“Security Engineering”- das EBook zum Thema Software- und System-Sicherheit

Das Standardwerk zum Thema Software- und System-Sicherheit “Security Engineering” von Ross Andersons kann ab sofort kostenlos heruntergeladen werden.

Security Engineering EBook

Anderson selbst ist Professor für “Security Engineering” an der Universität Camebridge. Er selbst sagt, er wäre ein Verfechter der freien Kultur und Software und er möchte damit vorallem die armen Studenten errreichen. Endlich konnte er seinen Verlag Wiley überzeugen, dass das Buch kostenlos zur Verfügung gestellt wird.

Das englischsprachige Buch “Security Engineering” von Ross Anderson hat 612 Seiten. Ausserdem ist es mit einem Vorwort von Sicherheitsexperte Bruce Schneier gespickt, der über das Standardwerk sagt: “Wer darüber nachdenkt, etwas im Bereich Security-Engineering zu tun, muss dieses Buch lesen”.

Hier geht es zum Buch: Security Engineering – The Book

Quelle: Golem.de – Ross Andersons “Security Engineering” kostenlos zum Download

Update auf WordPress 2.04 war dringend nötig

Nachdem Golem.de, heise.de und auch andere Onlinedienste dazu geraten haben, habe auch ich meine WordPress-Installation auf WordPress 2.04 hochgezogen. Dies war bei mir eh schon länger mal dringend nötig, da ich, ich will es eigentlich gar nicht sagen, immer noch 1.5.2 laufen hatte. Immer nach dem Motto “Never touch a running system”.

Aber nun ist es wirklich mal Zeit geworden, vor allem wegen den Security-Erweiterungen.

Golem.de rät allen WordPress-Anwendern zum umgehenden Update auf die aktuelle Version 2.0.4. In dieser Version haben die Entwickler der Release-Ankündigung zufolge auch mehr als 50 allgemeine Fehler in der Software beseitigt.

Über Update Probleme konnte ich auch nicht klagen. Lief alles sauber durch, nachdem ich mir die Upgrade-Anleitung mal angeschaut hatte und diese Punkt für Punkt durchgegangen bin.

Links:
Golem.de – WordPress schließt Sicherheitslücken
Installation und Upgrade-Anleitung auf WordPress 2.0.4
Download der neuen WordPress 2.0.4-Version

VPN-Knigge – VPN-Protokolle und Standards

Heise-Security liefert einen interessanten Artikel zum Thema Virtual Private Network (VPN):

Verschiedene Techniken bieten sich zum Aufbau eines virtuellen privaten Netzwerks an, aber nicht alle passen zum gedachten Einsatzszenario. Eine Übersicht über Standards und Protokolle erleichtert die Auswahl.

Das derzeit am häufigsten eingesetzte VPN-Protokoll ist IPSec (IP Security). Mittlerweile findet man es so gut wie in jedem Firewall-Produkt, einige Heim-Router im oberen Preissegment haben es eingebaut und seit Windows 2000 ist es Bestandteil von Microsofts Betriebssystem. Mit IPSec ist es möglich, IP-Pakete kryptographisch gesichert über öffentliche Netze zu transportieren.

Artikel weiterlesen bei heise Security – VPN-Knigge-VPN-Protokolle und Standards

Select-Berechtigung auf ein View in einer Oracle Datenbank

Desöfteren ist es gewünscht, dass z.B, zu Reporting-Zwecken, nur ein lesender Zugriff auf eine Datenbank möglich ist. Hierfür wird, z.B. ein neuer Datenbank-Benutzer (neues Schema) auf der Oracle-Datenbank angelegt und dieser bekommt nur lesende Berechtigungen auf die Daten eines anderen Benutzers (Schemas). Falls nun neue Tabellen oder Views hinzukommen, und der lesende Benutzer darauf zugreifen soll, müssen allerdings, über Grants neue Berechtigungen, für die neuen Tabellen und Views auf dem Datenbank-Schema, das die Daten enthält, angelegt werden.

Hier ein Beispiel für einen Grant auf ein View in einem anderen Oracle-Schema der gleichen Oracle-Datenbank. Mit diesem Grant wird eine Select-Berechtigung für einen anderen Benutzer (hier ein nur lesender Benutzer) erteilt. Das selbe kann auch für Tabellen einfach übernommen werden.

GRANT SELECT ON VIEW_REPORTING TO READUSER 
/ 

Und schon kann der lesende Benutzer auf diese Daten zugreifen.

Einen sehr ausführlichen Artikel über die Vergabe von Berechtigungen für Oracle-Datenbank mittels Grants findet Ihr unter “Control Access with Oracle Grant Security

Kontrollierte Benutzerzugriffe auf eine Oracle-Datenbank

Heute beschäftigte ich mich mal mit dem Logon-Trigger, weil der mir vor kurzem auch mal über den Weg lief.

Um unkontrollierte Benutzerzugriffe auf eine Oracle-Datenbank , durch bestimmte Benutzer, oder durch bestimmte Rechner, zu unterbinden, kann als wirksame Maßnahme, ein Logon-Trigger auf der Oracle-Datenbank angelegt werden. Somit kann sich der Benutzer auch nicht anmelden, falls er den User und das Passwort weiß. ;-)

Der Logon-Trigger ist ähnlich aufgebaut, wie die Insert-, Update-, Delete-Trigger, die auf einer Tabelle liegen. Allerdings zündet der Logon-Trigger, bei der Anmeldung eines Benutzers an die Datenbank. Hier kann er eine Aktion ausführen, wie zum Beispiel eine Benutzer- oder Rechnernamenüberprüfung. Hierfür liest sich die Stored Procedure des Triggers den Benutzernamen und den Rechnernamen aus der Systemumgebung aus und überprüft diesen gegen einen festen Wert oder einen Tabelleneintrag und schaut, ob die Anmeldung berechtigt ist. Falls diese berechtigt ist, wird der Zugriff auf die Datenbank freigegeben, falls nicht, wird eine Fehlermeldung angezeigt.


CREATE OR REPLACE TRIGGER SYSTEM.checkUserLogon 
AFTER LOGON ON DATABASE 
DECLARE
 rechnername  VARCHAR2(80);    -- Variable für Rechnernamen
 os_username  VARCHAR2(80);    -- Variable für Username
 errormessage  VARCHAR2(1000); -- Error message to be printed
 userException EXCEPTION;      -- Zugriffs-Exception
 
BEGIN
 
 -- Holt die Informationen  aus dem USERENV context
 rechnername  := sys_context('USERENV','TERMINAL');-- Rechner 
 os_username   := sys_context('USERENV','OS_USER');-- User
 -- Zieht nur bei Oracle-User (Schema) = 'SCOTT'
 IF ( user LIKE 'SCOTT%' ) THEN

 -- Zugriff für Benutzer 'fred' auf dem Rechner 'JUPITER'
   IF ( os_username != 'fred' OR rechnername != 'JUPITER') THEN

    RAISE userException ;

   END IF;
END IF;

EXCEPTION

 WHEN userException THEN
  errormessage := 'Sie haben leider keine Berechtigung für ';
  errormessage := errormessage || 'diese Datenbank !';
  RAISE_APPLICATION_ERROR(-20002,errormessage);

 WHEN OTHERS THEN
  errormessage := 'FATAL ERROR - checkUserLogon - Bitte ';
  errormessage := errormessage || 'kontaktieren Sie den Help';
  errormessage := errormessage || 'desk' || CHR(10) || SQLERRM;
  RAISE_APPLICATION_ERROR(-20003, errormessage);

END;
/

Dieses Beispiel sollte auf allen Oracle-Datenbanken ab der Version 9.0 ohne Veränderungen lauffähig sein. Getestet habe ich den Logon-Trigger auf einer Oracle 9i-RDBMS-Datenbank (Version 9.2.0.6).

Achtung:
Bei der Benutzung von Logon Triggern, muß man Vorsicht walten lassen, denn ein fehlerhafter Logon Trigger kann verhindern, dass sich noch ein Benutzer an der Datenbank anmelden kann. Glücklicherweise zünden Logon Trigger nicht für den Benutzer SYS, der dann in dieser Notsituation den Trigger wieder löschen oder anpassen kann.

Weitere Infos zu Logon-Triggern findet Ihr hier:
MuniQSoft – Oracle Logon Trigger

Windows Vista Step-by-Step Guides for IT Professionals

Heute kommt mal wieder was aus der Windows-Ecke.

Microsoft hat für seine nächste Windows-Vista-Plattform bereits einige Dokumentationen herausgegeben, die sich bevorzugt an erfahrene Anwender und Administratoren richtet. Die Step-By-Step-Guides helfen, ein neues Windows Vista-System zu installieren, oder auch von einem alten Windows-System (Windows 2000, Windows XP und Windows 2003) auf Windows Vista zu migrieren.

Zusätzlich geht es in der Dokumentation, aber auch noch um so wichtige Themen wie: Security, Performance Monitoring und Tuning unter Windows Vista.

Mit der neuen Windows Vista-Version werden auch ganz neue Windows-Security-Konzepte wie BitLocker Drive Encryption, TPM Security Hardware using Trusted Platform Module (TPM) Services als auch das erweiterte User Account Control (UAC) eingeführt. Sie sollen für eine erweiterte Sicherheit des Windows-Systems sorgen.

Folgende Dokumentationen stehen zur Zeit zur Verfügung:

■ Deploying Vista Step by Step Guide.doc
■ Managing Group Policy ADMX Files Step by Step Guide
■ Performance Monitoring and Tuning Step by Step Guide
■ Print Management Step by Step Guide
■ Step by Step Guide to Controlling Device Installation with Group Policy
■ User Account Control Step by Step Guide
■ Windows Vista Beta 2 BitLocker Drive Encryption Step-by-Step Guide
■ Windows Vista Beta 2 Migration Step by Step Guide
■ Windows Vista Beta 2 Trusted Platform Module Services Step by Step Guide
■ Windows Vista Beta 2 Windows Shared View Step by Step
■ Windows Vista Mobile Device Center Step by Step
■ Windows Vista Speech Recognition Step by Step

Download: Windows Vista Step-by-Step Guides for IT Professionals

via: giza-blog.de

Pages: Prev 1 2 3 4 5 6 Next