Argh ...
Mein Linuxrechner (RedHat 7.0 Kernel 2.2.16-22) ist schon 2 mal gehackt worden und ich hatte bisher nicht die Veranlassung eine Firewall zu installieren , nur Forwarding war drinne [ipchains -A forward -s 192.168.0.0/24 --jump MASQ].
Da ich keinen blassen Schimmer von ipchains und iptables habe weiss ich net wie ein guter Schutz kommandomässig auszusehen hat.
Anhand der Logfiles fiel mir auch auf , das von aussen viele Telnet , SSH und FTP Connects eingetrudelt sind bevor
ich 2 neue User im /home vorfand.
Wie mache ich Telnet , SSH und FTP sicher ??
Von aussen soll folgendes möglich sein:
Verbindung mit Webserver Port 80
Verbindung auf FTP-Server Port 21
Verbindung auf SSH-Console für alle User des Systems.
Ferner sollen alle Rechner des lokalen Netzes auf allen Ports über ippp0 nach aussen kommunizieren können.
Hat jemand Vorschläge wie ich unter den Bedingungen halbwegs sicher bleibe ??
Ach ja ... der Rechner verfügt nur über 32 MB Ram und 120er Pentium CPU ... daher lassen sich die neusten Distris nicht aufspielen , weil die Installer mehr Ram brauchen.
Daniel
Schon 2 mal ...
-
Jochen
Re: Schon 2 mal ...
Hmm. Zu iptables/ipchains sag ich nix, da gibt es hier fachkundigere Leute. Aber ansonsten hätte ich ein paar Anmerkungen.
1. Wenn Du die Maschine sicherkriegen willst, wirst Du mit einer Neuinstallation anfangen müssen. Wenn der/die Cracker gut waren, haben sie Hintertüren im System hinterlassen. Da Du nicht weisst, welche und wo, musst das das System als nicht mehr vertrauenwürdig einschätzen. Selbst wenn Du eine findest und unschädlich machst, weisst Du nicht, ob Du nicht eine übersehen hast.
2. Wenn Du bei RedHat 7.0 bleiben willst, dann ist die erste Aktion nach der Installation <b>möglichst alle Netz-Dienste deaktivieren</b>, direkt danach <b>Updates ziehen und einspielen</b>, dann erst wieder Netzwerk-Dienste starten. Du kannst so viele Regeln mit ipchains/iptables aufstellen, wie Du willst, aber wenn Du explizit FTP und HTTP zulässt, braucht nur einer der Server dafür ein Sicherheitsloch zu haben und die Maschine ist wieder offen.
3. Wenn eine modernere Distri auf Deiner Kiste nicht mehr installierbar ist, suchst Du Dir die falsche Distri aus. <img src="http://www.pl-forum.de/UltraBoard/Images/Happy.gif" border="0" align="middle"> Ernsthaft, ich habe einen ISDN-Router/Squid-Proxy/Paket-Filter/Mail-Server bei mir laufen. Den halte ich sicherheitstechnisch mittels apt in Schuss. Regelmässig "apt-get update; apt-get upgrade", und die letzten Bugfixes sind eingespielt. Also überlege Dir, ob Du nicht auf Debian (2.2r3, potato) auf der Kiste umsteigst.
4. Bevor Du die Kiste plattmachst, schau Dir mal die Überreste der Cracker an. Vielleicht findest Du ja die Exploits, mit denen die Typen Deinen Rechner aufgekriegt haben. Wäre vielleicht ganz interessant.
Jochen
1. Wenn Du die Maschine sicherkriegen willst, wirst Du mit einer Neuinstallation anfangen müssen. Wenn der/die Cracker gut waren, haben sie Hintertüren im System hinterlassen. Da Du nicht weisst, welche und wo, musst das das System als nicht mehr vertrauenwürdig einschätzen. Selbst wenn Du eine findest und unschädlich machst, weisst Du nicht, ob Du nicht eine übersehen hast.
2. Wenn Du bei RedHat 7.0 bleiben willst, dann ist die erste Aktion nach der Installation <b>möglichst alle Netz-Dienste deaktivieren</b>, direkt danach <b>Updates ziehen und einspielen</b>, dann erst wieder Netzwerk-Dienste starten. Du kannst so viele Regeln mit ipchains/iptables aufstellen, wie Du willst, aber wenn Du explizit FTP und HTTP zulässt, braucht nur einer der Server dafür ein Sicherheitsloch zu haben und die Maschine ist wieder offen.
3. Wenn eine modernere Distri auf Deiner Kiste nicht mehr installierbar ist, suchst Du Dir die falsche Distri aus. <img src="http://www.pl-forum.de/UltraBoard/Images/Happy.gif" border="0" align="middle"> Ernsthaft, ich habe einen ISDN-Router/Squid-Proxy/Paket-Filter/Mail-Server bei mir laufen. Den halte ich sicherheitstechnisch mittels apt in Schuss. Regelmässig "apt-get update; apt-get upgrade", und die letzten Bugfixes sind eingespielt. Also überlege Dir, ob Du nicht auf Debian (2.2r3, potato) auf der Kiste umsteigst.
4. Bevor Du die Kiste plattmachst, schau Dir mal die Überreste der Cracker an. Vielleicht findest Du ja die Exploits, mit denen die Typen Deinen Rechner aufgekriegt haben. Wäre vielleicht ganz interessant.
Jochen
-
Sebastian Ude
Re: Schon 2 mal ...
@ Daniel
Also das simpelste wäre erstmal, alle Pakete die über nicht-lokale Interfaces hereintrudeln und eine Verbindung aufbauen wollen zu sperren:
iptables -A INPUT -i ppp0 -p tcp --syn -j REJECT
bzw.
ipchains -A input -i ppp0 -p tcp -y -j REJECT
Falls du noch Dienste Laufen hast, die für das (ganze) Internet freigegeben werden sollen, dann kannst du diese explizit mit einer Regel freischalten.
Also das simpelste wäre erstmal, alle Pakete die über nicht-lokale Interfaces hereintrudeln und eine Verbindung aufbauen wollen zu sperren:
iptables -A INPUT -i ppp0 -p tcp --syn -j REJECT
bzw.
ipchains -A input -i ppp0 -p tcp -y -j REJECT
Falls du noch Dienste Laufen hast, die für das (ganze) Internet freigegeben werden sollen, dann kannst du diese explizit mit einer Regel freischalten.
Re: Schon 2 mal ...
Danke ertmal für die prompten Antworten !
Ich denke gerade ernsthaft über eine neue Redhat Ver nach.
Aber auch Debian hab ich hier und könnt es installiern , jedoch kenn ich nicht die Unterschiede zwischen der Dateistruktur von Deb. und RedHat. Ebenso sieht es mit der Beschaffenheit des FTP - Server und des Apache der Debian.
Da ich als Webdeveloper arbeite ist für mich die Sicherheit meines FTP und des Apache ziemlich wichtig.
Der Umstieg von SuSE auf Slack und dann zu RedHat war schon recht verwirrend.
Welche gravierenden Unterscheide gibt es zwischen Debian und Redhat ???
Ist PHP4 standardmässig als Modul im Apache implementiert ??
Ist wuftpd in.ftpd oder proftpd Standard bei Deb. ?
Bzw. welche Bugs hat RedHat die Debian nicht hat ??
Daniel
Ich denke gerade ernsthaft über eine neue Redhat Ver nach.
Aber auch Debian hab ich hier und könnt es installiern , jedoch kenn ich nicht die Unterschiede zwischen der Dateistruktur von Deb. und RedHat. Ebenso sieht es mit der Beschaffenheit des FTP - Server und des Apache der Debian.
Da ich als Webdeveloper arbeite ist für mich die Sicherheit meines FTP und des Apache ziemlich wichtig.
Der Umstieg von SuSE auf Slack und dann zu RedHat war schon recht verwirrend.
Welche gravierenden Unterscheide gibt es zwischen Debian und Redhat ???
Ist PHP4 standardmässig als Modul im Apache implementiert ??
Ist wuftpd in.ftpd oder proftpd Standard bei Deb. ?
Bzw. welche Bugs hat RedHat die Debian nicht hat ??
Daniel