Mac Server von Grundauf sicher?

Diskutiere das Thema Mac Server von Grundauf sicher? im Forum Mac OS Server, Serverdienste

  1. !42

    !42 Thread Starter Mitglied

    Beiträge:
    1.348
    Zustimmungen:
    79
    Mitglied seit:
    23.10.2005
    Ich beschäftige mich in letzter Zeit immer mehr mit dem Thema OSX Server. Dabei habe ich den Eindruck das ein Macserver von Grundauf sicher ist, zumindest bekomme ich den Eindruck suggeriert :D

    Wenn man ein OSX Serversystem so wie gekauft an Netz hängt, auf den neusten Stand aktualisiert kann man davon ausgehen, das man ziemlich sicher ist? Auch wenn Dienste wie Mail-, Web- und was weiss ich was da alles am Laufen sind, kann da primär erstmal nichts passieren?

    Alles was ich über OSX Server lesen kann deutet mir an, das jeder Laie so einen Server aufsetzen kann. Gibts irgendwelche bekannte OSX Server Hackattacken? Oder liegts an der geringen Verbreitung?
     
  2. Darii

    Darii Mitglied

    Beiträge:
    2.072
    Zustimmungen:
    111
    Mitglied seit:
    24.02.2004
    Ziemlich sicher - ja. Sicher - nein, denn das gibt es nicht. Wobei Laie+Server natürlich immer etwas gefährlich ist. ;)
     
  3. oneOeight

    oneOeight Mitglied

    Beiträge:
    50.552
    Zustimmungen:
    4.699
    Mitglied seit:
    23.11.2004
    also apple schludert schon mit updates, der samba server ist trotz bekannter lücken seit monaten nicht upgedatet worden...
    aber zumindest php wurde auf einen neueren stand gebracht...
     
  4. Bassoon

    Bassoon Mitglied

    Beiträge:
    435
    Zustimmungen:
    9
    Mitglied seit:
    15.11.2006
    Von sicher zu unsicher: Linux->Mac->Windows
    Von einfach zu bedienen zu schwer: Mac->Windows------------------->Linux

    Linux ist ganz klar die sichere Wahl, dafür aber sehr schwer einzurichten, wenn man Apple oder Windows Server2003 verwöhnt ist. Problematisch war bei mir (Ubuntu Server) vor allem die Kompatibiltät mit der ganzen Hardware: Grafiktreiber, Ethernet, USB und co.
    Zum Schluss musste ich so viel unbekannte Pakete hinzufügen, dass ich gar nicht mehr beurteilen konnte, wie sicher das ganze Konstrukt denn noch ist, sehr viele davon waren ganz unbekannte Dinger...
     
  5. Pingu

    Pingu Mitglied

    Beiträge:
    4.953
    Zustimmungen:
    341
    Mitglied seit:
    04.08.2003
    So klar kann man das auch nicht sagen. Denn gerade bei GNU/Linux kommt es darauf an welche Distribution im Einsatz ist. Da gibt es dann auch wieder erheblich Unterschiede.
    Außerdem hast Du BSD-Varianten vergessen. Denn bei denen wird teilweise sehr viel mehr auf Sicherheit (Security, nicht Safety) geachtet als beim Linux-Kernel, der teilweise eher in Featuritis erkrankt ist.
     
  6. xoxox

    xoxox Mitglied

    Beiträge:
    514
    Zustimmungen:
    71
    Mitglied seit:
    08.09.2006
    99% aller Server-Sicherheitslücken sind eh aufgrund menschlicher Fehlbedienung entstanden.

    Es hilft kein Betriebssystem, wenn du schlechte Passwörter vergibst, Dämonen freien Lauf lässt, oder bekannte Sicherheitslücken ignorierst (PHP...).

    Wenn du wirklich ein von Grund auf auf Sicherheit getrimmtes Betriebssystem möchtest, bist du bei Apple genauso wie bei Linux falsch (von Windows reden wir hier erstmal gar nicht). Dann wäre imho OpenBSD ein gangbarer Weg.

    Einfach einen fertigen Server kaufen und laufen lassen, ist generell grob fahrlässig. Mac Os hin oder her.
     
  7. mpire

    mpire Mitglied

    Beiträge:
    211
    Zustimmungen:
    10
    Mitglied seit:
    04.01.2006
    Das ist so nicht ganz richtig. Denn die Fehlbedienung beruht auf Unwissenheit, was für Sicherheitslücken es eigentlich alles gibt. Wenn man weiß, was unsicher ist, kann man dies eventuell auch beheben. Dies ist allerdings von den verwendeten Diensten und der Distribution des Softwarepaketes abhängig. Liefert der Anbieter nur zögernd Patches und man ist auf den Dienst angewiesen, kann man diese mal nicht so einfach durch die Deaktivierung des Dienstes schließen.

    Die Bedienbarkeit eines OS hat auch nichts damit zu tun, ob man es schneller oder überhaupt absichern kann. Wichtig ist die Dokumentation des OS. Denn wer nicht weiß, wo man es abändert, dem wird kein Lollypop oder Klicki Bunti helfen. Dass die Bedienbarkeit bei Linux, trotz der vielen Ansätze namhafter Firmen, sehr zu wünschen lässt, darüber muss man nicht diskutieren.

    Wir dachten früher auch bei der Migration von Windows auf Linux, dass es sicherer sei, aber Pustekuchen. Die Anzahl der Sicherheitslücken war bei einem voll gepatchten Linux-System immernoch höher als bei einem vergleichbaren Windows-System. Wobei wir wieder beim Liefern von Patches wären.

    Erst externe Checks wiesen uns daraufhin, weil wir es einfach nicht wussten. Uns wurde Sicherheit suggeriert.

    Ich habe bis jetzt noch keinen Mac OS X Server aufgesetzt, aber wenn dieser in der normalen Installation genauso ausschaut, wie Mac OS X für Clients, dann Mahlzeit. Denn auf einem Webserver zum Beispiel brauche ich keine GUI, Bedienbarkeit hin oder her. Ich brauche dort auch kein CUPS. Samba ist total unnutz.

    Wenn man ein Minimum an Sicherheit liefern will, dann sollte man nach jeder Installation und den nachvolgenden Schritten einmal einen Schwachstellenscanner über das System laufen lassen. Für sehr kleine Firmen, lohnt es sich vielleicht, sich Nessus anzuschauen.

    Für größere Firmen, die einen gewissen Grad an Sicherheit liefern müssen, empfiehlt sich sicherlich eine Prüfung durch Qualys.

    Sowohl Nessus als auch Qualys geben einem nach erfolgter Prüfung Lösungsansätze um die gefundenen Schwachstellen zu schließen.

    Eine Liste von Schwachstellen zu verschiedenen Betriebssystemen und Software gibt es auf CVE
    oder SecurityFocus.

    Für den heimischen Webserver mag dies alles uninteressant sein, aber gerade dort, wo es um Geld geht, sollte man die Sicherheit nicht unterschätzen. Generell sollte man immer mit ein wenig Paranoia ans Werk gehen. Nicht zuviel, sonst endet das Projekt vielleicht wie der Windows-Rechner vom Bekannten, wo 5 verschiedene Antispy-Programme laufen und man sich wundert, warum Minesweeper ruckelt.

    Wenn mich jemand fragt, ob Windows sicher ist, dann lautet die Antwort definitiv nein. Bei Linux wäre die Antwort nein. Und bei Mac OS X würde ich dasselbe sagen, weil es kein Betriebssystem gibt, was sicher ist. Was jedoch nicht heißt, dass man es speziell für die benötigte Umgebung absichern kann.

    Man sollte möglichst auch nur einen Dienst pro Server laufen lassen, da meist das Zusammenspiel verschiedener Dienste auf einem Server das Risiko eines Einbruchs erhöhen.

    Grüße

    Marco
     
  8. xoxox

    xoxox Mitglied

    Beiträge:
    514
    Zustimmungen:
    71
    Mitglied seit:
    08.09.2006
    Eigentlich meinte ich genau solche Dinge. Evtl. habe ich mich mit "Fehlbedienung" falsch ausgedrückt.

    Das aktive Kümmern des Users um die Sicherheit ist das Wichtigste. Wer sich auf ein Standard-BS verlässt, ist verloren. Bei dem einem BS sicherlich schneller als bei dem Anderen.

    Auch deswegen halt OpenBSD als Empfehlung. Mit relativ wenig Aufwand bekommt man TCSEC-C2 Betriebssystem. Wobei das nicht heisst, dass man sich den Aufwand sparen kann, das System hinterher auf Schwachstellen zu checken (OpenSSH lässt grüßen...)

    Wer eine Gui auf seinem Server braucht, macht imho prinzipiell was falsch. Wer nicht ständig auf der Konsole werkeln möchte, benutzt Web-Interfaces, z.B. Webmin

    Jep, aber schreib' das mal in einem Linux-Forum (oder Freitags bei Heise...)

    Nun, ja, das wäre wohl etwas heftig für jeden Mini-Dämon nen eigenen Server^^
    Performancekritische Sachen laufen aber eh getrennt.
    Ansonsten bieten da virtuelle Server einen guten Ausweg seine Hardware auszulasten.
     
  9. mpire

    mpire Mitglied

    Beiträge:
    211
    Zustimmungen:
    10
    Mitglied seit:
    04.01.2006
    Hallo!

    Webmin ist eine feine Sache, aber bereits bei Distributionen, die Wert auf Sicherheit legen, ist Webmin nicht mehr unter den Standardpaketen, sondern muss unter Warnung nachinstalliert werden. (z.B. Debian)

    Das Problem an Webmin ist, dass es direkt in das System eingreift und somit schon selbst ein Einfallstor bietet. Zudem noch ein sehr attraktives. Für den Heimserver ist es dennoch sehr praktisch, da man nicht in der Konsole herumbasteln muss und der Server dennoch headless sein kann.

    Ja, das Linux-Lager ist so eine Sache. Ich würde mit meiner Aussage schon einen kleinen Krieg anzetteln.

    Für jeden kleinen Dienst macht das zwar wirklich keinen Sinn, aber es ist teilweise sogar praxis, dies zu machen. Ein Beispiel von sehr harten Sicherheitsanforderungen ist z.B. PCI. Unter "About the PCI DSS" erhält man den Anforderungskatalog. Dies ist zwar jetzt ein Spezialfall, aber es gibt nicht wenige Firmen, die sich damit auseinandersetzen müssen.

    Gehen wir jetzt mal von einem Betrieb eines Servers aus, der nicht im Internet verfügbar ist, dann kann man sich einiges schenken.

    Letztendlich kommt es auch immer darauf an, was für eine Art von Daten man verwalten möchte.

    Grüße

    Marco
     
  10. Darii

    Darii Mitglied

    Beiträge:
    2.072
    Zustimmungen:
    111
    Mitglied seit:
    24.02.2004
    Was ist an einer GUI so verwerflich, vor allem: Ist Webmin nicht strenggenommen auch eine GUI?
     
Die Seite wird geladen...

MacUser.de weiterempfehlen

  1. Diese Seite verwendet Cookies. Wenn du dich weiterhin auf dieser Seite aufhältst, akzeptierst du unseren Einsatz von Cookies. Akzeptieren Weitere Informationen...