Links die das mit dem Booten erklaeren und Sicherheitstip

Post Reply
Message
Author
PB

Links die das mit dem Booten erklaeren und Sicherheitstip

#1 Post by PB »

Guten Morgen Andy,

andere sagen, das die Homepage von Slackware
"langweilig" und "alt" aussieht, von daher
kann Slackware nix sein ... ich persoenlich
habe auch leiber eine nuechtern gestaltete
Homepage - ich moechte Informationen haben
und keine Bilder mir anschauen <img src="http://www.pl-forum.de/UltraBoard/Images/Happy.gif" border="0" align="middle"> Ausserdem
kann man dort auch sehr gut mit w3m/ lynx
surfen.

Mir faellt da grad noch was ein, ein paar
Dinge, die man wissen sollte -> der Kernel
2.4.x hab bis zur Version 2.4.8 einen Bug.
Der Bug sorgt dafuer das KEINE umask-Werte
gesetzt werden, d.h., "other" hat Schreib-
rechte auf Dateien unter /lib/modules/kernel-
nummer (!!).

Um diesen Problem "generell" abzustellen,
wurde geraten, in jedes Startskript
"umask 022" einzutragen - zusaetzlich eine
Datei /etc/initscript anzulegen und dort
ebenfalls "umask 022" einzutragen.

... also, jedes Skript was mit rc.Zahl UND
rc.M, rc.K, rc.S anfaengt, sollte "umask 022"
beinhalten.

Quelle:
http://www.securiteam.com/unixfocus/5KP0O0U4UW.html

sonstige Info:
http://www.slackware.com/config/
http://www.koehntopp.de/kris/artikel/init_linux/

Viel Erfolg
Fritz

PB

ups, falscher Thread - rein damit in den von Slackware

#2 Post by PB »

ups ... das sollte eigentlich in
den Slackware-Thread rein ...

Fritz

Sulu

Re: Links die das mit dem Booten erklaeren und Sicherheitstip

#3 Post by Sulu »

Hi Fritz !

Jetzt haben wir einen Privat-Thread mit recht ausführlichem Titel <img src="http://www.pl-forum.de/UltraBoard/Images/Happy.gif" border="0" align="middle"> .

Ich frage mich aber ob man wirklich schon auf den 2.4-Kernel umsteigen soll. Ich verwende 2.19 und bin ganz glücklich. Vor allem müsste man auch von ipchains auf iptables umsteigen (Brauch ich für IP-Masquerading). Obwohl es für ibtables sicherlich Musterscripts gibt.

Was anderes:
Verwendest Du das Slackware-Forum ?

Gruss Andy

PS: Ich bin schon gespannt wann meine Slack kommt.

PB

fuer gewoehnlich poste ich wo anders

#4 Post by PB »

Mahlzeit Andy,

> iptables/ ipchains <
zwingend umsteigen auf iptables musst Du nicht (!!), Du
kannst es tun wenn Du moechtest - oder Du wuerdest unter
dem Kernel 2.4.x ein "modprobe ipchains" eingeben <img src="http://www.pl-forum.de/UltraBoard/Images/Happy.gif" border="0" align="middle"> Richtig,
unter Kernel 2.4.x kannst Du nach wie vor ipchains verwenden,
Du brauchst das als Modul oder Du kannst es auch fest in den
Kernel hineinkompilieren.

"Ich" hab das bei mir fest reinkompiliert ...

> 2.2.19 <
Da Du Slackware 8.0 auf ReiserFS-Partitionen installieren kannst,
musste ich halt den 2.4.x nehmen den sie beigepackt haben. Des-
wegen muss, weil meine Festplatte (unter Slacky 7.1) eben ReiserFS
drauf hat und wenn man sich einmal an den Luxus von so einem
Journaling-Filesystem gewoehnt hat, moechte man nicht mehr zu den
fschk's zurueckgehen <img src="http://www.pl-forum.de/UltraBoard/Images/Wilk.gif" border="0" align="middle">

Eigentlich brauche ich 2.4.x gar nicht, meine Hardware wird sehr
gut vom 2.2.19 angesprochen, USB hab ich nicht, Firewire und
Bluetooth sowieso nicht, meine Vodoo-Karte (Vodoo1) laeuft eh
nur mit max. der Kernelreihe 2.2.x - und nicht zu vergessen die
Bugs die Kernel 2.4.x hat, Bugs die "Leute wie Du und ich" schon
feststellen koennen <img src="http://www.pl-forum.de/UltraBoard/Images/Sad.gif" border="0" align="middle">

... will sagen, bleib ruhig bei 2.2.19 <img src="http://www.pl-forum.de/UltraBoard/Images/Happy.gif" border="0" align="middle">

> verwendest Du das Slackware-Forum <

eigentlich weniger, ich hab da zwar ab und an reingeschaut,
doch selber posten hab ich dort aeusserst selten getan. Momentan
hab ich da eine Frage stehen, doch es sieht so aus als ob die
nicht beantwortet wird *grmpf*.

Frage:
------
Wie kann ich unter XFree4.1.0 verhindern das X (XFree) mit
dem setuid-Root-Bit gestartet wird, da es einen Xwrapper wie
von Version 3.3.6 NICHT gibt.

Das setuid-Root-Bit von XFree ist das einzige setuid-Root-Bit
was ich bei mir habe was ich nicht "entschaerfen" kann und das
wurmt mich etwas.

Fuer gewoehnlich tummele ich mich auf http://tux.iscol.net
herum und poste dort ...

Ich bin jetzt nur hier, weil ich den Slackware-Thread entdeckt
hab <img src="http://www.pl-forum.de/UltraBoard/Images/Happy.gif" border="0" align="middle">

Gruss
Fritz

SULU

Re: Links die das mit dem Booten erklaeren und Sicherheitstip

#5 Post by SULU »

Hi Fritz.

Das mit dem SUID-Bit ist mir bekannt.
Das ist auch einer der Gründe warum Gateways u.ä. kein X haben sollten. Hierzu gibt es keinerlei Work-Around?
Nicht mal auf der Xfree-Homepage?
Das wundert mich, da das ja kein aussergewöhnliches Problem ist (Nicht jeder will nur Console auf seinem Server).

Poste das doch gleich mal hier auf Pro-Linux.

Gruss
Andy

PB

Re: Links die das mit dem Booten erklaeren und Sicherheitstip

#6 Post by PB »

Hallo Andy,

eine Loesung fuer das setuid-Root-Problem steht nicht auf der
XFree-Homepage, http://www.google.com und http://www.dejanews.com
werfen ebenfalls nix Gutes raus - viele oder besser, "alle" Bei-
traege drehen sich um XFree3.3.6 und dort gibt es halt diese
Xwrapper-Loesung. Der Xwrapper scheint auch kein Shellskript oder
so zu sein sondern ein ELF-Binary, von da an kann "ich" da auch
nix rumfummeln oder so (damit es mit XFree-4.1.0 laeuft) ...

... oder ich installiere das Xwrapper-Teil von XFree3.3.6 einfach?

Tschuess
Fritz

Sulu

Re: Links die das mit dem Booten erklaeren und Sicherheitstip

#7 Post by Sulu »

Hi Fritz !

Da gibts doch diese Geschichten wie "hardensuse" von SUSE u. ähnliches von red hat wo sie (via script ?) Serverinstallationen gegen Sicherheitsattaken immunisieren wollen.

Wenn sie nicht gerade mit der Argumentation "No X on a server" daherkommen dann müssten sie doch auch dieses Problem behandeln. Sonst bleiben wir dort wo wir waren kein X (> 3.3.6) auf sensiblen Maschinen (oder Administratoren <img src="http://www.pl-forum.de/UltraBoard/Images/Happy.gif" border="0" align="middle"> )

PS: http://tux.iscol.net hab ich nicht gefunden.

Gruss Andy

PB

das haut auch nicht hin - falsche URL *hhis*

#8 Post by PB »

Nabend Andy,

aehem ... also Du kannst die Adresse tux.iscol.net auch nicht
finden weil sie <a href="http://tux.iscool.net">tux.iscool.net</a> (mit zwei oo) heisst <img src="http://www.pl-forum.de/UltraBoard/Images/Wilk.gif" border="0" align="middle">

Dies "Harden-Sachen", dafuer brauchst Du kein Skript - zuerst gehst
Du die Startskripte in /etc/rc.d durch und kommentierst alles aus was
Dir nicht passt und/ oder Du entfernst das Ausfuehren-Bit von den Skripten
in /etc/rc.d (z.B. rc.http oder rc.apache). Im Anschluss - nach deiner
Softwareinstallation, gehst Du hin und findest alle setuid-Root-Bit-Programme.
Nun musst Du entscheiden wie Du sie "entschaerfen" moechtest ... fertig,
dafuer braucht man kein "Harden"-Skript oder so *imho*.

Viel Spass
Fritz

Sulu

Re: Links die das mit dem Booten erklaeren und Sicherheitstip

#9 Post by Sulu »

Hi Fritz !

Ich fürchte ich bin dir keine grosse Hilfe, da Du dich offensichtlich deutlich besser auskennst.
Die Idee hinter "harden" war eher, dass sich die Entwickler
bei SUSE u.s.w. vielleicht mit dem Xfree4-Problem auseinandergesetzt hätten (haben ?).
Aber wenn man bei GOOGLE nichts findet dann wird dunkel.
Warum braucht das dämliche X eigentlich suid. X darf dorch jeder
User starten oder etwa nicht?

So, jetzt werd ich mal die http://tux.iscool.net anschauen.

Gruss
Andy

PB

nen paar "Sicherheitstips" inside

#10 Post by PB »

Moin Andy,

ich sag mal - ganz vereinfacht - so, X braucht das setuid-Root-Bit
um deine "Hardware" anzusprechen (Grafikkarte). Vielleicht gibt es
noch eine kompiliziertere Erklaerung, doch ich kenne nur diese
Einfache <img src="http://www.pl-forum.de/UltraBoard/Images/Wilk.gif" border="0" align="middle">

> besser auskennen <
Naja, nen bischen vielleicht <img src="http://www.pl-forum.de/UltraBoard/Images/Wilk.gif" border="0" align="middle">) Das "Auskennen" kommt unter Slackware
ganz von selbst. Wenn Du z.B. irgendwas konfigurieren moechtest, dann
gibt es hier kein Standardtool wie SAX, YAST oder so. Entweder verwendest
Du die Konfigurationstools vom Programm (pppsetup, xf86cfg --textmode oder
xf86cfg -textmode oder xf86config, isdn4linux, rppoe) oder Du machst das
von Hand ("Dinge" auskommentieren unter /etc/rc.d/rc.modules) ...

... wenn Du dich fuer die Art "von Hand" entscheidest, dann lernst Du
automatisch etwas <img src="http://www.pl-forum.de/UltraBoard/Images/Happy.gif" border="0" align="middle">

> Sicherheit <
Im Internet gibt es interessante Lektuere dazu, versuch mal das "securing
RedHat Linux" zu finden, das ist sehr gut und das was dort steht, das
kannst Du auch unter anderen Distributionen verwenden. Generell ist es
wichtig, das Du so wenig wie moeglich setiud-Root-Bit-Programme hast, das
Du NUR die Daemonen laufen hast die Du unbedingt brauchst, das dein Root-
passwort gut ist und das dich vielleicht ein ipchains-Skriptchen schuetzst.

meine Tips
---------
1. "which mount", "which umount" eingeben und den Pfad fuer diese Programme
finden - "chmod o-rwx umount mount" eingeben, eine Gruppe "mount" anlegen,
deinen User zu dieser Gruppe hinzufuegen, "chgrp mount umount" und
"chgrp mount mount" eingeben

2. "which su" eingeben, "chmod o-rwx su", eine Gruppe "su" anlegen, deinen
User zu dieser Gruppe hinzufuegen, "chgrp su su"

3. von den ganzen GNOME-/ KDE-Spielen das setuid-Root-Bit entfernen (!!)

4. /etc/inetd.conf bearbeiten, ALLES auskommentieren

5. in die ~/.bash_profile (oder ~/.profile) des Users einen "umask"-Wert ein-
tragen, "umask 077" (ACHTUNG: kann au ch "umask 007" sein, ich vertue mich da
immer) so das wenn eine neue Datei/ Verzeichnis angelegt wird, NUR der User
darauf Rechte hat, "Gruppe/ Andere" duerfen NIX

Gruss
Fritz

sulu

Re: Links die das mit dem Booten erklaeren und Sicherheitstip

#11 Post by sulu »

Hi Fritz !

Arbeitest Du beruflich unter LINUX/UNIX ?

Da ich leider im Beruf mit COBOL unter NT arbeite bringt mir die Arbeit gar keinen UNIX-Skill.
Bleibt nur die Freizeit <img src="http://www.pl-forum.de/UltraBoard/Images/Sad.gif" border="0" align="middle"> .
Aber ich denke Slackware bringt da sicherlich etwas. Es stört mich übrigens gar nicht dass man mehrere Konfig-Tools hat. Ich möchte nach der Installation nur ein lauffähiges System. Dann Schritt für Schritt sämtliche Dienste einrichten. Das einzige was man wissen muss sind die Namen der Konfig-Tools und die Filenames der Konfig-Dateien. Sach mal. Hast Du so kleinen Luxus wie TV-Karte, Sound,... unter Slackware laufen ?

Gruss
Andy

PS: Dein letzes Posting wird kopiert und unter Sicherheitstip abgelegt, Danke ( <img src="http://www.pl-forum.de/UltraBoard/Images/Happy.gif" border="0" align="middle"> ) . Da meine Kiste auch als privates Gateway dient kann ich im Rahmen der Slackware-Übungen gleich die Sicherheitssachen ausprobieren und geg. implementieren.

PB

Re: Links die das mit dem Booten erklaeren und Sicherheitstip

#12 Post by PB »

Guten Morgen Andy,

> Sach mal. Hast Du so kleinen Luxus wie TV-Karte, Sound,... unter
> Slackware laufen ?
Nein, mein einziger Luxus ist eine alte Vodoo1-Karte plus Soundkarte,
okay, Drucker hab ich auch noch, doch das war es auch schon.

Sound sollte kein Problem darstellen - einfach mal /etc/rc.d/rc.modules
anschauen und die passende Karte "auskommentieren" und wenn Du schonmal
bei den "Modulen" am Rumfummeln bist, kannst Du dich gleich daran machen
einen eigenen Kernel zu erstellen <img src="http://www.pl-forum.de/UltraBoard/Images/Wilk.gif" border="0" align="middle">

... hast Du noch einen "Kernel" von Dir, von deiner anderen Distribution?
So richtig mit "/usr/src/linux"? Wenn ja, dann befindet sich dort eine
Datei namens ".config", sichere sie, denn sie beinhaltet deine Kernel-
einstellungen. Moechtest Du nun einen neuen Kernel kompilieren, dann
kopiere diese Datei in das neue Verzeichnis (z.B. /usr/src/linux-2.4.9),
wechsele dort hinein und gib "make oldconfig" ein. Dein Kernel wird nun
nach den sich dort befindlichen Einstellungen gemacht <img src="http://www.pl-forum.de/UltraBoard/Images/Wilk.gif" border="0" align="middle">

> Ich möchte nach der Installation nur ein lauffähiges System <
Da ich "voreingenommen" bin, wuerde ich sagen, dafuer ist Slackware sehr
gut geeignet <img src="http://www.pl-forum.de/UltraBoard/Images/Happy.gif" border="0" align="middle">

... sagt Dir "Zipslack" was? Ist auch Slackware, halt nur das Noetigste,
ist kleiner (wenn Du es extra runterlaedst -> X plus z.B. blackbox) als
100 MB und passt auf eine Zipdiskette drauf. Zipslack kann jederzeit
in ein "richtiges" Slackware umgewandelt werden - brauchst nur die Pakete
installeiren von "dem richtigen" Slackware.
> PS: Dein letzes Posting wird kopiert und unter Sicherheitstip abgelegt,
> Danke
gern geschehen <img src="http://www.pl-forum.de/UltraBoard/Images/Happy.gif" border="0" align="middle">

> Arbeitest Du beruflich unter LINUX/UNIX ? <
Nein, das leider nicht, nur Privat und als Hobby. Arbeitsmaessig darf ich
- bin halt ein Hardliner - an primitiven Windowsrechnern arbeiten. Schlimm
daran ist, das man gerade am Anfang sich an Linux und die Linuxarbeitsweisen
gewoehnt und dann mit Windows nicht mehr klar kommt -> Stichwort z.B. "copy
und paste" via Dritte Maustaste, TAB-Vervollstaendigung der Befehle, Einfach-
klick, xterm, Konsole, virtuelle Desktops ...

[ ... ]

Drucker: http://www.cups.org und http://www.apsfilter.org/
Multimedia: http://www.multimedia4linux.deScanner: http://www.mostang.com/sane/

Software: http://www.linuxberg.com http://www.freshmeat.net http://www.appwatch.com

[ ... ]

Tschuess
Fritz

SULU

Re: Links die das mit dem Booten erklaeren und Sicherheitstip

#13 Post by SULU »

Hi Fritz !

Also Schreibfaulheit kann man dir nicht nachsagen.


> Sound sollte kein Problem darstellen - einfach mal /etc/rc.d/rc.modules
> anschauen und die passende Karte "auskommentieren" und wenn Du schonmal
> bei den "Modulen" am Rumfummeln bist, kannst Du dich gleich daran machen
> einen eigenen Kernel zu erstellen

Jau, kenn ich schon. Hat bei der Susi 7.1 nichts genützt. Weis der Geier warum.


> ... hast Du noch einen "Kernel" von Dir, von deiner anderen Distribution?
> So richtig mit "/usr/src/linux"? Wenn ja, dann befindet sich dort eine
> Datei namens ".config", sichere sie, denn sie beinhaltet deine Kernel-
> einstellungen. Moechtest Du nun einen neuen Kernel kompilieren, dann
> kopiere diese Datei in das neue Verzeichnis (z.B. /usr/src/linux-2.4.9),
> wechsele dort hinein und gib "make oldconfig" ein. Dein Kernel wird nun
> nach den sich dort befindlichen Einstellungen gemacht

Jau. Mach ich immer. Zuerst den Standardkernel der Distri verwenden. Ist der gut. Dann gut.
Wenn nicht. Orginalkonfig speichern und das übliche Make-Procedere. Ich verwende ein Root-Device unter SCSI muss also
sowieso immer aufpassen das keine Kernel-Panic auftritt (cannot find root-device). So richtig gerne mach ich das nicht,
da man doch einige Zeit warten muss bis der Kernel "durch" ist und dann wieder ein Reboot....

> > Ich möchte nach der Installation nur ein lauffähiges System <
> Da ich "voreingenommen" bin, wuerde ich sagen, dafuer ist Slackware sehr
> gut geeignet

Scheitn mir auch so.

> ... sagt Dir "Zipslack" was? Ist auch Slackware, halt nur das Noetigste,
> ist kleiner (wenn Du es extra runterlaedst -> X plus z.B. blackbox) als
> 100 MB und passt auf eine Zipdiskette drauf. Zipslack kann jederzeit
> in ein "richtiges" Slackware umgewandelt werden - brauchst nur die Pakete
> installeiren von "dem richtigen" Slackware.

Jau, hab ich auf der Home-Page gesehen. Ich hab sogar ein SCSI-Zip.
=> Das fisch ich mir. Aber? Das ZIP ist doch kein bootable-device.
Was nützt mir das also? Werd mal lesen gehen.


> > Arbeitest Du beruflich unter LINUX/UNIX ? <
> Nein, das leider nicht, nur Privat und als Hobby. Arbeitsmaessig darf ich
> - bin halt ein Hardliner - an primitiven Windowsrechnern arbeiten. Schlimm
> daran ist, das man gerade am Anfang sich an Linux und die Linuxarbeitsweisen
> gewoehnt und dann mit Windows nicht mehr klar kommt -> Stichwort z.B. "copy
> und paste" via Dritte Maustaste, TAB-Vervollstaendigung der Befehle, Einfach-
> klick, xterm, Konsole, virtuelle Desktops ...

Kenn ich. Als alter vi-crack hau ich des öfteren auf die ESC-Taste mit wenig befriedigendem Erfolg.
Und die MS-DOS-Konsole ........

Gruss und Dank

ANDY

PB

mit ner Bootdiskette - Zugriff auf SCSI-Zipdrive moeglich

#14 Post by PB »

... zum Glueck gibt es den vi(m) ja auch fuer Windows <img src="http://www.pl-forum.de/UltraBoard/Images/Happy.gif" border="0" align="middle">

SCSI? Das ist Hardware, damit kenn ich mich nicht aus. Mit
einer Bootdiskette koenntest Du auf mindestens auf dein
Zipdrive zugreifen ... ich meine aber, irgendwo gelesen zu
haben das man von einem internen SCSI-Zipdrive booten kann ...

Tschuess
Fritz

Sulu

Re: Links die das mit dem Booten erklaeren und Sicherheitstip

#15 Post by Sulu »

Hi Fritz.

Habe mich soeben schau gemacht.
Auf der Slack-Page steht genau beschrieben wie es geht. Ich würde (werde?) auf jeden Fall eine Boot-Diskette verwenden. Damit kann man das bestehende System vollends untangiert lassen. Es scheint mir recht einfach und hat noch den angenehmne Nebeneffekt dass man ein transportables LINUX hat. Falls ich nicht zu müde bin dann probiere ich das heute abend.

Gruss
Andy

Post Reply