Zugriff nur per SSH möglich. Deprecated SSH Cipher funktionieren nicht. Früher jails, mittlerweile docker. Jeder der einen Account besitzt, bekommt eine dedizierte Umgebung.
Dieser Beitrag wurde 1 mal editiert. Zuletzt am 30. Jun 2017 um 14:23.
Tja, was macht man da? Es sind alles Leute die ich persönlich kenne, wäre also halb so schlimm. Dann würde ich mal nachforschen wie es zu Stande gekommen ist, und versuchen ob ich es da draußen genauso machen könnte. Vielleicht würde ich die Sicherheitslücke versuchen zu verkaufen, oder einen Bugreport melden, oder versuchen einen Patch zu schreiben wenn ich das verstanden hätte.
Nicht so schlimm wenn einer aus dem "container" ausbricht. Da kann ich nur dazu lernen beim analysieren.
Dieser Beitrag wurde 1 mal editiert. Zuletzt am 30. Jun 2017 um 14:53.
Rein zum Verständnis: Was ist mit einem direkten Zugriff gemeint? In der Liste steht dann "per VPN" oder "per SSH". Heißt das, der VPN-Server oder der SSH-Server muss direkt auf dem Zielsystem laufen und die Ports sind in der Firewall für das Zielsystem freigegeben?
Meine Konfiguration ist so, das ich keine Dienste/Ports nach außen freigebe. Dennoch kann ich von extern auf Geräte (z.B. Raspberry) im Heimnetz zugreifen, indem ich das VPN der Fritzbox benutze. Für mich ist das indirekt, oder wäre das "direkt per VPN"?
$Heimrechner ist OpenVPN-Client zu mehreren weiteren Servern (die ebenfalls über OpenVPN untereinander verbunden sind). $MobilesGeraet ist roadwarrior, Routen werden per OSPF verteilt. Backupleitung (über multi table routing) ist ein UMTS-Stick, somit kann ich auch von unterwegs dann noch Arbeiten sowohl am VPN als auch an den Leitungen vornehmen. Unterbrechungsfrei.
Von Ichmeinerselbst am Fr, 30. Juni 2017 um 18:11 #
Mich würde mal interessieren, wieviele von den 36%, die keine Zugriff erlauben, ein System haben, daß per IPv6 erreichbar ist. Vermutlich einige, da man IPv6 einfach übersieht, sein System zwar per IPv4 gut abgesichert oder gar hinter nem NAT versteckt, dieses jedoch via IPv6 voll erreichbar läßt.
Hallo, ein vernünftiger DSL-Router sollte entsprechend vorkonfiguriert sein das er die Pakete automatisch filtert - ansonsten wären halt alle Rechner direkt im Netz ansprechbar. m.E. ist das designtechnisch mistig, und einer der vielen gründe warum ich derzeit erstmal noch auf ipv6 verzichte.
Alle Dienste sind normalerweise so konfiguriert, dass kein Zugriff von außen möglich ist. Solange man die Konfiguration nicht ändert, stellt sich das Problem gar nicht.
Von Ichmeinerselbst am Sa, 1. Juli 2017 um 13:22 #
Das ist ein Trugschluß. Die Default-Einstellungen der meisten Systeme ist, daß sie von überall erreichbar sind. Nur wenn man sich aktiv darum kümmert, sind diese geschützt.
Bei IPv4 und NAT sind die Systeme nur dann erreichbar, wenn man aktiv einen Forward einrichtet. Bei IPv6 sind alle Systeme direkt aus dem Internet erreichbar (Sofern man die IP kennt, was einem einige Systeme noch vereinfachen, indem sie diese aus der MAC generieren oder, noch schlimmer, ihre Presenz offen in den Äther senden.
sicher? Auch bei IPv6 blockt die Firewall des Routers per default alle Anfragen von außen. Sonst ist der Router Schrott. Eher blocken die Dinger mehr, als dass der Nutzer da irgendwas freischalten kann.
Dazu will ich im lokalen Netz auch keine externen v6 Adressen haben, auch wenn es möglich wäre.
Nicht benötigte Dienste einfach nicht starten (init/systemd) oder erst garnicht installieren, und die Ports mußt du im Regelfall auch eh erst am System, und der Firewall (Hardware, z.B. Zyxel) aufmachen. Geht das z.B. bei openSUSE nicht mehr über yast?
Sorry, aber ich mache das generell auf Systemebene ohne irgendwelche "Fancy"-Tools
Schaue vielleicht mal nach Linux hardening für mehr Information. Suse & Debian hatten da mal zwei gute Guides.
Opensuse bringt einen Runlevel-Editor in Yast mit, CentOS nennt Ihn auf Deutsch "Dienste" und Debian und Ubuntu haben in ihren Repos auch solche Software, z.B. "bum".
Debian z.B. installiert standardmäßig immer überflüssigerweise den Emailserver Exim4 mit. Wer diesen nicht benötigt, hat mach dem Ausschalten oder der Deinstallation ein Sicherheitsproblem weniger.
Ich lasse nur nextcloud, und mein kleines Hadoop cluster ins Netz.
Es hat einen zu hohen Gegenwert im Verhältnis zum Risiko, dass ich dabei eingehe. Bei Nextcloud, vor allem Caldav, Carddav und Tasks machen einem das Leben sehr bequem. Ich lasse es in einer VM laufen und mounte die kritischen Verzeichnisse vom Host aus als Read Only.
Bei Hadoop erwübrigt sich die Frage. Ein Cluster aus mehreren Rechnern kann keiner mitschleppen. Auch läuft die meiste Arbeit sowieso nur über das Web Interface ab. So lassen sich Ergebnisse auch bequem unterwegs ansehen.
Würde auch gern demnächst Collabora Office und Calibre Server hosten.
Zugriff nur per SSH möglich. Deprecated SSH Cipher funktionieren nicht. Früher jails, mittlerweile docker. Jeder der einen Account besitzt, bekommt eine dedizierte Umgebung.
Dieser Beitrag wurde 1 mal editiert. Zuletzt am 30. Jun 2017 um 14:23.Gar keine schlechte Idee, was machst du wenn jemand aus seinem Container ausbricht? Was laut den Entwicklern durchaus möglich ist.
Tja, was macht man da? Es sind alles Leute die ich persönlich kenne, wäre also halb so schlimm. Dann würde ich mal nachforschen wie es zu Stande gekommen ist, und versuchen ob ich es da draußen genauso machen könnte. Vielleicht würde ich die Sicherheitslücke versuchen zu verkaufen, oder einen Bugreport melden, oder versuchen einen Patch zu schreiben wenn ich das verstanden hätte.
Nicht so schlimm wenn einer aus dem "container" ausbricht. Da kann ich nur dazu lernen beim analysieren.
Dieser Beitrag wurde 1 mal editiert. Zuletzt am 30. Jun 2017 um 14:53.Auf das Heimsystem eigentlich nur mir selbst per VPN bzw. SSH.
Problematischer ist eher, dass es fast nichts mehr gibt, was einfach so ohne Cloud funktioniert. Da ist der Fremdzugriff gleich inklusive.
Rein zum Verständnis: Was ist mit einem direkten Zugriff gemeint?
In der Liste steht dann "per VPN" oder "per SSH".
Heißt das, der VPN-Server oder der SSH-Server muss direkt auf dem Zielsystem laufen und die Ports sind in der Firewall für das Zielsystem freigegeben?
Meine Konfiguration ist so, das ich keine Dienste/Ports nach außen freigebe. Dennoch kann ich von extern auf Geräte (z.B. Raspberry) im Heimnetz zugreifen, indem ich das VPN der Fritzbox benutze. Für mich ist das indirekt, oder wäre das "direkt per VPN"?
$Heimrechner ist OpenVPN-Client zu mehreren weiteren Servern (die ebenfalls über OpenVPN untereinander verbunden sind). $MobilesGeraet ist roadwarrior, Routen werden per OSPF verteilt.
Backupleitung (über multi table routing) ist ein UMTS-Stick, somit kann ich auch von unterwegs dann noch Arbeiten sowohl am VPN als auch an den Leitungen vornehmen. Unterbrechungsfrei.
Lustiges Spielzeug.
Endlich Einer der eine wirklich gute, skalierbare Lösung mit dynamischen Routing präsentiert (OSPF) und betreibt. Bravo!
Mich würde mal interessieren, wieviele von den 36%, die keine Zugriff erlauben, ein System haben, daß per IPv6 erreichbar ist. Vermutlich einige, da man IPv6 einfach übersieht, sein System zwar per IPv4 gut abgesichert oder gar hinter nem NAT versteckt, dieses jedoch via IPv6 voll erreichbar läßt.
Ist bei mir der Fall. Ich verwende daher nft als Paketfilter um ipv4 und ipv6 im wesentlichen mit den gleichen Regeln zu bearbeiten.
Hallo,
ein vernünftiger DSL-Router sollte entsprechend vorkonfiguriert sein das er die Pakete automatisch filtert - ansonsten wären halt alle Rechner direkt im Netz ansprechbar. m.E. ist das designtechnisch mistig, und einer der vielen gründe warum ich derzeit erstmal noch auf ipv6 verzichte.
Alle Dienste sind normalerweise so konfiguriert, dass kein Zugriff von außen möglich ist. Solange man die Konfiguration nicht ändert, stellt sich das Problem gar nicht.
Das ist ein Trugschluß. Die Default-Einstellungen der meisten Systeme ist, daß sie von überall erreichbar sind. Nur wenn man sich aktiv darum kümmert, sind diese geschützt.
Bei IPv4 und NAT sind die Systeme nur dann erreichbar, wenn man aktiv einen Forward einrichtet. Bei IPv6 sind alle Systeme direkt aus dem Internet erreichbar (Sofern man die IP kennt, was einem einige Systeme noch vereinfachen, indem sie diese aus der MAC generieren oder, noch schlimmer, ihre Presenz offen in den Äther senden.
sicher? Auch bei IPv6 blockt die Firewall des Routers per default alle Anfragen von außen. Sonst ist der Router Schrott. Eher blocken die Dinger mehr, als dass der Nutzer da irgendwas freischalten kann.
Dazu will ich im lokalen Netz auch keine externen v6 Adressen haben, auch wenn es möglich wäre.
die Frage ist eher wie man unter Linux diese Zugriffe sperrt , deaktiviert ??
früher unter linux konnte man einfach diese linux dienste in einem speziallem program deaktivieren, heutzutage verstecken die diese abstellung ...
Was meinst du mit wie?
Nicht benötigte Dienste einfach nicht starten (init/systemd) oder erst garnicht installieren, und die Ports mußt du im Regelfall auch eh erst am System, und der Firewall (Hardware, z.B. Zyxel) aufmachen. Geht das z.B. bei openSUSE nicht mehr über yast?
Sorry, aber ich mache das generell auf Systemebene ohne irgendwelche "Fancy"-Tools
Schaue vielleicht mal nach Linux hardening für mehr Information. Suse & Debian hatten da mal zwei gute Guides.
Opensuse bringt einen Runlevel-Editor in Yast mit, CentOS nennt Ihn auf Deutsch "Dienste" und Debian und Ubuntu haben in ihren Repos auch solche Software, z.B. "bum".
Debian z.B. installiert standardmäßig immer überflüssigerweise den Emailserver Exim4 mit. Wer diesen nicht benötigt, hat mach dem Ausschalten oder der Deinstallation ein Sicherheitsproblem weniger.
Ich lasse nur nextcloud, und mein kleines Hadoop cluster ins Netz.
Es hat einen zu hohen Gegenwert im Verhältnis zum Risiko, dass ich dabei eingehe. Bei Nextcloud, vor allem Caldav, Carddav und Tasks machen einem das Leben sehr bequem. Ich lasse es in einer VM laufen und mounte die kritischen Verzeichnisse vom Host aus als Read Only.
Bei Hadoop erwübrigt sich die Frage. Ein Cluster aus mehreren Rechnern kann keiner mitschleppen. Auch läuft die meiste Arbeit sowieso nur über das Web Interface ab. So lassen sich Ergebnisse auch bequem unterwegs ansehen.
Würde auch gern demnächst Collabora Office und Calibre Server hosten.
nextcloud als tor onion service
diese Dienste sind im Netz auf meinem Homeserver erreichbar.
Mein Desktop PC und mein Notebook hingegen selbstverständlich nicht.