettetoch ben ik wat teleurgesteld in redhat. alle services dicht, systeem enkele maanden geleden nog up-to-date gemaakt (ssh ed). (ok, ok, ik geef toe, ik zit niet elke week mijn systeem te patchen) maar dit was niet genoeg. Bezoekje aan de website van redhat leert mij dat er genoeg mogelijkheden zijn, van fetchmail t/m kernel...
Kortom, ik zit zonder webserver en zonder mail. Voor de liefhebbers: server in kwestie stond achter een fysieke firewall, met alleen http(poort 80, geen https), smtp en ssh geforward. apache draaide een eigen gecompileerde php4.06
Enfin, mijn dilemma is: what to do. Hoe installeer ik een server zonder me non-stop druk te hoeven maken om patches.
Immunix lijkt een aardige optie, maar helemaal up-to-date vind ik ze ook niet (release stamt uit midden 2001 en is gebaseerd op redhat 7.0). Principe is op zich wel aardig, en berust op het 'sandbox' principe. Met een aangepaste c compiler is alles (behalve de kernel) zo gecompileerd dat het hele zakie bestendig is tegen buffer overflows. Door een soort 'marker' op de heap te plaatsen wordt in geval van een buffer overflow geen code uitgevoerd, maar wordt de applicatie ge-herstart. althans, zo begrijp ik e.e.a. van de website. 100% dicht is het niet.
Trustix is natuurlijk ook een optie, hoewel ik mijn bedenkingen heb omdat het niet veel meer voorstelt dan het systeem 'kaal' installeren. Je moet gewoon blijven patchen.
gentoo spreekt me ook wel aan, doch daar heb ik nog nul komma nada ervaring mee.
Maar eigenlijk was ik zwaar aan het overwegen om met openbsd aan de gang te gaan. Daarmee begeef ik me wel op deels onbekend terrein, doch dat zou wel moeten lukken; een kennis van me klaagde echter dat hij troubles had met bsd en het nooit succesvol aan de praat had gekregen ivm hardware incompatibaliteiten (desbetreffende kennis is overigens mijn persoonlijke linux-'guru').
Op zich heb ik genoeg hardware slingeren om dit probleem te overkomen (heb ook eens solaris voor x86 geinstalleerd, en deze is toch vrij kritisch), en heb ook wel 2 schijfjes van 1 gieg slingeren, plus een serieuze van 40gb, dus ik heb ruimte om e.e.a. te experimenteren.
Maar voordat ik m'n weekend + avonduren opoffer om te experimenteren wou ik eens rondneuzen voor advies. Mijn wensen zijn zeer concreet, gebruikersvriendelijk zal me op zich een biet zijn, maar ik wil dat mijn systeem zo dicht zit als maar kan.
/me vraagt zich toch af hoe IBM dat doet met linux op hun servertjes
suggestions?
)
:strip_exif()/u/33515/Supra-Avatar2.gif?f=community){kind=avatar}
:strip_icc():strip_exif()/u/12614/inferno.jpg?f=community)
/u/21334/cat.png?f=community)
/u/11917/cheshirecat.png?f=community)
:strip_exif()/u/851/pb_logo.gif?f=community){kind=logo}
/u/66501/A_bitaeniatum-3.png?f=community)
:strip_icc():strip_exif()/u/995/webicon.jpg?f=community)
/u/49116/crop5ab3aba55abd9_cropped.png?f=community)
/u/26742/000000751.png?f=community)
:strip_exif()/u/24323/esd1.gif?f=community)
:strip_icc():strip_exif()/u/12519/iconlamp.jpg?f=community)
