Christoph Schnauß: Feature-Artikel zum SELF-Server

hallo Forum ;-)

Die "news" machen mal wieder auf einen neuen Feature-Artikel (unter http://aktuell.de.selfhtml.org/artikel/server/self/index.htm aufmerksam, der in gewisser Weise etwas völlig Neues ist, weil darin nicht zuerst etwas erklärt oder dargelegt wird, was sich irgendjemand zuhause zusammenschrauben könnte, sondern weil das Prinzip der SELF-Reflektion hier auf die Serverkonfiguration, die dem Forum selbst zugrundeliegt, angewendet wurde. Insgeheim hatte ich zwar gedacht, daß "so etwas" irgendwann irgendwie passieren müßte, ich hatte ja vor einiger Zeit mal in einem Thread "Open Source" in dieser Richtung nachgefragt  -   aber was man da jetzt zu lesen bekommt, ist im Grunde genommen weit mehr als bloß "open source". Ich habe den Artikel mit großer Aufmerksamkeit gelesen und finde bis auf ein paar Rechtschreibfehlerchen (naja, kleine Stichelei dieser Art muß ja sein ;-) ) eine ziemlich lückenlos wirkende Dokumentation, die weit mehr aussagt, als ich je zu fragen gewußt hätte. Insbesondere die Darstellung der eingesetzten Scripts ist ein gutes Beispiel dafür, wie man die Bewältigung einer Aufgabenstellung angehen kann.
Eine kleine Nachfrage ergibt sich für mich: ich hab nun seit rund fünf Jahren immer mehr oder weniger "parallel" Rechner mit WINDOWS- und mit LINUX-Systemen gefahren. Mein LINUX-Rechner hatte vor Jahren zunächst eine Slackware-Distribution, dann aber in schöner Regelmäßigkeit immer die aktuellen S.u.S.E.-Distributionen, wobei ich von Version zu Version immer skeptischer gegenüber den "Eigenarten" der S.u.S.E wurde und seit geraumer Zeit überlegt hab, ob nicht mal ein Ausprobieren von FreeBSD sinnvoll wäre. Nur hab ich das nie im Handel entdeckt. Zwar gibts einen online-Anbieter unter http://www.iso-top.de/  aber ehe man dort eine CD bestellen kann, muß man sich registrieren lassen, und das klappt irgendwie nicht richtig. Wo krieg ich nun dieses System her ? Ein download von ftp://ftp.freebsd.org/pub/FreeBSD/releases/i386/ mag sinvoll sein, wenn man ne DSL-Verbindung hat, ich hab die seit Monaten zwar bestellt, aber die Telekom liefert einfach nicht, und über ISDN ist mir der Aufwand nun wirklich zu groß ...

Grüße aus Berlin

Christoph S.

  1. hi!

    Wo krieg ich nun dieses System her ?

    http://www.lob.de/ ist die erste Anlaufstelle für BSD- und
    Linux-Systeme aller Art... :)

    ...oder du kommst zum nächsten SELF-Treffen und sagst vorher Bescheid,
    dass du ein BSD brauchst... ;)

    bye, Frank!

    1. ...oder du kommst zum nächsten SELF-Treffen und sagst vorher Bescheid,

      SELFTREFFEN ???!!!

      wo, wann , wie, wer ist eingeladen ?

      gruss
      martin :-)

      1. Hallo Martin!

        SELFTREFFEN ???!!!

        wo, wann , wie, wer ist eingeladen ?

        Niemand ist eingeladen, jeder lädt sich selbst ein! Mehr dazu im SCB http://www.atomic-eggs.com/selfspezial/scbboard/.

        Patrick

        1. Hallo Martin!

          SELFTREFFEN ???!!!

          wo, wann , wie, wer ist eingeladen ?

          Niemand ist eingeladen, jeder lädt sich selbst ein! Mehr dazu im SCB http://www.atomic-eggs.com/selfspezial/scbboard/.

          Patrick

          Ey cool, die seite kannte ich nocht nicht !

          danke patrick !

          gruss
          martin

    2. öööööhhhmmmm ...

      ...oder du kommst zum nächsten SELF-Treffen und sagst vorher Bescheid,
      dass du ein BSD brauchst... ;)

      also, die Logik geht genau anders herum: zunächst "will" ich das haben, woraus sich allerdings sehr schnell ergeben kann, daß ich es sogar existenziell "brauche". Und daraus ergibt sich wiederum nach deinem Posting, daß ich zum Treffen unbedingt erscheinen muß ?  Ok, dann muß ich das Fahrgeld erwirtschaften, und das krieg ich hin, wenn ich meine Unterrichtsstunden tematisch um FreeBSD erweitere, wozu ich wiederum erstmal ne FreeBSD-Installation zwingend benötige :-(

      "ein Teufelskreis" würde TVKaiser sagen

      Grüßchens

      Christoph S.

  2. Hi Christoph

    bis auf ein paar Rechtschreibfehlerchen (naja, kleine Stichelei dieser Art muß ja sein ;-)

    Es wäre schön wenn du die Fehler Christian zumailen könntest, Adresse ist
    ck1@wwwtech.de

    Gruss Daniela

    P.S. Er schreibts nicht selber weil er im Moment technische Probleme hat.

    1. Hallo Daniela

      P.S. Er schreibts nicht selber weil er im Moment technische Probleme hat.

      Na, da sid wohl alle Ports geschlossen *insider*.

      Tschö Matti

    2. Daniela ...

      Es wäre schön wenn du die Fehler Christian zumailen könntest

      mach ich, klar ;-) aber diese winzige Stichelei konnt ich mir halt nicht verkneifen, und sie "beschädigt" den Artikel ja auch nicht

      Grüße aus Berlin

      Christoph S.

  3. Sup!

    Ist es nicht total unverantwortlich und ultragefährlich, die Verzeichnisstruktur eines Rechners zu verraten?
    Oder ist die sowieso gelogen?

    Gruesse,

    Bio

    1. hi Bio ;-)

      Ist es nicht total unverantwortlich und ultragefährlich, die Verzeichnisstruktur eines Rechners zu verraten?

      Nein. Ich glaube eher, daß das eine ausgesprochen souveräne Geste ist.

      Oder ist die sowieso gelogen?

      Nana, wer wird denn sowas zu denken wagen ...

      Grüße aus Berlin

      Christoph S.

      1. Moin!

        Nein. Ich glaube eher, daß das eine ausgesprochen souveräne Geste ist.

        Naja, souveraen ist sie, wenn man es sich leisten kann... ;-)

        So long

        1. Sup!

          Tja, und was souverän ist, und was Übermut, was Wagemut, was Leichtsinn... stellt sich immer erst nachher heraus, gelle?

          Gruesse,

          Bio

    2. Hi Bio!

      Ist es nicht total unverantwortlich und ultragefährlich, die Verzeichnisstruktur eines Rechners zu verraten?

      Damit ich das richtig verstehe: Du meinst falls jemand einen Angriff
      auf den Server plant, in dem er eine Lücke in den CGIs oder im Apache
      ausnützt, dann kann er die Kenntniss des Verzeichnissbaums nutzen, um dann
      an relevante Daten zu gelangen?

      Ist eine Geheimhaltung des Verzeichisbaumes wirklich effektiv, schließlich
      wird doch meist nach 08/15 Defaultmustern strukturiert?

      Bye
      Rolf

      1. Sup!

        Also, ich _glaube_, daß, wenn man z.B. irgendwie die Möglichkeit bekommt, ein CGI auszuführen, daß unsicher ist, und sich z.B. irgendwelche Parameter unterschieben lässt, die dann dazu führen, das irgendwelche von Dir bestimmten Befehle ausgeführt werden, dann könnte es nützlich sein, genau zu wissen, wo das Cgi-Bin liegt, weil man sonst nicht weiss, wo eigentlich das eigene Working-Directory ist, und evtl. gar nichts bösartiges tun kann.
        Aber das wird beim Ultra-Sicheren BSD nicht so wichtig sein...

        Gruesse,

        Bio

        1. Hoi,

          Also, ich _glaube_, daß, wenn man z.B. irgendwie die Möglichkeit
          bekommt, ein CGI auszuführen, daß unsicher ist, und sich z.B.
          irgendwelche Parameter unterschieben lässt, die dann dazu führen,
          das irgendwelche von Dir bestimmten Befehle ausgeführt werden,
          dann könnte es nützlich sein, genau zu wissen, wo das Cgi-Bin liegt,
          weil man sonst nicht weiss, wo eigentlich das eigene
          Working-Directory ist, und evtl. gar nichts bösartiges tun kann.

          Och, wenn jemand Code ausfuehren kann auf der Maschiene, dann ist ein
          Directory-Listing das geringste Problem.
          Mal im Ernst: die Directory-Struktur selber stellt eigentlich nicht
          wirklich ein Problem dar, IMHO. Die kann man sich relativ leicht selber
          beschaffen.

          Gruesse,
           CK

        2. Hi Bio,

          Also, ich _glaube_, daß, wenn man z.B. irgendwie die Möglichkeit
          bekommt, ein CGI auszuführen, daß unsicher ist, und sich z.B.
          irgendwelche Parameter unterschieben lässt, die dann dazu führen,
          das irgendwelche von Dir bestimmten Befehle ausgeführt werden,

          dann wird einer der ersten dieser Befehle einer sein, sich auf der
          Maschine umzusehen.

          dann könnte es nützlich sein, genau zu wissen, wo das Cgi-Bin liegt,
          weil man sonst nicht weiss, wo eigentlich das eigene Working-Directory
          ist

          Wie oft muß hier im Forum noch gepostet werden, daß CGI kein zuverlässig
          definiertes working directory hat?
          Dafür aber ausführliche Informationen über das Environment:
          http://aktuell.de.selfhtml.org/artikel/cgiperl/inbetriebnahme/#a18

          und evtl. gar nichts bösartiges tun kann.
          Aber das wird beim Ultra-Sicheren BSD nicht so wichtig sein...

          Das liegt nicht an einem "ultra-sicheren" BSD, sondern an einem vernünfti-
          gen Konzept zur Vergabe von Rechten.
          Wenn die "interessanten" Informationen in Verzeichnissen liegen, welche
          Benutzerkennungen gehören, die sich in Gruppen befinden, zu denen die
          Apache-Betriebskennung nicht gehört, dann kannst Du per CGI diese Infor-
          mationen nicht lesen - egal, wie genau Du weißt, wo sie stehen.

          Sicherheit durch vorheriges Nachdenken ist m. E. um Klassen besser als
          "security by obscurity".

          Viele Grüße
                Michael

          1. Hi Michael

            Sicherheit durch vorheriges Nachdenken ist m. E. um Klassen besser als
            "security by obscurity".

            Prinzipiell gebe ich dir recht! In der Kryptologie gilt auch der
            Grundsatz, dass der Algorithmus öffentlih bekannt sein sollte!

            dann wird einer der ersten dieser Befehle einer sein, sich auf der
            Maschine umzusehen.

            Einschränkung: Es könnten beschreibbare Dateien/Directories existieren die man durch umsehen
            nicht ohne weiteres findet. Es reicht oben in der Dir-Hierarchie ein read-bit
            wegzulassen, und schon wird das "Umsehen" sehr schwierig!

            Allerdings wer macht sowas schon?

            Viele Grüße
            Rolf

            1. Hi Rolf,

              dann wird einer der ersten dieser Befehle einer sein, sich auf der
              Maschine umzusehen.
              Einschränkung: Es könnten beschreibbare Dateien/Directories existieren die man durch umsehen
              nicht ohne weiteres findet. Es reicht oben in der Dir-Hierarchie ein read-bit
              wegzulassen, und schon wird das "Umsehen" sehr schwierig!

              Je nachdem, wo Du mit dem "Umsehen" anfängst.

              Es gibt ja außer "/" noch weitere Verzeichnisse, von deren Existenz man
              per Definition weiß:

              • den Inhalt von $PATH
              • DOCUMENT_ROOT und ähnliche CGI-Environment-Variablen
              • Pfade, die durch Informationskommandos ausgegeben werden
                  ('perl -V' etc.)
              • mount points ('df'?)
              • ...
                Etwas Phantasie und Systemkenntnis produzieren eine Menge Startpunkte.

              Allerdings wer macht sowas schon?

              Der Provider der Maschine, auf der meine Domain liegt, beispielsweise.
              (Das war gleich das erste, was ich mit SSH probiert habe ... ich möchte
              ja wissen, was der taugt. Einen Fingerfehler hatte er in seiner Konfigu-
              ration drin, den ich aber selbst reparieren konnte.)

              Viele Grüße
                    Michael