Just nu i M3-nätverket
Jump to content

skita i alla säkerhetspatchar?


tjoff

Recommended Posts

Hej

 

Har en dator som så småningom ska bli någon slags server. Men tills tid och ork finns så installerade jag windows xp på den - och jag måste säga att XP flyger fram på den burken..

 

Det är en Duron 1300 mHz med 128 mb (DDR) ram, Matrox Millenium PCI grafikkort och en 60 gb hårddisk.

 

Windows tar knappt 10 sekunder på sig att starta (bios ej inräknat) och väl i windows så är den riktigt kvick och responsiv.

Nu är den helt opatchad vilket kanske förklarar en del.

 

Men egentligen så borde det ju gå minst lika bra att strunta i dessa - köra en brandvägg för nätverkssäkerheten och köra Firebird istället för internet explorer.

 

I och med brandväggen så får bara de program som jag vill åtkomst till internet och åtkomst från internet. Och då är ju windows säkert som det är i och med att windows aldrig får 'röra' internet.

 

Sen så skulle den här datorn inte klara av särskilt mycket multitasking men som officemaskin så är den snäppet bättre än min desktopdator som är betydligt mer påkostad (främst hårddiskarna som är flaskhalsen där).

 

Funderar på om det här är något för desktop datorn också. Gäller ju förstås att man har koll på nätverkstrafiken men har man det i vilket fall så ser jag inga problem i det. Gör ni det?

(eventuella kompatiblitetsproblem kan kanske uppkomma men inget hindrar en från att installera någon enstaka patch)

 

I och för sig så förlorar man USB 2 (i alla fall jag) om man inte kör SP1. Men sen så har jag ingen USB 2 enhet så det kan jag väl klara mig utan :P

 

[inlägget ändrat 2004-01-13 00:10:55 av tjoff]

Link to comment
Share on other sites

Problemet med ditt resonemang är att du helt bortser från den beprövade strategin med ringar av säkerhet istället för en enda vägg av säkerhet. Om någon tar sig förbi din brandvägg är det klippt.

 

Om brandväggen du syftar på är Windows inbyggda brandvägg är det ju bara att hoppas på att inga av säkerhetsuppdateringarna som du avstår ifrån lagar några eventuella säkerhetshål i just brandväggen.

 

Du har mer än tillräckligt med processorkraft för att kunna köra ett fullt patchat system, så jag förstår inte varför man medvetet skulle vilja försöka köra opatchat som någon slags extremsport, särskilt om du har för avsikt att göra den till någon slags server. Bootningstid borde vara irrelevant eftersom en server alltid är igång. Blir det segt så investera i 128 meg minne till (det är nästan gratis) eller stäng av lite onödigt grafiskt bjäfs och systemtjänster som inte används. Det sistnämnda bör du givetvis göra i vilket fall som helst.

 

Jag har kört Windows 2000 utan antivirus utan problem, dock alltid fullt patchat och bakom NAT med brandvägg, men ett system som det du föreslår skulle jag aldrig drömma om, särskilt inte som server, annat än om jag skulle känna för att skaffa mig själv en hel hoper problem helt i onödan.

 

Link to comment
Share on other sites

Nej, windows brandvägg ger jag inte mycket för.

Allt som har tillgång till internet är självklart patchat.

 

Att jag körde in XP på den datorn var mest som ett test - ska väl köras linux på den datorn sen.

 

Skulle jag göra så så skulle jag förutom en mjukvarubrandvägg komplettera med en router.

 

Kan någon ta sig förbi mjukvarubrandväggen och routern så beror det på att något program som har tillgång till internet - låt oss säga ftp servern har ett hål. Men det skulle ju inte ett patchat system kunna undvika heller.

Och även om någon får kontroll över datorn via detta hål så måste han/hon ta ut brandväggen för att komma åt internet och lyckas han/hon med det så gör inte blasterpatchen mycket motstånd..

 

Visst är bootuptiden irrelevant på en server. Det var bara något jag märkte att tiden för den datorn var väldigt mycket kortare än desktopmaskinens. Det kan dock bero på att jag använder ett kontrollerkort på desktopdatorn vilket verkar sega upp windows uppstart med en halv minut eller liknande..

 

Hoper av problem ser jag inte. Vad för problem?

Bara installera de patchar som man behöver och strunta i säkerhetspatchar och sådant som man inte berörs utav.

 

Processorkraften är som du säger inget problem. Däremot så känns det som om patcharna inte är särskilt optimerade och ökar hårddiskaccessen vilket leder till ett märkbart slöare system (en server berörs antagligen mindre av det).

 

Sen kräver ju många av patcharna en ominstallation av windows, är det något man får ta?

 

Skrev lite konstigt. Skulle jag köra XP på den datorn som server skulle jag antagligen installera alla patchar - främst då den inte skulle beröras av dem på samma sätt.

 

Men desktopdatorn skulle antagligen snabbas upp en del om man körde på detta sätt.

Och i mina ögon så skulle inte säkerheten bli lidande utav detta - förutsatt som sagt att man har kontroll över nättrafiken.

 

Att övergå från teori till praktik och installera om windows för att låta det stå lär jag väl inte göra på ett tag i alla fall. Man vill ju kunna känna sig helt säker och då kör man hellre något beprövat än att testa en teori :)

 

Sen en fundering. Skapar man flera användare för olika program och kör programmen med en speciell användares rättigheter för att minimera skadan vid eventuella angrepp?

 

Link to comment
Share on other sites

Stefan Eklinder
Sen kräver ju många av patcharna en ominstallation av windows, är det något man får ta?

 

Öh?

Du måste mena omstart?!

 

Är det en server som måste vara uppe för att inte sabba verksamheten för ett företag till exempel, så kan omstarter bli dyrbara när servern är nere för omstart.

 

 

---

C:\Eforum\Stefan Eklinder>|

 

Antingen är man en del av lösningen eller en del av problemet.

 

E Cleaver

 

 

Link to comment
Share on other sites

Okej, då låter det som att du vet lite mer vad du snackar om i alla fall ;)

 

Jag skulle fortfarande inte rekommendera din metod, men okej. Om du läser säkerhetsbulletinerna mycket noggrannt och vet med säkerhet att patcharna bara berör tjänster som du inte har aktiverade (RPC till exempel) så är det väl okej. Men då skall man vara väldigt flitig med att läsa allt som skrivs.

 

Att ha separata användare för demoner som Apache och bind är rekommenderat inom unixvärlden, mest för att de har lite speciella krav på säkerhetsnivån (de behöver rätt mycket frihet när de startas men kan sedan gå ner i mer ödmjukt läge, om jag förstått saken rätt). Om något liknande kan tillämpas på Windows på ett sätt som får praktiska fördelar vågar jag inte ha någon uppfattning om.

 

Link to comment
Share on other sites

Archived

This topic is now archived and is closed to further replies.

×
×
  • Create New...