Re: [Debian]:Systemsicherheit

To: Andreas Tille <tillea@rki.de>
Cc: debian-user-de@jfl.de
Subject: Re: [Debian]:Systemsicherheit
From: Jan Ludewig <chaot@isch.de>
Date: Wed, 8 Mar 2000 15:39:22 +0100
Message-id: <20000308153922.B431@chaot>
In-reply-to: <Pine.LNX.4.21.0003081038500.6745-100000@wr-linux02.rki.de>; from tillea@rki.de on Wed, Mar 08, 2000 at 10:43:41AM +0100
References: <Pine.LNX.4.21.0003081038500.6745-100000@wr-linux02.rki.de>

On Wed, Mar 08, 2000 at 10:43:41AM +0100, Andreas Tille wrote:
> gibt es eigentlich irgendwo ein Dokument, wie man ein Debian-System
> möglichst sicher machen kann.
So ein Dokument gibt es bestimmt irgendwo. Der Nachteil ist, dass
es nie ganz richtig ist, da taeglich neue exploits gefunden werden
fuer den einen oder anderen Server. Deshalb versuche ich mal kurz
dein Problem aufzudroeseln:


> Als Dienste sollen ftp, http, mail (mailingliste), und ssh zur
> Verfügung stehen.  
das einfachste ist es, wenn du eine firewall aufsetzt, die packets,
die das SYN oder ACK-flag gesetzt haben, nur durchlaesst, wenn sie
auf die ports dieser dienste gehen. damit koennen bei dir noch andere
server laufen, diese sind jedoch von aussen nicht zu erreichen.
bsp:

ipchains -A input -d $deineip 22 -p TCP -j ACCEPT
# gleiches hier fuer alle anderen ports machen
ipchains -A input -s ! localhost -p TCP -y -j DENY
# jetzt noch die regeln fuer UDP und ICMP basteln

somit ist schonmal das problem der server geloest, da alles, was du
nicht explizit freigibst eifnach nicht erreichbar ist von aussen.

> Ich Frage mich z.B., *welchen* ftpd man in dem
> Fall nehmen sollte (wu-ftpd, proftpd, tftpd, ?), 
gute frage. als erstes gilt: immer den neuesten, es sei denn, es existiert
eine alte version, die keine exploits hat (sehr selten).
gerade ftp ist ein schwieriges thema, da sich hier die exploits die klinke
in die hand geben. mittlerweile ist wieder ein trend zum ehemals verrufenen
wu-ftpd IMO erkennbar, da dort so viele exploits gefunden wurden, dass der
gesamte source-code durchgeguckt wurde und erstmal keine probleme mehr
zu erwarten sind.
wenn du es einfach haben willst und den nicht fuer kommerzielle projekte
verwenden willst, empfehle ich dir aus eigener erfahrung ncftpd, da
fuer die aktuelle version, die schon laenger auf dme markt ist, kein bug
gefunden wurde. der nachteil ist: es ist nicht GPL. vorteil: installieren
und vergessen.
generell gilt aber, dass du bugtraq etc lesen solltest, um auf gefundene
exploits in deinen server reagieren zu koennen, bevor irgendein script-kiddy
das macht. das ist _leider_ ne menge arbeit, weshalb ich mich mit einigen
befreundeten administratoren darauf geeinigt habe, dass wir alle soweit
moeglich die gleichen server laufen lassen und einer die mailing-liste des
servers mitliest, und die anderen informiert.

> welche Dienste
> man explizit aus einer "Basisinstallation" wieder herausnehmen sollte
> (z.B. habe ich mal gehört, daß fingerd Risiken bergen kann) etc.
a) installiere nur das, was unbedingt brauchst
b) wenn dir einer auf die nerven geht, weil er mehr will,
   dann sage nicht zu, sondern pruefe erst ob du das teil wirklich
	 sicher machen kannst, oder ob der server dann offen ist
c) durchforste die bugtraq-archive nach exploits fuer ein programm, wenn
   fuer eine version keine existieren, dann nimm die.

ich hoffe dir damit etwas weitergeholfen zu haben

gruss,
	Jan
------------------------------------------------
Um sich aus der Liste auszutragen schicken Sie
bitte eine E-Mail an majordomo@jfl.de die im Body
"unsubscribe debian-user-de <deine emailadresse>"
enthaelt.
Bei Problemen bitte eine Mail an: Jan.Otto@jfl.de
------------------------------------------------
Anzahl der eingetragenen Mitglieder:     736

Reply to:

References:
- [Debian]:Systemsicherheit
  - From: Andreas Tille <tillea@rki.de>

Prev by Date: Re: [Debian]: Netzwerkkarte läuft unter Linux nicht
Next by Date: Re: [Debian]:Kanal #Debian
Previous by thread: Re: [Debian]:Systemsicherheit
Next by thread: [Debian]:Re: Systemsicherheit
Index(es):
- Date
- Thread