Hinweis: Das Forum wird geschlossen! Neue Registrierungen sind nicht mehr möglich!

 Zurück zu Pro-Linux   Foren-Übersicht   FAQ     Suchen    Mitgliederliste
Schon 2 mal ...

 
Neuen Beitrag schreiben   Auf Beitrag antworten    Pro-Linux Foren-Übersicht -> Sicherheit
Vorheriges Thema anzeigen :: Nächstes Thema anzeigen  
Autor Nachricht
ra1d3r



Anmeldungsdatum: 06.09.2001
Beiträge: 2

BeitragVerfasst am: 06. Sep 2001 6:38   Titel: Schon 2 mal ...

Argh ...
Mein Linuxrechner (RedHat 7.0 Kernel 2.2.16-22) ist schon 2 mal gehackt worden und ich hatte bisher nicht die Veranlassung eine Firewall zu installieren , nur Forwarding war drinne [ipchains -A forward -s 192.168.0.0/24 --jump MASQ].

Da ich keinen blassen Schimmer von ipchains und iptables habe weiss ich net wie ein guter Schutz kommandomässig auszusehen hat.

Anhand der Logfiles fiel mir auch auf , das von aussen viele Telnet , SSH und FTP Connects eingetrudelt sind bevor
ich 2 neue User im /home vorfand.

Wie mache ich Telnet , SSH und FTP sicher ??

Von aussen soll folgendes möglich sein:

Verbindung mit Webserver Port 80
Verbindung auf FTP-Server Port 21
Verbindung auf SSH-Console für alle User des Systems.

Ferner sollen alle Rechner des lokalen Netzes auf allen Ports über ippp0 nach aussen kommunizieren können.

Hat jemand Vorschläge wie ich unter den Bedingungen halbwegs sicher bleibe ??

Ach ja ... der Rechner verfügt nur über 32 MB Ram und 120er Pentium CPU ... daher lassen sich die neusten Distris nicht aufspielen , weil die Installer mehr Ram brauchen.

Daniel
 
Benutzer-Profile anzeigen Private Nachricht senden E-Mail senden

Jochen
Gast





BeitragVerfasst am: 06. Sep 2001 7:26   Titel: Re: Schon 2 mal ...

Hmm. Zu iptables/ipchains sag ich nix, da gibt es hier fachkundigere Leute. Aber ansonsten hätte ich ein paar Anmerkungen.

1. Wenn Du die Maschine sicherkriegen willst, wirst Du mit einer Neuinstallation anfangen müssen. Wenn der/die Cracker gut waren, haben sie Hintertüren im System hinterlassen. Da Du nicht weisst, welche und wo, musst das das System als nicht mehr vertrauenwürdig einschätzen. Selbst wenn Du eine findest und unschädlich machst, weisst Du nicht, ob Du nicht eine übersehen hast.

2. Wenn Du bei RedHat 7.0 bleiben willst, dann ist die erste Aktion nach der Installation möglichst alle Netz-Dienste deaktivieren, direkt danach Updates ziehen und einspielen, dann erst wieder Netzwerk-Dienste starten. Du kannst so viele Regeln mit ipchains/iptables aufstellen, wie Du willst, aber wenn Du explizit FTP und HTTP zulässt, braucht nur einer der Server dafür ein Sicherheitsloch zu haben und die Maschine ist wieder offen.

3. Wenn eine modernere Distri auf Deiner Kiste nicht mehr installierbar ist, suchst Du Dir die falsche Distri aus. Ernsthaft, ich habe einen ISDN-Router/Squid-Proxy/Paket-Filter/Mail-Server bei mir laufen. Den halte ich sicherheitstechnisch mittels apt in Schuss. Regelmässig "apt-get update; apt-get upgrade", und die letzten Bugfixes sind eingespielt. Also überlege Dir, ob Du nicht auf Debian (2.2r3, potato) auf der Kiste umsteigst.

4. Bevor Du die Kiste plattmachst, schau Dir mal die Überreste der Cracker an. Vielleicht findest Du ja die Exploits, mit denen die Typen Deinen Rechner aufgekriegt haben. Wäre vielleicht ganz interessant.

Jochen
 

Sebastian Ude
Gast





BeitragVerfasst am: 06. Sep 2001 13:41   Titel: Re: Schon 2 mal ...

@ Daniel

Also das simpelste wäre erstmal, alle Pakete die über nicht-lokale Interfaces hereintrudeln und eine Verbindung aufbauen wollen zu sperren:

iptables -A INPUT -i ppp0 -p tcp --syn -j REJECT

bzw.

ipchains -A input -i ppp0 -p tcp -y -j REJECT


Falls du noch Dienste Laufen hast, die für das (ganze) Internet freigegeben werden sollen, dann kannst du diese explizit mit einer Regel freischalten.
 

ra1d3r



Anmeldungsdatum: 06.09.2001
Beiträge: 2

BeitragVerfasst am: 06. Sep 2001 21:33   Titel: Re: Schon 2 mal ...

Danke ertmal für die prompten Antworten !
Ich denke gerade ernsthaft über eine neue Redhat Ver nach.
Aber auch Debian hab ich hier und könnt es installiern , jedoch kenn ich nicht die Unterschiede zwischen der Dateistruktur von Deb. und RedHat. Ebenso sieht es mit der Beschaffenheit des FTP - Server und des Apache der Debian.
Da ich als Webdeveloper arbeite ist für mich die Sicherheit meines FTP und des Apache ziemlich wichtig.
Der Umstieg von SuSE auf Slack und dann zu RedHat war schon recht verwirrend.

Welche gravierenden Unterscheide gibt es zwischen Debian und Redhat ???
Ist PHP4 standardmässig als Modul im Apache implementiert ??
Ist wuftpd in.ftpd oder proftpd Standard bei Deb. ?

Bzw. welche Bugs hat RedHat die Debian nicht hat ??

Daniel
 
Benutzer-Profile anzeigen Private Nachricht senden E-Mail senden

Beiträge vom vorherigen Thema anzeigen:   
     Pro-Linux Foren-Übersicht -> Sicherheit Alle Zeiten sind GMT + 1 Stunde
Seite 1 von 1

 
Gehen Sie zu:  

Powered by phpBB © phpBB Group
pro_linux Theme © 2004 by Mandaxy