Hallo! On 17 Aug 2004 at 14:17 +0200, Patrick Petermair wrote: > Ich habe hier einen neuen Debian Rechner, den ich gerne mal von allen > unnötigen Prozessen und Diensten befreien möchte. > Da fiel mir inetd mit folgenden Diensten auf: > > time > discard > daytime > auth / identd > > Kann man diese Dienste gefahrlos deaktivieren In aller Regel wird man sie nicht benötigen. identd kann sinnvoll sein, aber wohl eher für größere LANs als für Einzelrechner. > bzw. inetd gar nicht erst starten lassen, oder sind dann gewisse > Einschränkungen beim Systembetrieb möglich? Es kommt ganz darauf an, welche Dienste du auf dem Rechner benötigst bzw. anbieten willst. Ich starte z.B. den MTA und den lokalen Newsserver via inetd, weil ich diese nicht permanent brauche. Oft kann man bei Diensten auch wählen, ob sie als Standalone-Daemon oder über den (x)inetd gestartet werden sollen. Was die Sicherheitsaspekte angeht, gilt generell: 1. Lasse nur diejenigen Dienste laufen, die wirklich benötigt werden. Alles andere gehört abgeschaltet, denn was nicht läuft / nicht installiert ist, kann nicht kompromittiert werden. Der Admin sollte zu jedem laufenden Dienst genau sagen können, wozu und warum er da ist. 2. Binde die benötigten Dienste nur an diejenigen Netzwerk-Interfaces, auf denen sie gebraucht werden. In der Regel muss der MTA oder CUPS nicht am WAN-Interface laufen, da reicht für den Einzelplatzrechner die Loopback-Schnittstelle oder entsprechend im Netzwerk das LAN-Interface. 3. Werden Dienste über den inetd gestartet, lauscht dieser generell - das ist leider nicht konfigurierbar - an allen Interfaces (INADDR_ANY). Wenn man nicht auf den xinetd umstellen will, sollte man darauf achten, die Zugriffsberechtigungen für die via inetd gestarteten Dienste so restriktiv wie möglich zu setzen: Wo möglich in der Applikation selbst, ansonsten über /etc/hosts.{allow,deny}, eventuell den tcpd vorschalten. 4. Als letzten Notnagel kann man auch einen hostbasierten Paketfilter (z.B. iptables) zur Zugriffsbeschränkung verwenden, indem z.B. alle an den Dienstport gerichtete Pakete, die nicht über gewünschte Interfaces hereinkommen, mit einem TCP-Reset oder entsprechenden ICMP-Paketen beantwortet werden. Gruß, Elmar -- [ GnuPG: D8A88C0D / 2407 063C 1C92 90E9 4766 B170 5E95 0D7F D8A8 8C0D ] ······································································· Sicher ist, dass nichts sicher ist. Selbst das nicht. -- Ringelnatz
Attachment:
pgpIOlsxSM_0M.pgp
Description: PGP signature