Dansk web-hotel ramt af hacker-angreb

Deres PC'er er jo sikkert gået ned, så de ikke kan læse dit indlæg. *FNIS*

Øh jeg mener, M$ har helt sikkert betalt for at CW skal bringe denne artikel. Skam Jer CW.

Jon Gaasedal skrev:
Jeg er glad for at de nævner, at de har én enkelt kerne på en server (hvor de nok har kompilet/pillet) - ellers ville vi jo have en verdensomspændende sikkerhedsbrist. Eller også bare et tåbelig udsagn.

I første omgang overså jeg denne ekstremt vigtige detalje, og tænkte: Suk, de aner ikke en skid om, hvad, hvor osv., da sporene er slettede - men kunne straks udpege kernen som den mest sansynlige kandidat for deres genvordigheder (der godt nok kører moduler som f.eks. iptables). Men, fint, at de ikke generaliserer problemet som værende et generelt Linux Kernel problem - selv om det nemt kommer til at fremstå sådan.

Så denne detalje kunne altså godt fremgå noget tydeligere. Ja, der burde være et lille afsnit eller sætning om denne specielle kerne. Vi er altså også nogle sysadmins herude, der bliver lettere nervøse af sådanne udsagn. Vi forsøger at værne om og beskytte diverse services på serverne, men hvis selve kernen er vores fjende, så kan vi lige så godt køre noget fra en vis leverandør - hvor dette er et kendt problem. Så bliver man da ikke overrasket (og sørger for rigtigt mange backups - hele tiden).

Det er jo svært at vide om det er en fejl konfiguration eller en generel fejl i kernen der er udnyttet. Et svagt password på en normal bruger og et lokalt hul virker lige så godt som så en fejl konfiguration eller et hul i en service. Hvilket ikke burde komme som en overraskelse for en admin. Uanset hvilken leverandør der så har leveret den pågældende kerne. Et lokalt hul er iøvrigt heller ikke ukendt i linux kernen...

Marc Munk skrev:
Det er jo svært at vide om det er en fejl konfiguration eller en generel fejl i kernen der er udnyttet. Et svagt password på en normal bruger og et lokalt hul virker lige så godt som så en fejl konfiguration eller et hul i en service. Hvilket ikke burde komme som en overraskelse for en admin. Uanset hvilken leverandør der så har leveret den pågældende kerne. Et lokalt hul er iøvrigt heller ikke ukendt i linux kernen...

Dette er vi temmeligt enige om. Et lille musehul er nok. Jeg nævnte også som et eksempel iptables nære tilknytning til kernen (for performance), som nogle synes skulle køre i userspace istedet (hvilket jeg så ikke er enig i).

Og de absolut første to ting man laver er (please, please):

1. Oprette en bruger med en langt, kompliseret navn. Dette er næsten lige så vigtigt som et stærkt password (hvis man lige studerer sin log-watch en smule).

2. Deaktivere direkte root-adgang i /etc/ssh/sshd.config

Og efter at have "gemt" kernen så godt som muligt, fra direkte og indirekte manipulation udefra, så krydser man fingre og håber, at kernen ellers lever op til den rimelige robusthed, som man burde kunne forvente (og håber det hele ikke bare er hype). Men desværre har al kode fejl. Men hidtil har jeg ikke oplevet hårrejsende ting med Linux servere (RHEL/CentOS). Der er mange indbrudsforsøg dagligt, men ingen af de forsøgte brugernavne kommer i nærheden af dem jeg har valgt - og som hverken er persons-navne eller engelske konstruktioner.

Og ja, svage passwords, svage brugernavne og direkte root-access, det er recipe for disaster. Huse med pap-døre er svære at beskytte - hedder de så ellers Linux, Windows eller noget helt femte. Men SELinux hjælper da lidt her.... håber jeg.

Mens linux normalt kræver et decideret hacker-angreb, så klares Windows automatisk på under et halvt minut via en tilfældigt forbipasserende orm. Har været der - og skal aldrig nogensinde mere bruge sådan et Pap-OS selv. Er dog nødt til at have en enkelt Windows Server kørende - pga. af kundebehov - men det er beskyttet bag Linux - og er ellers kundernes ansvar. Jeg skal ikke nyde noget.

Udover regulære huller i Linux, så er der også "huller", som faktisk skal være dér. Men må så bare være udrustet til at bruge og beskytte den. Eller deaktivere dem, hvis man ellers kan undvære det. Man kan med fordel kompilere sin egne kerne, med alt unødvendigt deaktiveret. Det er faktisk temmeligt nemt.

Min pointe er, at hvis man ved hvad man gør (det er der ingen, der ved 120%), så er Linux en ret sikker platform (altså det konservative RHEL/CentOS - ikke desktop-linux distros, som nogle er skøre nok til at bruge til servere). Og også Windows - hvis bag en god Firewall - f.eks. en Linux. Har man ikke den fornødne viden, så kan det hele nærmest være ligemeget.

En dårligt konfigureret Linux er ikke sikker, men dog meget sikrere end f.eks. en standard Windows Server opsætning. Dog vinder en vel-konfigureret Widows vel over en elendigt konfigureret Linux? Jo, måske med de nyeste versioner af Windows Servere - men ikke med de gamle (Windows 2000 Server og ældre - og muligvis 2003 også).

Windows er desværre bare bloated. Microsoft kan ikke overskue det - hvordan skal så jeg???? De har endog kildekoden (i hvert fald en del af den). Linux Monolithic kerne er heldigvis ikke bloated i samme grad. Og man har da (host, host...) adgang til kildekoden, hvis man vil (nej, jeg har bestemt ikke nærlæst den), men det har andre (end MS) heldigvist gjort for mig. Windows er en Black-Box, hvordan man så vender og drejer det, hvor du faktisk ikke aner en skid om noget som helst. Man kører bare på best-practices og ellers på held og bedste ønsker.

Dette er nogle ret kvalificerede fakta, fra en, der ikke påberåber sig nogen super Linux kompetencer. Kun adskillige års erfaringer. Alle er velkomne til at kalde dette en flame-war. Det ændrer ikke en tøddel. Jeg giver muligvis også svar på tiltale.

Hmmmm.... det er vistnok en naturlov der kræver, at Microsoft altid skal indblandes, også når der er noget, der kun vedrører linux.

Jon Gaasedal skrev:
Dette er vi temmeligt enige om. Et lille musehul er nok. Jeg nævnte også som et eksempel iptables nære tilknytning til kernen (for performance), som nogle synes skulle køre i userspace istedet (hvilket jeg så ikke er enig i).

Hvorfor dælen vil de flytte iptables til userspace?

Og de absolut første to ting man laver er (please, please):

1. Oprette en bruger med en langt, kompliseret navn. Dette er næsten lige så vigtigt som et stærkt password (hvis man lige studerer sin log-watch en smule).

2. Deaktivere direkte root-adgang i /etc/ssh/sshd.config

Så er man da et godt stykke vej mod målet.

Og efter at have "gemt" kernen så godt som muligt, fra direkte og indirekte manipulation udefra, så krydser man fingre og håber, at kernen ellers lever op til den rimelige robusthed, som man burde kunne forvente (og håber det hele ikke bare er hype). Men desværre har al kode fejl. Men hidtil har jeg ikke oplevet hårrejsende ting med Linux servere (RHEL/CentOS). Der er mange indbrudsforsøg dagligt, men ingen af de forsøgte brugernavne kommer i nærheden af dem jeg har valgt - og som hverken er persons-navne eller engelske konstruktioner.

Det er ikke så meget de forsøg der ikke lykkes jeg er nervøs for...

Og ja, svage passwords, svage brugernavne og direkte root-access, det er recipe for disaster. Huse med pap-døre er svære at beskytte - hedder de så ellers Linux, Windows eller noget helt femte. Men SELinux hjælper da lidt her.... håber jeg.

Selinux har introduceret sine egne problemer men i min verden bør man dog bruge det alligevel.

Mens linux normalt kræver et decideret hacker-angreb, så klares Windows automatisk på under et halvt minut via en tilfældigt forbipasserende orm. Har været der - og skal aldrig nogensinde mere bruge sådan et Pap-OS selv. Er dog nødt til at have en enkelt Windows Server kørende - pga. af kundebehov - men det er beskyttet bag Linux - og er ellers kundernes ansvar. Jeg skal ikke nyde noget.

Du får sgu ondt den dag der kommer en orm til linux hvis du holder ved den holdning... Hvis vi ser på den sidste orm der ramte windos (conficker) så var den jo ret let at holde ude. Det var et simpelt spørgsmål om at rulle en patch på der iøvrigt kom noget tid før conficker. Hvis man ikke har styr på sin patchmanagement så er det altså lige meget meget hvilket os man bruger.

Udover regulære huller i Linux, så er der også "huller", som faktisk skal være dér. Men må så bare være udrustet til at bruge og beskytte den. Eller deaktivere dem, hvis man ellers kan undvære det. Man kan med fordel kompilere sin egne kerne, med alt unødvendigt deaktiveret. Det er faktisk temmeligt nemt.

Jeg går ud fra at du taler om services? Dem bliver man nødt til at have ellers er der jo strengt taget ingen grund til at have os'et kørende. Så ja dem skal man være over med patchning og ellers sørge for at et absolut minimum kører. Noget Microsoft vist nok også har lært med win2k8 core

Min pointe er, at hvis man ved hvad man gør (det er der ingen, der ved 120%), så er Linux en ret sikker platform (altså det konservative RHEL/CentOS - ikke desktop-linux distros, som nogle er skøre nok til at bruge til servere). Og også Windows - hvis bag en god Firewall - f.eks. en Linux. Har man ikke den fornødne viden, så kan det hele nærmest være ligemeget.

Det sjove eller skræmmende er jo bare at man typisk hører at linux er sikker ud af æsken. Ikke at du har skrevet det.

Med hensyn til at bruge et desktop OS som server så går jeg ud fra du mener Fedora og Ubuntu?
Jeg personligt stille de samme krav til et desktop OS som jeg gør til mit server OS så jeg ser intet problem i at køre hvad mange anser for at være et server OS som desktop OS.

En dårligt konfigureret Linux er ikke sikker, men dog meget sikrere end f.eks. en standard Windows Server opsætning. Dog vinder en vel-konfigureret Widows vel over en elendigt konfigureret Linux? Jo, måske med de nyeste versioner af Windows Servere - men ikke med de gamle (Windows 2000 Server og ældre - og muligvis 2003 også).

Jeg kunne godt tænke mig at vide hvad du bygger din viden på? Fra windows 2k server og ned er sikkerheden lidt lala men det er forhåbentlig ikke noget der bliver brugt ret meget mere og så kun under særlige omstændigheder. Win2k3 har en ok sikkerhedshistorie indtil nu

Windows er desværre bare bloated. Microsoft kan ikke overskue det - hvordan skal så jeg???? De har endog kildekoden (i hvert fald en del af den). Linux Monolithic kerne er heldigvis ikke bloated i samme grad. Og man har da (host, host...) adgang til kildekoden, hvis man vil (nej, jeg har bestemt ikke nærlæst den), men det har andre (end MS) heldigvist gjort for mig. Windows er en Black-Box, hvordan man så vender og drejer det, hvor du faktisk ikke aner en skid om noget som helst. Man kører bare på best-practices og ellers på held og bedste ønsker.

Hvorledes er best practice, held og bedste ønsker værre end det du laver med din linux kasse?

Dette er nogle ret kvalificerede fakta, fra en, der ikke påberåber sig nogen super Linux kompetencer. Kun adskillige års erfaringer. Alle er velkomne til at kalde dette en flame-war. Det ændrer ikke en tøddel. Jeg giver muligvis også svar på tiltale.

Hvis det skulle være en flame war vil jeg sige du er fejlet fælt. Du kan ikke føre en sober tone i en flame war selvom du virker en smule biased... :)

Jon Gaasedal skrev:
1. Oprette en bruger med en langt, kompliseret navn. Dette er næsten lige så vigtigt som et stærkt password (hvis man lige studerer sin log-watch en smule).

2. Deaktivere direkte root-adgang i /etc/ssh/sshd.config

Ad 1. Dette er dog en tåbelig idé, da du dermed opnår "Security through Obscurity". Hvad der derimod er en rigtig god idé er at fjerne muligheden for at anvende passwords - istedet bør man anvende kryptografiske nøgler. Disse nøgler er ikke afhængige af brugernes tilfældige password genererings egenskaber. Desuden bør man have en politik omkring udskiftning af nøgler, samt hvorvidt nøgler skal udstyres med "passphrases".

Ad 2. Fornuftigt, og noget som efterhånden er ved at være udbredt som en standard opsætning. Derudover bør root faktisk aldrig benyttes - sudo er langt bedre, da du dermed har mere kontrol over hvem der eskalerer sine rettigheder, samt overfor hvilke services du har tilladelse til at eskalere dem.

Derudover, så bør man afholde sig fra at anvende egne kerner eller andre vigtige komponenter, medmindre du følger godt med på sikkerheds listerne - ellers kan man let komme til at misse en opdatering. De fleste server distroer har en rigtig god opdaterings service.

/Kim

Marc Munk skrev:

Hvorfor dælen vil de flytte iptables til userspace?

De, altså Linus Thorvalds & CO, har vist næppe nogle planer om dette. Der har været andre røster fremme om dette, kan ikke huske referencer. Ja, det ville være en ret meningsløs (og farlig) idé.

Det er ikke så meget de forsøg der ikke lykkes jeg er nervøs for...

Netop. Intet brok at se fra Log-Watch f.eks. - bare et ekstra login registreret - som garanteret oversés. Derfor tjekker jeg også altid den sidste login-IP, når jeg logger ind via SSH. (Men der er naturligvis også andre veje ind - plus at alle ting kan manipuleres.) Men jeg har den underlige idé, at hvis jeg bruger et obskurt brugernavn, så er den chance reduceret betydeligt.

Selinux har introduceret sine egne problemer men i min verden bør man dog bruge det alligevel.

Skal blankt indrømme, at SELinux slet ikke er noget, som jeg har forstand på. Har aldrig rigtigt haft tid til at sætte mig ind i det. Ikke før nu, hvor jeg leger lidt - mest i permissive mode, så jeg ser, hvad der skal ændres.

Du får sgu ondt den dag der kommer en orm til linux hvis du holder ved den holdning... Hvis vi ser på den sidste orm der ramte windos (conficker) så var den jo ret let at holde ude. Det var et simpelt spørgsmål om at rulle en patch på der iøvrigt kom noget tid før conficker. Hvis man ikke har styr på sin patchmanagement så er det altså lige meget meget hvilket os man bruger.

Hmmm...., ja, man kan desværre aldrig føle sig helt sikker. En orm der kunne inficere både Windows og Linux samtidigt (med forskellige payloads), den ville være ret ubehagelig - og hurtig. En der kun kører på Linux, ville vel have lid sværere/langsommere udbredelsesmuligheder? Og ja, jeg er ikke altid helt fremme skoene med de seneste yum-opdateringer.... (visse dumme ting der står i vejen - og de ting har jeg tyndet kraftigt ud i nu.)

Jeg går ud fra at du taler om services? Dem bliver man nødt til at have ellers er der jo strengt taget ingen grund til at have os'et kørende. Så ja dem skal man være over med patchning og ellers sørge for at et absolut minimum kører. Noget Microsoft vist nok også har lært med win2k8 core

Både og. Men services er langt den mindste del. Hvis du nu tager og dumper configurationen for en standard CentOS 5 kerne, så får du en identisk kerne, ved selv at kompilere kernen, ved at benytte nævnte configuration. Her kan man så pille lidt og fjerne ting, man ikke bruger. Og der er faktisk en uhyrlig masse unødvendige ting, der er kompileret direkte ind i kernen - eller som kernel-modules. Vel at mærke til lige dit brug. Der er brugt spredehagl, så kernen opfylder de flestes behov. Og det fungerer ellers udmærket - og sædvanligvis bruger jeg da også bare default-kernen. Men altså, dem der kører med særligt udsatte og mission-kritiske systemer, de kan højne sikkerheden en hel del her. Mine sikkerhedsbehov er mere overskuelige (i øjeblikket).

Det sjove eller skræmmende er jo bare at man typisk hører at linux er sikker ud af æsken. Ikke at du har skrevet det.

Linux er naturligvis ikke sikkert ud af æsken. Det er jo noget vrøvl. Der skal da et vist minimum af konfiguration til. Men med default firewall plus SELinux aktiveret, så er det da sikrere (og mindre anvendeligt) en visse andre systemer (og hiver man stikket ud, så kan det ikke blive sikrere). Men ikke "sikkert" i bred forstand. Det er jo også klart, at f.eks. en Windows Server, der er konfigureret af en kompetent IT-afdeling er sikrere end en 14-årigs Linux-eksperimenter.

Med hensyn til at bruge et desktop OS som server så går jeg ud fra du mener Fedora og Ubuntu?
Jeg personligt stille de samme krav til et desktop OS som jeg gør til mit server OS så jeg ser intet problem i at køre hvad mange anser for at være et server OS som desktop OS.

Jeg tænkte specifikt på Ubuntu. Pga. manglende hardware-understøttelse i CentOS, så installerede jeg det rædsel på nogle nye computere for venner og bekendte. Jeg er bestemt ikke populær nu! Men det sparer mig så nok for masser af gratis vennetjenester fremover...

Nå, jeg røg lidt af sporet her, men ville lige tage det med. Det drejede sig jo om at bruge det til servere.

Det nyeste nye kan være fint til desktoppen, hvor kun udgående trafik er new og indgående kun er related og established - og alt gemt godt af vejen bag en NAT-router. Det er sommetider træls med 2 år gamle packages til servere, men det er så i det mindste vel gennemtestet og stabilt. Man kan ikke få begge dele - men til servere skulle valget være ret indlysende.

Jeg stiller også samme krav til et desktop OS som til en server - derfor kører jeg personligt CentOS 5.4 på både servere og desktops. Det er også meget mere overskueligt så. Og ssh-prompte i forskellige farver, så jeg ved hvor jeg er henne og laver farlige ting. Og derudover bruger jeg også ekstra repositories, som jeg ikke ville drømme om at bruge på en server. Slige behov er så heldigvis også meget mindre på servere.

Jeg kunne godt tænke mig at vide hvad du bygger din viden på? Fra windows 2k server og ned er sikkerheden lidt lala men det er forhåbentlig ikke noget der bliver brugt ret meget mere og så kun under særlige omstændigheder. Win2k3 har en ok sikkerhedshistorie indtil nu

Jeg flyttede helt væk fra Windows ved Windows 2000 Server, efter at have benyttet det i 2-3 år, så jeg har ikke så meget at sige om nyere versioner. Det var rædselsfuldt. Håber det er blevet meget bedre nu. Jeg sover også meget bedre nu. Måske på indbildt sikkerhed - men det gør da ikke søvnen værre... indtil jeg måske vågner op til den barske virkelighed.

Men jeg går ud fra, at Win2k3 stadig skal ligge bag en ekstern firewall? Er der noget der ligner iptables indbygget? Jeg tror da gerne, at en Win2k3 med kun port 80 etc. åben, burde være helt OK sikkeredsmæssigt.

Hvorledes er best practice, held og bedste ønsker værre end det du laver med din linux kasse?

Nå, jæh, det var vist mere noget ordskvalder. De fleste af os siger jo tit ting, der ikke rigtigt giver mening, når det bliver kigget efter i sømmene. Dog bortset fra det dér med "best practices", som jo skal bruges alle steder - ikke kun på Windows.

Hvis det skulle være en flame war vil jeg sige du er fejlet fælt. Du kan ikke føre en sober tone i en flame war selvom du virker en smule biased... :)

Tak, det var pænt sagt. Og ja, jeg indrømmer blankt, at jeg er mere end bare en smule biased. Dette stammer iøvrigt slet ikke fra brugen af desktop-os'es. Jeg trivedes faktisk ret godt med XP. Det var på serversiden, at det blev ubehageligt. Så det er ikke som desktop-bruger, at jeg udtaler mig. På den anden side, så føler jeg mig efterhånden meget mere hjemme med Linux med KDE. Jeg bliver frustreret, når jeg en enkelt gang sidder ved Windows. Jeg aner ikke hvad jeg skal gøre. Det kan jo ingenting længere - når man nu langt om længe er blevet en Linux nørd.

Kim Jensen skrev:

Ad 1. Dette er dog en tåbelig idé, da du dermed opnår "Security through Obscurity". Hvad der derimod er en rigtig god idé er at fjerne muligheden for at anvende passwords - istedet bør man anvende kryptografiske nøgler. Disse nøgler er ikke afhængige af brugernes tilfældige password genererings egenskaber. Desuden bør man have en politik omkring udskiftning af nøgler, samt hvorvidt nøgler skal udstyres med "passphrases".

Jamen, ifølge din tankerække, så er passwords da også Security Through Obscurity. Og det er da også rigtigt. Det er vel også derfor du sværger til nøgler. Men symmetrisk kryptering er stærkere end usymmetrisk kryptering via private/public keys. Derfor bruger man i dag begge dele til f.eks. PGP/GPG - og du nævner da også passphrases til nøglerne. Problemet er så udvekslingen af en key-phrase. Men i mit tilfælde er dette ikke et problem, da det for så vidt kun er mig, der har de mest delikate rettigheder og adgange.

Men jeg bruger så kun symmetrisk kryptering til SSH. Jeg bruger også nøgler til andre ting (uden passphrases), men det er låst på faste IP-adresser - og nøglerne bruges af mageligheds-hensyn - og i visse tilfælde af nødvendighed. Kun SSH er tilgængeligt globalt. Jeg rejser en del (og bor i det fjerne syd-østen) - og det sker måske én gang om året, at jeg i en nødsituation må ordne noget fra en key-loggende PC på en eller anden underlig internet-café - og dér duer nøgler ikke, hvis ikke jeg kan bruge min egen laptop (som jeg dog som regel kan). Men jeg har naturligvis nogle tricks, der gør dette sikkert via putty.

Ad 2. Fornuftigt, og noget som efterhånden er ved at være udbredt som en standard opsætning. Derudover bør root faktisk aldrig benyttes - sudo er langt bedre, da du dermed har mere kontrol over hvem der eskalerer sine rettigheder, samt overfor hvilke services du har tilladelse til at eskalere dem.

Det er naturligvis meget fornuftigt at blokere for direkte root-adgang til servere på internettet.

På desktoppen kører jeg som almindelig bruger - næsten hele tiden. På servere kører jeg for det meste som root - via su. Og vi er kun to med nogen som helst root-rettigheder. Og sudo? Aldrig i livet! Kommer overhovedet ikke på tale! Jeg er meget bevidst om, at jeg kører som root. Har ikke lavet noget rigtigt skidt nogensinde som root. Jeg tjekker 2-3 gange, før jeg trykker Enter - og 5 gange, hvis der står rm -fr et-eller-andet og lignende farlige ting. Jeg tvivler på, at du kan give én god grund til at bruge sudo, som jeg (eller andre) ikke kan modargumentere. Men hvis du kan - så kommer det næppe til at ændre helheds-billedet af sikkerheden vedr. henholdsvis su og sudo. Jeg har aldrig brugt sudo - og har læst alt for meget negativt om det, til overhovedet at overveje det. Men måske du kan få mig på bedre tanker? Jeg er åben for at lære nye ting.

Derudover, så bør man afholde sig fra at anvende egne kerner eller andre vigtige komponenter, medmindre du følger godt med på sikkerheds listerne - ellers kan man let komme til at misse en opdatering. De fleste server distroer har en rigtig god opdaterings service.

Meget enig. Hvis man ikke lægger de nødvendige resourcer og seriøsitet i sin kernel-kompilering og opdatering, så er man meget hurtigt sejlet bagud sikkerhedsmæssigt. Så jeg holder mig ret generelt til RHEL/CentOS standard kerner. Jeg ved naturligvis mere om kernen end skaberne gør - om ca. 500 år. Men i mellemtiden kan jeg da stadig reducere nogle ting ret nemt - hvis jeg altså bruger tid på det - hvilket jeg ikke umiddelbart gør. Men det kan godt komme til at ændre sig (gentage sig).

Se lige bort fra vrøvlet om udveksling af passphrases til... private-key.

...Det er jo netop for at undgå udveksling af passwords, at man benytter private/public keys, når der er mange brugere.

Jon Gaasedal skrev:
De, altså Linus Thorvalds & CO, har vist næppe nogle planer om dette. Der har været andre røster fremme om dette, kan ikke huske referencer. Ja, det ville være en ret meningsløs (og farlig) idé.

Det kan være at de får ideen med afløseren for iptables hvem ved..?

Netop. Intet brok at se fra Log-Watch f.eks. - bare et ekstra login registreret - som garanteret oversés. Derfor tjekker jeg også altid den sidste login-IP, når jeg logger ind via SSH. (Men der er naturligvis også andre veje ind - plus at alle ting kan manipuleres.) Men jeg har den underlige idé, at hvis jeg bruger et obskurt brugernavn, så er den chance reduceret betydeligt.

Det er jo svært at vide om det faktisk virker. Men man må jo tage chancen og ellers se på sin netværks trafik så man har en ide om hvad der sker på netværket for at være sikker.

Skal blankt indrømme, at SELinux slet ikke er noget, som jeg har forstand på. Har aldrig rigtigt haft tid til at sætte mig ind i det. Ikke før nu, hvor jeg leger lidt - mest i permissive mode, så jeg ser, hvad der skal ændres.

Jeg kan ikke påstå at være nået længere med selinux. Men jeg har så heller ikke været den store forbruger af linux. De fleste af mine timer på 'den alternative side' er gået med FreeBSD og OpenBSD.

Hmmm...., ja, man kan desværre aldrig føle sig helt sikker. En orm der kunne inficere både Windows og Linux samtidigt (med forskellige payloads), den ville være ret ubehagelig - og hurtig. En der kun kører på Linux, ville vel have lid sværere/langsommere udbredelsesmuligheder? Og ja, jeg er ikke altid helt fremme skoene med de seneste yum-opdateringer.... (visse dumme ting der står i vejen - og de ting har jeg tyndet kraftigt ud i nu.)

Den orm er det der kan få os alle til at miste meget søvn. Men hvorvidt det ville gå langsommere på linux end på windows tvivler jeg nu på. Kommer lortet først ind på netværket er det de færeste der bruger lokale firewalls på alle kasser og så går det altså hurtigt.

Både og. Men services er langt den mindste del. Hvis du nu tager og dumper configurationen for en standard CentOS 5 kerne, så får du en identisk kerne, ved selv at kompilere kernen, ved at benytte nævnte configuration. Her kan man så pille lidt og fjerne ting, man ikke bruger. Og der er faktisk en uhyrlig masse unødvendige ting, der er kompileret direkte ind i kernen - eller som kernel-modules. Vel at mærke til lige dit brug. Der er brugt spredehagl, så kernen opfylder de flestes behov. Og det fungerer ellers udmærket - og sædvanligvis bruger jeg da også bare default-kernen. Men altså, dem der kører med særligt udsatte og mission-kritiske systemer, de kan højne sikkerheden en hel del her. Mine sikkerhedsbehov er mere overskuelige (i øjeblikket).

Hvis man kan overskue konsekvensen af at lave sin egen kerne uden det unødvendige ekstra sjov vil jeg da mene at det er vejen frem. Jo mindre kode der kører jo mindre kode er der at angribe.

Linux er naturligvis ikke sikkert ud af æsken. Det er jo noget vrøvl. Der skal da et vist minimum af konfiguration til. Men med default firewall plus SELinux aktiveret, så er det da sikrere (og mindre anvendeligt) en visse andre systemer (og hiver man stikket ud, så kan det ikke blive sikrere). Men ikke "sikkert" i bred forstand. Det er jo også klart, at f.eks. en Windows Server, der er konfigureret af en kompetent IT-afdeling er sikrere end en 14-årigs Linux-eksperimenter.

Jeg vil faktisk påstå at det meste er mere sikkert hvis det er klaret af en kompentent itafdeling hvis det bliver sammenlignet med en der eksperimentere. Erfaring hjælper utroligt meget.

Jeg tænkte specifikt på Ubuntu. Pga. manglende hardware-understøttelse i CentOS, så installerede jeg det rædsel på nogle nye computere for venner og bekendte. Jeg er bestemt ikke populær nu! Men det sparer mig så nok for masser af gratis vennetjenester fremover...

Nå, jeg røg lidt af sporet her, men ville lige tage det med. Det drejede sig jo om at bruge det til servere.

Det nyeste nye kan være fint til desktoppen, hvor kun udgående trafik er new og indgående kun er related og established - og alt gemt godt af vejen bag en NAT-router. Det er sommetider træls med 2 år gamle packages til servere, men det er så i det mindste vel gennemtestet og stabilt. Man kan ikke få begge dele - men til servere skulle valget være ret indlysende.

Jeg stiller også samme krav til et desktop OS som til en server - derfor kører jeg personligt CentOS 5.4 på både servere og desktops. Det er også meget mere overskueligt så. Og ssh-prompte i forskellige farver, så jeg ved hvor jeg er henne og laver farlige ting. Og derudover bruger jeg også ekstra repositories, som jeg ikke ville drømme om at bruge på en server. Slige behov er så heldigvis også meget mindre på servere.

Vi er fuldt ud enige. Lige pånær valg af OS men det er jo en smags sag når det kommer til stykket :)

Jeg flyttede helt væk fra Windows ved Windows 2000 Server, efter at have benyttet det i 2-3 år, så jeg har ikke så meget at sige om nyere versioner. Det var rædselsfuldt. Håber det er blevet meget bedre nu. Jeg sover også meget bedre nu. Måske på indbildt sikkerhed - men det gør da ikke søvnen værre... indtil jeg måske vågner op til den barske virkelighed.

Der har ikke været det helt samme stormløb mod win2k3 som vi har set på desktop siden.

Men jeg går ud fra, at Win2k3 stadig skal ligge bag en ekstern firewall? Er der noget der ligner iptables indbygget? Jeg tror da gerne, at en Win2k3 med kun port 80 etc. åben, burde være helt OK sikkeredsmæssigt.

Der er en lokal firewall men det er stadig at foretrække at bruge en yderfirewall. På samme måde som det er best practice at gøre på linux. Og med hensyn til port 80 så kommer det nu an på hvilken webserver du vil køre. De nyeste IIS versioner har fået et bedre ry men jeg er nu stadig mere til Apache.

Nå, jæh, det var vist mere noget ordskvalder. De fleste af os siger jo tit ting, der ikke rigtigt giver mening, når det bliver kigget efter i sømmene. Dog bortset fra det dér med "best practices", som jo skal bruges alle steder - ikke kun på Windows.

Det er ihvertfald det de gerne vil bilde os ind når de taler om itil.

Tak, det var pænt sagt. Og ja, jeg indrømmer blankt, at jeg er mere end bare en smule biased. Dette stammer iøvrigt slet ikke fra brugen af desktop-os'es. Jeg trivedes faktisk ret godt med XP. Det var på serversiden, at det blev ubehageligt. Så det er ikke som desktop-bruger, at jeg udtaler mig. På den anden side, så føler jeg mig efterhånden meget mere hjemme med Linux med KDE. Jeg bliver frustreret, når jeg en enkelt gang sidder ved Windows. Jeg aner ikke hvad jeg skal gøre. Det kan jo ingenting længere - når man nu langt om længe er blevet en Linux nørd.

Vi har vist alle prøvet at blive frustreret over et OS. Sidst jeg prøvede det var ved et forsøg på at undersøge om linux var et godt valg. Men jeg tror nu det er fordi jeg har vænnet mig til at bruge windows og BSD.

Jon Gaasedal skrev:
Jamen, ifølge din tankerække, så er passwords da også Security Through Obscurity. Og det er da også rigtigt. Det er vel også derfor du sværger til nøgler. Men symmetrisk kryptering er stærkere end usymmetrisk kryptering via private/public keys. Derfor bruger man i dag begge dele til f.eks. PGP/GPG - og du nævner da også passphrases til nøglerne. Problemet er så udvekslingen af en key-phrase. Men i mit tilfælde er dette ikke et problem, da det for så vidt kun er mig, der har de mest delikate rettigheder og adgange.

Et par ting.

Passwords er Security Through Obscurity, eller sikkerhed ved hemligholdelse om du vil.

Faktisk bruger man både symetrisk og asymmetrisk kryptering fordi asymmetrisk er er så umådeligt langsomt i forhold til symmetrisk. Det eneste der bliver krypteret med asymmetrisk er jo den symmetriske nøgle.

På desktoppen kører jeg som almindelig bruger - næsten hele tiden. På servere kører jeg for det meste som root - via su. Og vi er kun to med nogen som helst root-rettigheder. Og sudo? Aldrig i livet! Kommer overhovedet ikke på tale! Jeg er meget bevidst om, at jeg kører som root. Har ikke lavet noget rigtigt skidt nogensinde som root. Jeg tjekker 2-3 gange, før jeg trykker Enter - og 5 gange, hvis der står rm -fr et-eller-andet og lignende farlige ting. Jeg tvivler på, at du kan give én god grund til at bruge sudo, som jeg (eller andre) ikke kan modargumentere. Men hvis du kan - så kommer det næppe til at ændre helheds-billedet af sikkerheden vedr. henholdsvis su og sudo. Jeg har aldrig brugt sudo - og har læst alt for meget negativt om det, til overhovedet at overveje det. Men måske du kan få mig på bedre tanker? Jeg er åben for at lære nye ting.

Sudo har sine fordele. Særligt på audits. Hvis i er et par stykker der har adgang til root brugeren kan det vise sig at være svært at finde ud af hvem der har lavet numre. Men hvis i brugte sudo ville det ikke være noget problem plus mulighederne for at granulere rettighederne. Husk vi går efter mindst mulige rettigheder. Og en anden lille godbid. Hvad får du ud af at bruge sudo og hvad mister du ved at bruge det?

Hej Marc

Det er jo svært at vide om det faktisk virker. Men man må jo tage chancen og ellers se på sin netværks trafik så man har en ide om hvad der sker på netværket for at være sikker.

Uha, du giver mig alt for meget at lave...

Jeg kan ikke påstå at være nået længere med selinux. Men jeg har så heller ikke været den store forbruger af linux. De fleste af mine timer på 'den alternative side' er gået med FreeBSD og OpenBSD.

En *BSD er bestemt på min ønskeliste. Jeg tænker først og fremmest 'Firewall' når jeg tænker *BSD. Men jeg kender jo hellere intet til *BSD, udover den smule, jeg ar læst. Med virtuelle maskiner, så er der ikke så mange undskyldninger mere for ikke at eksperimentere. Der er kun tale om tids-prioritering. Men det skal nok komme.

Hvis man kan overskue konsekvensen af at lave sin egen kerne uden det unødvendige ekstra sjov vil jeg da mene at det er vejen frem. Jo mindre kode der kører jo mindre kode er der at angribe.

Netop sådan. Som et dumt eksempel (har ikke konfigurations-editoren lige her), så skal jeg f.eks. ikke bruge Bluetooth på serveren. Men hvis jeg skal, så virker det bare og er automatisk understøttet på kernel-niveau. Jeg aner ikke, om der er sikkerhedsproblemer i Bluetooth, men hvorfor skal jeg have det kørende på serveren? Jo mindre, jo bedre. Og de ting jeg ikke kan overskue 100% - dem piller jeg naturligvis ikke ved (undtaget på desktoppen - kan altid boote et andet kernel i tilfælde af problemer).

Jeg vil faktisk påstå at det meste er mere sikkert hvis det er klaret af en kompentent itafdeling hvis det bliver sammenlignet med en der eksperimentere. Erfaring hjælper utroligt meget.

I min verden er det erfaringerne, der tæller mest. Og dette var så mit problem, da jeg skulle starte med Linux. Dette er så heldigvis blevet meget bedre efterhånden. Og ellers er jeg enig.

Vi er fuldt ud enige. Lige pånær valg af OS men det er jo en smags sag når det kommer til stykket :)

At det lige blev Linux, det var sådan mere tilfældigt. Vi skulle bare væk fra Windows som den primære platform. Vi kørte i forvejen Linux som ekstern firewall - og så kørte det bare videre derfra.

Der er en lokal firewall men det er stadig at foretrække at bruge en yderfirewall. På samme måde som det er best practice at gøre på linux. Og med hensyn til port 80 så kommer det nu an på hvilken webserver du vil køre. De nyeste IIS versioner har fået et bedre ry men jeg er nu stadig mere til Apache.

Ja, hvis man kan have en ekstern firewall. Jeg har f.eks. en enkelt server kørende i Tyskland (udover min virksomheds servere - hvor jeg er en mindre medejer). Den kører et firewall-script på Host OS - og så bruger jeg ellers KVM/QEMU til virtuelle maskiner. Og så er jeg endelig fri for VMware. Hvilket også var en af de nævnte hindringer, for at tage sig sammen til opdateringer. Det skulle jo vente til et mere belejligt tidspunkt - altså helst til midt om natten, hvilket jeg så ikke altid gider... (altså kerne-opdateringer.)

Og når man nu bruger KVM, så er lige RHEL og søstre pludseligt et ret så godt valg, synes jeg. Det er ihvertfald nemt at installere som standard via yum og er Redhats yndling.

Og ja, jeg er er bestemt også til Apache fremfor IIS.

Vi har vist alle prøvet at blive frustreret over et OS. Sidst jeg prøvede det var ved et forsøg på at undersøge om linux var et godt valg. Men jeg tror nu det er fordi jeg har vænnet mig til at bruge windows og BSD.

Med min baggrund i Commodore Amiga tilbage i firserne (og før det ZX-Spectrum, med den dejlige Z-80 processor i 1983), så må enhver jo forstå frustrationen, da jeg pludseligt blev tvunget til at bruge Windows "til rigtig programmering" (NT 3.5 og 4.0). Altså pga. Allaire ColdFusion i dens tidlige fase i sen-halvfemserne. Og PostgreSQL, som bestemt ikke var, hvad det er i dag. Elsker det i dag. Og bruger ellers Java og JSP nu. Og *BSD skal der jo også snuses til. Om Linux er et godt/det bedste valg, det ved jeg ikke. Men det er bedre end forgængeren, som vi brugte. Kan det så blive endnu bedre, så er det jo ikke at kimse ad.

Sommetider er der tale om smag og behag. Til andre tider er det bare ignorance, fordi man ikke kender alternativerne - eller sågar ikke har hørt om dem. Jeg er f.eks. ret ignorant vedr. *BSD. Knap så ignorant vedr. Windows. Og det bliver ikke let for Microsoft at konvertere mig tilbage. De har haft ret så mange år nu til at skrotte det gamle og lave noget ordendtligt - der faktisk er designet fra bunden af til at koble til et netværk. Der må komme mere syn for sagen. Windows ME var et genialt forsøg i pludseligt at arbejde sig tilbage til stenalderen. XP derimod var bestemt en positiv overraskelse (med SP2). Men ellers er *NIX (efterhånden) udmærket for mig. Jeg stortrives faktisk.

Helt ærligt, hvis Microsoft forsvandt i morgen, så ville jeg kun vide det via nyhederne på Computerworld. Og så ville jeg sikkert få travlt og skore kassen.

Og en generel kommentar:

Jeg tror, at vi godt kan opdele debattører ret groft i tre kategorier:

1. Brugere af en enkelt desktop med Windows, Mac/BSD eller Linux - plus evt. en lokal server til diverse. Dette er de meget religiøse. Og mange er ret hysteriske med deres religion - og er frelste Fanboys.

2. Programmører, sysadmins etc., der betjener et par eller fem web-servere, mail-server m.m. De er knap så religiøse. Dog kan der godt komme noget fra den kant, men sædvanligvis med lidt kød på - og lidt mere sobert. Disse behøver ikke tænke på hundredevis af brugere, der f.eks. skal have visse sudo-rettigheder.

3. IT-afdelingen. De er skideligeglade med, hvad barnet hedder. Det skal fungere og give sorte tal på bundlinien. Hvis de udtaler sig, så er det om specifikke teknologier, stupid lovgivning og lignende. Og hvad der ellers rører sig af aktuelle ting på IT-fronten i øjeblikket.

Jeg hører til gruppe 2 - og har derfor f.eks. ikke de sudo behov. Og hverken jeg eller min 'root-makker' kan fyres - så vi har ingen årsag til at skjule bommerter og fjerne logs og history etc. Så vi bruger bare su - og laver et # history > history_20100301.txt i ny og næ, og så 'cat', hvis der er noget underligt et sted

Da vi kun er to med root-adgang, så ved jeg godt, hvilke linier i history er begået af mig. Hvis altså vi ikke er blevet hacket.

Jeg synes, at denne opdeling giver mening, da de ting jeg siger, ikke nødvendigvis er interresant for alle, men mest for dem, der beskæftiger sig med de samme ting, som jeg fusker med. Men visse tips er vigtige for alle - og sådanne finder jeg da også i alle "lejre".

IT-afdelingerne har så helt andre behov - også ting, som jeg slet ikke behøver have en pind forstand på. "Skomager, bliv ved din læst!"

Det gode ved at være programmør er, at men ikke behøver en specifik viden, førend man skal bruge den. Men sysadmins skal helst være et godt stykke foran begivenhedernes gang...

I mit tilfælde betyder dette, at jeg er en programmør, der er nødt til også at lege sysadmin.

PS: Har fået libvirt/virt-manager/Gtk-vnc m.m. at køre via TLS - men jeg føler mig bestemt ikke som en krypteringsekspert af den grund.

Jon Gaasedal skrev:
Uha, du giver mig alt for meget at lave...

Nu skal vi ikke kimse af de værktøjer vi har der kan hjælpe os. Her kommer en snort til hjælp. Der er lidt arbejde i det men det kan da hjælpe.

En *BSD er bestemt på min ønskeliste. Jeg tænker først og fremmest 'Firewall' når jeg tænker *BSD. Men jeg kender jo hellere intet til *BSD, udover den smule, jeg ar læst. Med virtuelle maskiner, så er der ikke så mange undskyldninger mere for ikke at eksperimentere. Der er kun tale om tids-prioritering. Men det skal nok komme.

Jeg tvivler på at du har tid og lyst til at jeg begynder at fortælle dig hvorfor du skulle vælge at bruge din tid på *BSD istedet for linux, det er første grund til at jeg ikke gør det. Anden grund er at jeg ikke ser nogen fornuft i at forsøge at overbevise andre om at de skulle have samme præference som mig. Men held og lykke med dine *BSD eksperimenter. Det har ikke skadet mig at kunne arbejde med flere systemer og jeg tvivler på at du vil opleve det modsatte. :)

Netop sådan. Som et dumt eksempel (har ikke konfigurations-editoren lige her), så skal jeg f.eks. ikke bruge Bluetooth på serveren. Men hvis jeg skal, så virker det bare og er automatisk understøttet på kernel-niveau. Jeg aner ikke, om der er sikkerhedsproblemer i Bluetooth, men hvorfor skal jeg have det kørende på serveren? Jo mindre, jo bedre. Og de ting jeg ikke kan overskue 100% - dem piller jeg naturligvis ikke ved (undtaget på desktoppen - kan altid boote et andet kernel i tilfælde af problemer).

Der er vist ikke så meget at diskutere der.

At det lige blev Linux, det var sådan mere tilfældigt. Vi skulle bare væk fra Windows som den primære platform. Vi kørte i forvejen Linux som ekstern firewall - og så kørte det bare videre derfra.

Jeg kunne lige så godt have været end på linux. Det var også et rent tilfælde at det blev FreeBSD istedet. Jeg har dog siden forsøgt at bruge linux et par gange men jeg føler mig ikke meget hjemme med de distroer jeg har forsøgt. Jeg er ikke i tvivl om at der findes distroer der kunne passe mit temperement og måde at arbejde men jeg har ikke gidet undersøge det noget særligt.

Ja, hvis man kan have en ekstern firewall. Jeg har f.eks. en enkelt server kørende i Tyskland (udover min virksomheds servere - hvor jeg er en mindre medejer). Den kører et firewall-script på Host OS - og så bruger jeg ellers KVM/QEMU til virtuelle maskiner. Og så er jeg endelig fri for VMware. Hvilket også var en af de nævnte hindringer, for at tage sig sammen til opdateringer. Det skulle jo vente til et mere belejligt tidspunkt - altså helst til midt om natten, hvilket jeg så ikke altid gider... (altså kerne-opdateringer.)

Og når man nu bruger KVM, så er lige RHEL og søstre pludseligt et ret så godt valg, synes jeg. Det er ihvertfald nemt at installere som standard via yum og er Redhats yndling.

Og ja, jeg er er bestemt også til Apache fremfor IIS.

Nu ved jeg ikke hvordan de forskellige hosting leverandører gør det men da jeg sad hos en sådan havde alle kunder en firewall foran deres systemer. De mest sikkerhedsbevidste havde så også en lokal firewall. Og på det punkt er linux/*BSD langt foran windows.

Jeg har ikke selv brugt voldsomt meget energi på virtualisering grundet at jeg ikke er nogen stor fan af dette.

baggrund i Commodore Amiga tilbage i firserne (og før det ZX-Spectrum, med den dejlige Z-80 processor i 1983), så må enhver jo forstå frustrationen, da jeg pludseligt blev tvunget til at bruge Windows "til rigtig programmering" (NT 3.5 og 4.0). Altså pga. Allaire ColdFusion i dens tidlige fase i sen-halvfemserne. Og PostgreSQL, som bestemt ikke var, hvad det er i dag. Elsker det i dag. Og bruger ellers Java og JSP nu. Og *BSD skal der jo også snuses til. Om Linux er et godt/det bedste valg, det ved jeg ikke. Men det er bedre end forgængeren, som vi brugte. Kan det så blive endnu bedre, så er det jo ikke at kimse ad.

Den bedste måde at finde ud af om det er et bedre alternativ er jo som du også selv nævner ved at teste det. Held og lykke med dine tests. :)

Sommetider er der tale om smag og behag. Til andre tider er det bare ignorance, fordi man ikke kender alternativerne - eller sågar ikke har hørt om dem. Jeg er f.eks. ret ignorant vedr. *BSD. Knap så ignorant vedr. Windows. Og det bliver ikke let for Microsoft at konvertere mig tilbage. De har haft ret så mange år nu til at skrotte det gamle og lave noget ordendtligt - der faktisk er designet fra bunden af til at koble til et netværk. Der må komme mere syn for sagen. Windows ME var et genialt forsøg i pludseligt at arbejde sig tilbage til stenalderen. XP derimod var bestemt en positiv overraskelse (med SP2). Men ellers er *NIX (efterhånden) udmærket for mig. Jeg stortrives faktisk.

Hvis du stortrives er der næpppe nogen grund til at skifte tilbage.

Helt ærligt, hvis Microsoft forsvandt i morgen, så ville jeg kun vide det via nyhederne på Computerworld. Og så ville jeg sikkert få travlt og skore kassen.

Der er næppe nogle af de alternativer vi kender i dag der forsvinder lige med det samme så jeg vil fortsat anbefale at kunne lidt af hvert som du jo også kan med et godt kendskab til linux og en måske lidt uopdateret viden på windows, men windows er nu engang windows.

Og en generel kommentar:

Jeg tror, at vi godt kan opdele debattører ret groft i tre kategorier:

1. Brugere af en enkelt desktop med Windows, Mac/BSD eller Linux - plus evt. en lokal server til diverse. Dette er de meget religiøse. Og mange er ret hysteriske med deres religion - og er frelste Fanboys.

Disse er dem man ikke gider bruge tid på. Men de findes desværre i overflod og helmer ikke førend man lader dem udbrede deres ideer uden at de bliver sagt imod. Begge sider er iøvrigt ganske glimrende til at blande sig i debatter hvor deres kommentarer falder helt ved siden af.

2. Programmører, sysadmins etc., der betjener et par eller fem web-servere, mail-server m.m. De er knap så religiøse. Dog kan der godt komme noget fra den kant, men sædvanligvis med lidt kød på - og lidt mere sobert. Disse behøver ikke tænke på hundredevis af brugere, der f.eks. skal have visse sudo-rettigheder.

Nu håber jeg at du er lidt ude på et overdrev når du taler om hundredevis af brugere der har brug for sudo rettigheder.

3. IT-afdelingen. De er skideligeglade med, hvad barnet hedder. Det skal fungere og give sorte tal på bundlinien. Hvis de udtaler sig, så er det om specifikke teknologier, stupid lovgivning og lignende. Og hvad der ellers rører sig af aktuelle ting på IT-fronten i øjeblikket.

Jeg ville ellers umidlbart mene at du hørte til i denne gruppe udfra dine indlæg. Det er også her man finder de mest begavede kommentarer. Og de folk der virkelig er værd at bruge tid på.

Jeg hører til gruppe 2 - og har derfor f.eks. ikke de sudo behov. Og hverken jeg eller min 'root-makker' kan fyres - så vi har ingen årsag til at skjule bommerter og fjerne logs og history etc. Så vi bruger bare su - og laver et # history > history_20100301.txt i ny og næ, og så 'cat', hvis der er noget underligt et sted

Så er der jo også tænkt lidt over det. Ommend jeg gerne så at man brugte sudo men jeg er næppe den rette til at bestemme hvordan i skal gøre tingene i jeres afdeling.

Da vi kun er to med root-adgang, så ved jeg godt, hvilke linier i history er begået af mig. Hvis altså vi ikke er blevet hacket.

Jeg synes, at denne opdeling giver mening, da de ting jeg siger, ikke nødvendigvis er interresant for alle, men mest for dem, der beskæftiger sig med de samme ting, som jeg fusker med. Men visse tips er vigtige for alle - og sådanne finder jeg da også i alle "lejre".

IT-afdelingerne har så helt andre behov - også ting, som jeg slet ikke behøver have en pind forstand på. "Skomager, bliv ved din læst!"

Nogle af de ting du har fortalt om viser da at der bliver tænkt over nogle ting som man ofte ikke ser tænkt over i en relativ lille itafdeling.

Det gode ved at være programmør er, at men ikke behøver en specifik viden, førend man skal bruge den. Men sysadmins skal helst være et godt stykke foran begivenhedernes gang...

I mit tilfælde betyder dette, at jeg er en programmør, der er nødt til også at lege sysadmin.

PS: Har fået libvirt/virt-manager/Gtk-vnc m.m. at køre via TLS - men jeg føler mig bestemt ikke som en krypteringsekspert af den grund.

Jeg synes det at skulle være foran er det sjove ved at være ved at specialisere sig inden for it-sikkerhed. Som instruktøreren på det forensics kursus jeg er igang med sagde "når i er færdige her skal i virkelig igang med at lære. Vi viser jer nogle metoder men det er op til jer selv at holde selv opdateret på nye metoder og måder at bruge disse metoder."