Mac Server von Grundauf sicher?

!42

!42

Aktives Mitglied
Thread Starter
Dabei seit
23.10.2005
Beiträge
1.377
Reaktionspunkte
80
Ich beschäftige mich in letzter Zeit immer mehr mit dem Thema OSX Server. Dabei habe ich den Eindruck das ein Macserver von Grundauf sicher ist, zumindest bekomme ich den Eindruck suggeriert :D

Wenn man ein OSX Serversystem so wie gekauft an Netz hängt, auf den neusten Stand aktualisiert kann man davon ausgehen, das man ziemlich sicher ist? Auch wenn Dienste wie Mail-, Web- und was weiss ich was da alles am Laufen sind, kann da primär erstmal nichts passieren?

Alles was ich über OSX Server lesen kann deutet mir an, das jeder Laie so einen Server aufsetzen kann. Gibts irgendwelche bekannte OSX Server Hackattacken? Oder liegts an der geringen Verbreitung?
 
Ziemlich sicher - ja. Sicher - nein, denn das gibt es nicht. Wobei Laie+Server natürlich immer etwas gefährlich ist. ;)
 
also apple schludert schon mit updates, der samba server ist trotz bekannter lücken seit monaten nicht upgedatet worden...
aber zumindest php wurde auf einen neueren stand gebracht...
 
Von sicher zu unsicher: Linux->Mac->Windows
Von einfach zu bedienen zu schwer: Mac->Windows------------------->Linux

Linux ist ganz klar die sichere Wahl, dafür aber sehr schwer einzurichten, wenn man Apple oder Windows Server2003 verwöhnt ist. Problematisch war bei mir (Ubuntu Server) vor allem die Kompatibiltät mit der ganzen Hardware: Grafiktreiber, Ethernet, USB und co.
Zum Schluss musste ich so viel unbekannte Pakete hinzufügen, dass ich gar nicht mehr beurteilen konnte, wie sicher das ganze Konstrukt denn noch ist, sehr viele davon waren ganz unbekannte Dinger...
 
Bassoon schrieb:
Von sicher zu unsicher: Linux->Mac->Windows
Von einfach zu bedienen zu schwer: Mac->Windows------------------->Linux

Linux ist ganz klar die sichere Wahl, dafür aber sehr schwer einzurichten, wenn man Apple oder Windows Server2003 verwöhnt ist.
Zum Vergrößern anklicken....
So klar kann man das auch nicht sagen. Denn gerade bei GNU/Linux kommt es darauf an welche Distribution im Einsatz ist. Da gibt es dann auch wieder erheblich Unterschiede.
Außerdem hast Du BSD-Varianten vergessen. Denn bei denen wird teilweise sehr viel mehr auf Sicherheit (Security, nicht Safety) geachtet als beim Linux-Kernel, der teilweise eher in Featuritis erkrankt ist.
 
99% aller Server-Sicherheitslücken sind eh aufgrund menschlicher Fehlbedienung entstanden.

Es hilft kein Betriebssystem, wenn du schlechte Passwörter vergibst, Dämonen freien Lauf lässt, oder bekannte Sicherheitslücken ignorierst (PHP...).

Wenn du wirklich ein von Grund auf auf Sicherheit getrimmtes Betriebssystem möchtest, bist du bei Apple genauso wie bei Linux falsch (von Windows reden wir hier erstmal gar nicht). Dann wäre imho OpenBSD ein gangbarer Weg.

Einfach einen fertigen Server kaufen und laufen lassen, ist generell grob fahrlässig. Mac Os hin oder her.
 
xoxox schrieb:
99% aller Server-Sicherheitslücken sind eh aufgrund menschlicher Fehlbedienung entstanden.
Zum Vergrößern anklicken....

Das ist so nicht ganz richtig. Denn die Fehlbedienung beruht auf Unwissenheit, was für Sicherheitslücken es eigentlich alles gibt. Wenn man weiß, was unsicher ist, kann man dies eventuell auch beheben. Dies ist allerdings von den verwendeten Diensten und der Distribution des Softwarepaketes abhängig. Liefert der Anbieter nur zögernd Patches und man ist auf den Dienst angewiesen, kann man diese mal nicht so einfach durch die Deaktivierung des Dienstes schließen.

Die Bedienbarkeit eines OS hat auch nichts damit zu tun, ob man es schneller oder überhaupt absichern kann. Wichtig ist die Dokumentation des OS. Denn wer nicht weiß, wo man es abändert, dem wird kein Lollypop oder Klicki Bunti helfen. Dass die Bedienbarkeit bei Linux, trotz der vielen Ansätze namhafter Firmen, sehr zu wünschen lässt, darüber muss man nicht diskutieren.

Wir dachten früher auch bei der Migration von Windows auf Linux, dass es sicherer sei, aber Pustekuchen. Die Anzahl der Sicherheitslücken war bei einem voll gepatchten Linux-System immernoch höher als bei einem vergleichbaren Windows-System. Wobei wir wieder beim Liefern von Patches wären.

Erst externe Checks wiesen uns daraufhin, weil wir es einfach nicht wussten. Uns wurde Sicherheit suggeriert.

Ich habe bis jetzt noch keinen Mac OS X Server aufgesetzt, aber wenn dieser in der normalen Installation genauso ausschaut, wie Mac OS X für Clients, dann Mahlzeit. Denn auf einem Webserver zum Beispiel brauche ich keine GUI, Bedienbarkeit hin oder her. Ich brauche dort auch kein CUPS. Samba ist total unnutz.

Wenn man ein Minimum an Sicherheit liefern will, dann sollte man nach jeder Installation und den nachvolgenden Schritten einmal einen Schwachstellenscanner über das System laufen lassen. Für sehr kleine Firmen, lohnt es sich vielleicht, sich Nessus anzuschauen.

Für größere Firmen, die einen gewissen Grad an Sicherheit liefern müssen, empfiehlt sich sicherlich eine Prüfung durch Qualys.

Sowohl Nessus als auch Qualys geben einem nach erfolgter Prüfung Lösungsansätze um die gefundenen Schwachstellen zu schließen.

Eine Liste von Schwachstellen zu verschiedenen Betriebssystemen und Software gibt es auf CVE
oder SecurityFocus.

Für den heimischen Webserver mag dies alles uninteressant sein, aber gerade dort, wo es um Geld geht, sollte man die Sicherheit nicht unterschätzen. Generell sollte man immer mit ein wenig Paranoia ans Werk gehen. Nicht zuviel, sonst endet das Projekt vielleicht wie der Windows-Rechner vom Bekannten, wo 5 verschiedene Antispy-Programme laufen und man sich wundert, warum Minesweeper ruckelt.

Wenn mich jemand fragt, ob Windows sicher ist, dann lautet die Antwort definitiv nein. Bei Linux wäre die Antwort nein. Und bei Mac OS X würde ich dasselbe sagen, weil es kein Betriebssystem gibt, was sicher ist. Was jedoch nicht heißt, dass man es speziell für die benötigte Umgebung absichern kann.

Man sollte möglichst auch nur einen Dienst pro Server laufen lassen, da meist das Zusammenspiel verschiedener Dienste auf einem Server das Risiko eines Einbruchs erhöhen.

Grüße

Marco
 
Das ist so nicht ganz richtig. Denn die Fehlbedienung beruht auf Unwissenheit, was für Sicherheitslücken es eigentlich alles gibt.
Zum Vergrößern anklicken....
Eigentlich meinte ich genau solche Dinge. Evtl. habe ich mich mit "Fehlbedienung" falsch ausgedrückt.

Das aktive Kümmern des Users um die Sicherheit ist das Wichtigste. Wer sich auf ein Standard-BS verlässt, ist verloren. Bei dem einem BS sicherlich schneller als bei dem Anderen.

Auch deswegen halt OpenBSD als Empfehlung. Mit relativ wenig Aufwand bekommt man TCSEC-C2 Betriebssystem. Wobei das nicht heisst, dass man sich den Aufwand sparen kann, das System hinterher auf Schwachstellen zu checken (OpenSSH lässt grüßen...)

Denn auf einem Webserver zum Beispiel brauche ich keine GUI, Bedienbarkeit hin oder her.
Zum Vergrößern anklicken....
Wer eine Gui auf seinem Server braucht, macht imho prinzipiell was falsch. Wer nicht ständig auf der Konsole werkeln möchte, benutzt Web-Interfaces, z.B. Webmin

Wir dachten früher auch bei der Migration von Windows auf Linux, dass es sicherer sei, aber Pustekuchen. Die Anzahl der Sicherheitslücken war bei einem voll gepatchten Linux-System immernoch höher als bei einem vergleichbaren Windows-System. Wobei wir wieder beim Liefern von Patches wären.
Zum Vergrößern anklicken....
Jep, aber schreib' das mal in einem Linux-Forum (oder Freitags bei Heise...)

Man sollte möglichst auch nur einen Dienst pro Server laufen lassen, da meist das Zusammenspiel verschiedener Dienste auf einem Server das Risiko eines Einbruchs erhöhen.
Zum Vergrößern anklicken....
Nun, ja, das wäre wohl etwas heftig für jeden Mini-Dämon nen eigenen Server^^
Performancekritische Sachen laufen aber eh getrennt.
Ansonsten bieten da virtuelle Server einen guten Ausweg seine Hardware auszulasten.
 
Hallo!

Wer eine Gui auf seinem Server braucht, macht imho prinzipiell was falsch. Wer nicht ständig auf der Konsole werkeln möchte, benutzt Web-Interfaces, z.B. Webmin
Zum Vergrößern anklicken....

Webmin ist eine feine Sache, aber bereits bei Distributionen, die Wert auf Sicherheit legen, ist Webmin nicht mehr unter den Standardpaketen, sondern muss unter Warnung nachinstalliert werden. (z.B. Debian)

Das Problem an Webmin ist, dass es direkt in das System eingreift und somit schon selbst ein Einfallstor bietet. Zudem noch ein sehr attraktives. Für den Heimserver ist es dennoch sehr praktisch, da man nicht in der Konsole herumbasteln muss und der Server dennoch headless sein kann.

Jep, aber schreib' das mal in einem Linux-Forum (oder Freitags bei Heise...)
Zum Vergrößern anklicken....

Ja, das Linux-Lager ist so eine Sache. Ich würde mit meiner Aussage schon einen kleinen Krieg anzetteln.

Nun, ja, das wäre wohl etwas heftig für jeden Mini-Dämon nen eigenen Server^^
Performancekritische Sachen laufen aber eh getrennt.
Ansonsten bieten da virtuelle Server einen guten Ausweg seine Hardware auszulasten.
Zum Vergrößern anklicken....

Für jeden kleinen Dienst macht das zwar wirklich keinen Sinn, aber es ist teilweise sogar praxis, dies zu machen. Ein Beispiel von sehr harten Sicherheitsanforderungen ist z.B. PCI. Unter "About the PCI DSS" erhält man den Anforderungskatalog. Dies ist zwar jetzt ein Spezialfall, aber es gibt nicht wenige Firmen, die sich damit auseinandersetzen müssen.

Gehen wir jetzt mal von einem Betrieb eines Servers aus, der nicht im Internet verfügbar ist, dann kann man sich einiges schenken.

Letztendlich kommt es auch immer darauf an, was für eine Art von Daten man verwalten möchte.

Grüße

Marco
 
xoxox schrieb:
Wer eine Gui auf seinem Server braucht, macht imho prinzipiell was falsch. Wer nicht ständig auf der Konsole werkeln möchte, benutzt Web-Interfaces, z.B. Webmin
Zum Vergrößern anklicken....
Was ist an einer GUI so verwerflich, vor allem: Ist Webmin nicht strenggenommen auch eine GUI?
 
Naja, sehen wir es mal aus der Sicht der Ressourcennutzung. Eine GUI des Betriebssystems führt immer zu Last auf den Prozessoren und frisst Arbeitsspeicher, den man gerade bei Datenbankanwendungen gut anders nutzen kann. Ein Web-Interface nutzt nur dann Ressourcen, wenn man es aufruft. Es ist zwar statischer als die GUI des Betriebssystems, reicht aber vollkommen aus. Ein Web-Interface macht aber auch dann nur da Sinn, wo ohnehin die Grundlage, hier ein Webserver, gegeben ist.

Grüße

Marco
 
@ mpire
Jup, kann ich aus meiner Praxis bestätigen.
Wir haben in der Firma u.a. Shared Webserver unter Linux laufen mit ca. 100 Webpräsenzen, die laufen ganz ohne zentrales Webfrontend. Dann gibt es dedizierte Kundenserver, die sind z.B. mit Confixx ausgestattet.
Mit einer GUI ist jedoch kein Server versehen, eben aus den Gründen, die du schon genannt hast.

@ !42
Sorry, wir sind vom eigentlichen Thread Thema etwas abgekommen.
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
Zurück
Oben Unten