Hinweis: Das Forum wird geschlossen! Neue Registrierungen sind nicht mehr möglich!

 Zurück zu Pro-Linux   Foren-Übersicht   FAQ     Suchen    Mitgliederliste
Links die das mit dem Booten erklaeren und Sicherheitstip

 
Neuen Beitrag schreiben   Auf Beitrag antworten    Pro-Linux Foren-Übersicht -> Sonstiges
Vorheriges Thema anzeigen :: Nächstes Thema anzeigen  
Autor Nachricht
PB
Gast





BeitragVerfasst am: 29. Aug 2001 7:54   Titel: Links die das mit dem Booten erklaeren und Sicherheitstip

Guten Morgen Andy,

andere sagen, das die Homepage von Slackware
"langweilig" und "alt" aussieht, von daher
kann Slackware nix sein ... ich persoenlich
habe auch leiber eine nuechtern gestaltete
Homepage - ich moechte Informationen haben
und keine Bilder mir anschauen Ausserdem
kann man dort auch sehr gut mit w3m/ lynx
surfen.

Mir faellt da grad noch was ein, ein paar
Dinge, die man wissen sollte -> der Kernel
2.4.x hab bis zur Version 2.4.8 einen Bug.
Der Bug sorgt dafuer das KEINE umask-Werte
gesetzt werden, d.h., "other" hat Schreib-
rechte auf Dateien unter /lib/modules/kernel-
nummer (!!).

Um diesen Problem "generell" abzustellen,
wurde geraten, in jedes Startskript
"umask 022" einzutragen - zusaetzlich eine
Datei /etc/initscript anzulegen und dort
ebenfalls "umask 022" einzutragen.

... also, jedes Skript was mit rc.Zahl UND
rc.M, rc.K, rc.S anfaengt, sollte "umask 022"
beinhalten.

Quelle:
http://www.securiteam.com/unixfocus/5KP0O0U4UW.html

sonstige Info:
http://www.slackware.com/config/
http://www.koehntopp.de/kris/artikel/init_linux/

Viel Erfolg
Fritz
 

PB
Gast





BeitragVerfasst am: 29. Aug 2001 7:55   Titel: ups, falscher Thread - rein damit in den von Slackware

ups ... das sollte eigentlich in
den Slackware-Thread rein ...

Fritz
 

Sulu
Gast





BeitragVerfasst am: 29. Aug 2001 9:06   Titel: Re: Links die das mit dem Booten erklaeren und Sicherheitstip

Hi Fritz !

Jetzt haben wir einen Privat-Thread mit recht ausführlichem Titel .

Ich frage mich aber ob man wirklich schon auf den 2.4-Kernel umsteigen soll. Ich verwende 2.19 und bin ganz glücklich. Vor allem müsste man auch von ipchains auf iptables umsteigen (Brauch ich für IP-Masquerading). Obwohl es für ibtables sicherlich Musterscripts gibt.

Was anderes:
Verwendest Du das Slackware-Forum ?

Gruss Andy

PS: Ich bin schon gespannt wann meine Slack kommt.
 

PB
Gast





BeitragVerfasst am: 29. Aug 2001 11:07   Titel: fuer gewoehnlich poste ich wo anders

Mahlzeit Andy,

> iptables/ ipchains <
zwingend umsteigen auf iptables musst Du nicht (!!), Du
kannst es tun wenn Du moechtest - oder Du wuerdest unter
dem Kernel 2.4.x ein "modprobe ipchains" eingeben Richtig,
unter Kernel 2.4.x kannst Du nach wie vor ipchains verwenden,
Du brauchst das als Modul oder Du kannst es auch fest in den
Kernel hineinkompilieren.

"Ich" hab das bei mir fest reinkompiliert ...

> 2.2.19 <
Da Du Slackware 8.0 auf ReiserFS-Partitionen installieren kannst,
musste ich halt den 2.4.x nehmen den sie beigepackt haben. Des-
wegen muss, weil meine Festplatte (unter Slacky 7.1) eben ReiserFS
drauf hat und wenn man sich einmal an den Luxus von so einem
Journaling-Filesystem gewoehnt hat, moechte man nicht mehr zu den
fschk's zurueckgehen

Eigentlich brauche ich 2.4.x gar nicht, meine Hardware wird sehr
gut vom 2.2.19 angesprochen, USB hab ich nicht, Firewire und
Bluetooth sowieso nicht, meine Vodoo-Karte (Vodoo1) laeuft eh
nur mit max. der Kernelreihe 2.2.x - und nicht zu vergessen die
Bugs die Kernel 2.4.x hat, Bugs die "Leute wie Du und ich" schon
feststellen koennen

... will sagen, bleib ruhig bei 2.2.19

> verwendest Du das Slackware-Forum <

eigentlich weniger, ich hab da zwar ab und an reingeschaut,
doch selber posten hab ich dort aeusserst selten getan. Momentan
hab ich da eine Frage stehen, doch es sieht so aus als ob die
nicht beantwortet wird *grmpf*.

Frage:
------
Wie kann ich unter XFree4.1.0 verhindern das X (XFree) mit
dem setuid-Root-Bit gestartet wird, da es einen Xwrapper wie
von Version 3.3.6 NICHT gibt.

Das setuid-Root-Bit von XFree ist das einzige setuid-Root-Bit
was ich bei mir habe was ich nicht "entschaerfen" kann und das
wurmt mich etwas.

Fuer gewoehnlich tummele ich mich auf http://tux.iscol.net
herum und poste dort ...

Ich bin jetzt nur hier, weil ich den Slackware-Thread entdeckt
hab

Gruss
Fritz
 

SULU
Gast





BeitragVerfasst am: 29. Aug 2001 11:45   Titel: Re: Links die das mit dem Booten erklaeren und Sicherheitstip

Hi Fritz.

Das mit dem SUID-Bit ist mir bekannt.
Das ist auch einer der Gründe warum Gateways u.ä. kein X haben sollten. Hierzu gibt es keinerlei Work-Around?
Nicht mal auf der Xfree-Homepage?
Das wundert mich, da das ja kein aussergewöhnliches Problem ist (Nicht jeder will nur Console auf seinem Server).

Poste das doch gleich mal hier auf Pro-Linux.

Gruss
Andy
 

PB
Gast





BeitragVerfasst am: 29. Aug 2001 13:00   Titel: Re: Links die das mit dem Booten erklaeren und Sicherheitstip

Hallo Andy,

eine Loesung fuer das setuid-Root-Problem steht nicht auf der
XFree-Homepage, http://www.google.com und http://www.dejanews.com
werfen ebenfalls nix Gutes raus - viele oder besser, "alle" Bei-
traege drehen sich um XFree3.3.6 und dort gibt es halt diese
Xwrapper-Loesung. Der Xwrapper scheint auch kein Shellskript oder
so zu sein sondern ein ELF-Binary, von da an kann "ich" da auch
nix rumfummeln oder so (damit es mit XFree-4.1.0 laeuft) ...

... oder ich installiere das Xwrapper-Teil von XFree3.3.6 einfach?

Tschuess
Fritz
 

Sulu
Gast





BeitragVerfasst am: 29. Aug 2001 14:30   Titel: Re: Links die das mit dem Booten erklaeren und Sicherheitstip

Hi Fritz !

Da gibts doch diese Geschichten wie "hardensuse" von SUSE u. ähnliches von red hat wo sie (via script ?) Serverinstallationen gegen Sicherheitsattaken immunisieren wollen.

Wenn sie nicht gerade mit der Argumentation "No X on a server" daherkommen dann müssten sie doch auch dieses Problem behandeln. Sonst bleiben wir dort wo wir waren kein X (> 3.3.6) auf sensiblen Maschinen (oder Administratoren )

PS: http://tux.iscol.net hab ich nicht gefunden.

Gruss Andy
 

PB
Gast





BeitragVerfasst am: 29. Aug 2001 17:14   Titel: das haut auch nicht hin - falsche URL *hhis*

Nabend Andy,

aehem ... also Du kannst die Adresse tux.iscol.net auch nicht
finden weil sie <a href="http://tux.iscool.net">tux.iscool.net</a> (mit zwei oo) heisst

Dies "Harden-Sachen", dafuer brauchst Du kein Skript - zuerst gehst
Du die Startskripte in /etc/rc.d durch und kommentierst alles aus was
Dir nicht passt und/ oder Du entfernst das Ausfuehren-Bit von den Skripten
in /etc/rc.d (z.B. rc.http oder rc.apache). Im Anschluss - nach deiner
Softwareinstallation, gehst Du hin und findest alle setuid-Root-Bit-Programme.
Nun musst Du entscheiden wie Du sie "entschaerfen" moechtest ... fertig,
dafuer braucht man kein "Harden"-Skript oder so *imho*.

Viel Spass
Fritz
 

Sulu
Gast





BeitragVerfasst am: 29. Aug 2001 19:51   Titel: Re: Links die das mit dem Booten erklaeren und Sicherheitstip

Hi Fritz !

Ich fürchte ich bin dir keine grosse Hilfe, da Du dich offensichtlich deutlich besser auskennst.
Die Idee hinter "harden" war eher, dass sich die Entwickler
bei SUSE u.s.w. vielleicht mit dem Xfree4-Problem auseinandergesetzt hätten (haben ?).
Aber wenn man bei GOOGLE nichts findet dann wird dunkel.
Warum braucht das dämliche X eigentlich suid. X darf dorch jeder
User starten oder etwa nicht?

So, jetzt werd ich mal die http://tux.iscool.net anschauen.

Gruss
Andy
 

PB
Gast





BeitragVerfasst am: 30. Aug 2001 7:10   Titel: nen paar "Sicherheitstips" inside

Moin Andy,

ich sag mal - ganz vereinfacht - so, X braucht das setuid-Root-Bit
um deine "Hardware" anzusprechen (Grafikkarte). Vielleicht gibt es
noch eine kompiliziertere Erklaerung, doch ich kenne nur diese
Einfache

> besser auskennen <
Naja, nen bischen vielleicht ) Das "Auskennen" kommt unter Slackware
ganz von selbst. Wenn Du z.B. irgendwas konfigurieren moechtest, dann
gibt es hier kein Standardtool wie SAX, YAST oder so. Entweder verwendest
Du die Konfigurationstools vom Programm (pppsetup, xf86cfg --textmode oder
xf86cfg -textmode oder xf86config, isdn4linux, rppoe) oder Du machst das
von Hand ("Dinge" auskommentieren unter /etc/rc.d/rc.modules) ...

... wenn Du dich fuer die Art "von Hand" entscheidest, dann lernst Du
automatisch etwas

> Sicherheit <
Im Internet gibt es interessante Lektuere dazu, versuch mal das "securing
RedHat Linux" zu finden, das ist sehr gut und das was dort steht, das
kannst Du auch unter anderen Distributionen verwenden. Generell ist es
wichtig, das Du so wenig wie moeglich setiud-Root-Bit-Programme hast, das
Du NUR die Daemonen laufen hast die Du unbedingt brauchst, das dein Root-
passwort gut ist und das dich vielleicht ein ipchains-Skriptchen schuetzst.

meine Tips
---------
1. "which mount", "which umount" eingeben und den Pfad fuer diese Programme
finden - "chmod o-rwx umount mount" eingeben, eine Gruppe "mount" anlegen,
deinen User zu dieser Gruppe hinzufuegen, "chgrp mount umount" und
"chgrp mount mount" eingeben

2. "which su" eingeben, "chmod o-rwx su", eine Gruppe "su" anlegen, deinen
User zu dieser Gruppe hinzufuegen, "chgrp su su"

3. von den ganzen GNOME-/ KDE-Spielen das setuid-Root-Bit entfernen (!!)

4. /etc/inetd.conf bearbeiten, ALLES auskommentieren

5. in die ~/.bash_profile (oder ~/.profile) des Users einen "umask"-Wert ein-
tragen, "umask 077" (ACHTUNG: kann au ch "umask 007" sein, ich vertue mich da
immer) so das wenn eine neue Datei/ Verzeichnis angelegt wird, NUR der User
darauf Rechte hat, "Gruppe/ Andere" duerfen NIX

Gruss
Fritz
 

sulu
Gast





BeitragVerfasst am: 30. Aug 2001 8:22   Titel: Re: Links die das mit dem Booten erklaeren und Sicherheitstip

Hi Fritz !

Arbeitest Du beruflich unter LINUX/UNIX ?

Da ich leider im Beruf mit COBOL unter NT arbeite bringt mir die Arbeit gar keinen UNIX-Skill.
Bleibt nur die Freizeit .
Aber ich denke Slackware bringt da sicherlich etwas. Es stört mich übrigens gar nicht dass man mehrere Konfig-Tools hat. Ich möchte nach der Installation nur ein lauffähiges System. Dann Schritt für Schritt sämtliche Dienste einrichten. Das einzige was man wissen muss sind die Namen der Konfig-Tools und die Filenames der Konfig-Dateien. Sach mal. Hast Du so kleinen Luxus wie TV-Karte, Sound,... unter Slackware laufen ?

Gruss
Andy

PS: Dein letzes Posting wird kopiert und unter Sicherheitstip abgelegt, Danke ( ) . Da meine Kiste auch als privates Gateway dient kann ich im Rahmen der Slackware-Übungen gleich die Sicherheitssachen ausprobieren und geg. implementieren.
 

PB
Gast





BeitragVerfasst am: 30. Aug 2001 9:04   Titel: Re: Links die das mit dem Booten erklaeren und Sicherheitstip

Guten Morgen Andy,

> Sach mal. Hast Du so kleinen Luxus wie TV-Karte, Sound,... unter
> Slackware laufen ?
Nein, mein einziger Luxus ist eine alte Vodoo1-Karte plus Soundkarte,
okay, Drucker hab ich auch noch, doch das war es auch schon.

Sound sollte kein Problem darstellen - einfach mal /etc/rc.d/rc.modules
anschauen und die passende Karte "auskommentieren" und wenn Du schonmal
bei den "Modulen" am Rumfummeln bist, kannst Du dich gleich daran machen
einen eigenen Kernel zu erstellen

... hast Du noch einen "Kernel" von Dir, von deiner anderen Distribution?
So richtig mit "/usr/src/linux"? Wenn ja, dann befindet sich dort eine
Datei namens ".config", sichere sie, denn sie beinhaltet deine Kernel-
einstellungen. Moechtest Du nun einen neuen Kernel kompilieren, dann
kopiere diese Datei in das neue Verzeichnis (z.B. /usr/src/linux-2.4.9),
wechsele dort hinein und gib "make oldconfig" ein. Dein Kernel wird nun
nach den sich dort befindlichen Einstellungen gemacht

> Ich möchte nach der Installation nur ein lauffähiges System <
Da ich "voreingenommen" bin, wuerde ich sagen, dafuer ist Slackware sehr
gut geeignet

... sagt Dir "Zipslack" was? Ist auch Slackware, halt nur das Noetigste,
ist kleiner (wenn Du es extra runterlaedst -> X plus z.B. blackbox) als
100 MB und passt auf eine Zipdiskette drauf. Zipslack kann jederzeit
in ein "richtiges" Slackware umgewandelt werden - brauchst nur die Pakete
installeiren von "dem richtigen" Slackware.
> PS: Dein letzes Posting wird kopiert und unter Sicherheitstip abgelegt,
> Danke
gern geschehen

> Arbeitest Du beruflich unter LINUX/UNIX ? <
Nein, das leider nicht, nur Privat und als Hobby. Arbeitsmaessig darf ich
- bin halt ein Hardliner - an primitiven Windowsrechnern arbeiten. Schlimm
daran ist, das man gerade am Anfang sich an Linux und die Linuxarbeitsweisen
gewoehnt und dann mit Windows nicht mehr klar kommt -> Stichwort z.B. "copy
und paste" via Dritte Maustaste, TAB-Vervollstaendigung der Befehle, Einfach-
klick, xterm, Konsole, virtuelle Desktops ...

[ ... ]

Drucker: http://www.cups.org und http://www.apsfilter.org/
Multimedia: http://www.multimedia4linux.deScanner: http://www.mostang.com/sane/

Software: http://www.linuxberg.com http://www.freshmeat.net http://www.appwatch.com

[ ... ]

Tschuess
Fritz
 

SULU
Gast





BeitragVerfasst am: 30. Aug 2001 11:23   Titel: Re: Links die das mit dem Booten erklaeren und Sicherheitstip

Hi Fritz !

Also Schreibfaulheit kann man dir nicht nachsagen.


> Sound sollte kein Problem darstellen - einfach mal /etc/rc.d/rc.modules
> anschauen und die passende Karte "auskommentieren" und wenn Du schonmal
> bei den "Modulen" am Rumfummeln bist, kannst Du dich gleich daran machen
> einen eigenen Kernel zu erstellen

Jau, kenn ich schon. Hat bei der Susi 7.1 nichts genützt. Weis der Geier warum.


> ... hast Du noch einen "Kernel" von Dir, von deiner anderen Distribution?
> So richtig mit "/usr/src/linux"? Wenn ja, dann befindet sich dort eine
> Datei namens ".config", sichere sie, denn sie beinhaltet deine Kernel-
> einstellungen. Moechtest Du nun einen neuen Kernel kompilieren, dann
> kopiere diese Datei in das neue Verzeichnis (z.B. /usr/src/linux-2.4.9),
> wechsele dort hinein und gib "make oldconfig" ein. Dein Kernel wird nun
> nach den sich dort befindlichen Einstellungen gemacht

Jau. Mach ich immer. Zuerst den Standardkernel der Distri verwenden. Ist der gut. Dann gut.
Wenn nicht. Orginalkonfig speichern und das übliche Make-Procedere. Ich verwende ein Root-Device unter SCSI muss also
sowieso immer aufpassen das keine Kernel-Panic auftritt (cannot find root-device). So richtig gerne mach ich das nicht,
da man doch einige Zeit warten muss bis der Kernel "durch" ist und dann wieder ein Reboot....

> > Ich möchte nach der Installation nur ein lauffähiges System <
> Da ich "voreingenommen" bin, wuerde ich sagen, dafuer ist Slackware sehr
> gut geeignet

Scheitn mir auch so.

> ... sagt Dir "Zipslack" was? Ist auch Slackware, halt nur das Noetigste,
> ist kleiner (wenn Du es extra runterlaedst -> X plus z.B. blackbox) als
> 100 MB und passt auf eine Zipdiskette drauf. Zipslack kann jederzeit
> in ein "richtiges" Slackware umgewandelt werden - brauchst nur die Pakete
> installeiren von "dem richtigen" Slackware.

Jau, hab ich auf der Home-Page gesehen. Ich hab sogar ein SCSI-Zip.
=> Das fisch ich mir. Aber? Das ZIP ist doch kein bootable-device.
Was nützt mir das also? Werd mal lesen gehen.


> > Arbeitest Du beruflich unter LINUX/UNIX ? <
> Nein, das leider nicht, nur Privat und als Hobby. Arbeitsmaessig darf ich
> - bin halt ein Hardliner - an primitiven Windowsrechnern arbeiten. Schlimm
> daran ist, das man gerade am Anfang sich an Linux und die Linuxarbeitsweisen
> gewoehnt und dann mit Windows nicht mehr klar kommt -> Stichwort z.B. "copy
> und paste" via Dritte Maustaste, TAB-Vervollstaendigung der Befehle, Einfach-
> klick, xterm, Konsole, virtuelle Desktops ...

Kenn ich. Als alter vi-crack hau ich des öfteren auf die ESC-Taste mit wenig befriedigendem Erfolg.
Und die MS-DOS-Konsole ........

Gruss und Dank

ANDY
 

PB
Gast





BeitragVerfasst am: 30. Aug 2001 11:37   Titel: mit ner Bootdiskette - Zugriff auf SCSI-Zipdrive moeglich

... zum Glueck gibt es den vi(m) ja auch fuer Windows

SCSI? Das ist Hardware, damit kenn ich mich nicht aus. Mit
einer Bootdiskette koenntest Du auf mindestens auf dein
Zipdrive zugreifen ... ich meine aber, irgendwo gelesen zu
haben das man von einem internen SCSI-Zipdrive booten kann ...

Tschuess
Fritz
 

Sulu
Gast





BeitragVerfasst am: 30. Aug 2001 11:42   Titel: Re: Links die das mit dem Booten erklaeren und Sicherheitstip

Hi Fritz.

Habe mich soeben schau gemacht.
Auf der Slack-Page steht genau beschrieben wie es geht. Ich würde (werde?) auf jeden Fall eine Boot-Diskette verwenden. Damit kann man das bestehende System vollends untangiert lassen. Es scheint mir recht einfach und hat noch den angenehmne Nebeneffekt dass man ein transportables LINUX hat. Falls ich nicht zu müde bin dann probiere ich das heute abend.

Gruss
Andy
 

Beiträge vom vorherigen Thema anzeigen:   
     Pro-Linux Foren-Übersicht -> Sonstiges Alle Zeiten sind GMT + 1 Stunde
Seite 1 von 1

 
Gehen Sie zu:  

Powered by phpBB © phpBB Group
pro_linux Theme © 2004 by Mandaxy