Hallo! On 05 Apr 2004 at 11:52 +0200, Torsten Pfahl wrote: > ich möchte mir einen kleinen Server unter Debian aufsetzen. Er soll > folgende Dienste bereitstellen: SMB, Mail, Web, FTP und eine auf > IPTables basierende Firewall haben. Auch möchte ich ihn als DSL-Router > einsetzen, sodass mein internes Netzwerk über ihn auf das Internet > zugreifen kann. Weder externe noch interne Dienste gehören auf einen Router, das würde ich unbedingt auftrennen. Ansonsten ist FTP für alles außer das öffentliche Bereitstellen von Daten via anonymous ftp ungeeignet. Es existieren bessere Alternativen; welche für dich am besten passt, hängt davon ab, was du mit dem FTP-Server genau erreichen willst. > Meine Frage lautet nun, was wäre eine sinnvolle Kernel config um das > alles zu ermöglichen? Was ist unbedingt notwendig und was kann ich > getrost raus schmeißen? Der Kernel hat damit, ob ein Rechner als Mailserver oder als Workstation eingesetzt wird, noch recht wenig zu tun, viel wichtiger ist eine sichere Konfiguration der angebotenen Dienste. Einfach wie üblich nur das einkompilieren, was deine Hardware und deine Dateisysteme erfordern und natürlich an die iptables-Module denken. Oft wird für exponierte Server die Verwendung des Grsecurity-Patches empfohlen. Der genauso oft zu hörende Tipp, auf Modulunterstützung zu verzichten, schafft hingegen wenig mehr als Scheinsicherheit (Stichwort /dev/kmem). Wenn du zusätzlich zum Unix-Rechtemodell role-based oder mandatory access control willst, könnten rsbac oder SELinux was für dich sein. Ansonsten ist noch das "Securing Debian Manual" (Paket harden-doc) zu nennen, da sind viele nützliche Tipps enthalten. Gruß und viel Erfolg, Elmar -- [ GnuPG: D8A88C0D / 2407 063C 1C92 90E9 4766 B170 5E95 0D7F D8A8 8C0D ] ······································································· A mouse is a device used to point at the xterm you want to type in.
Attachment:
pgpnrqr2PdjC0.pgp
Description: PGP signature