Re: Services in inetd.conf deaktivieren

To: debian-user-german@lists.debian.org
Subject: Re: Services in inetd.conf deaktivieren
From: "Elmar W. Tischhauser" <tischhau@rbg.informatik.tu-darmstadt.de>
Date: Tue, 17 Aug 2004 15:48:40 +0200
Message-id: <[🔎] 20040817134840.GB2251@diomedes.tischhauser.org>
Mail-followup-to: debian-user-german@lists.debian.org
In-reply-to: <[🔎] 4121F744.3080900@petermair.at>
References: <[🔎] 4121F744.3080900@petermair.at>

Hallo!

On 17 Aug 2004 at 14:17 +0200, Patrick Petermair wrote:

> Ich habe hier einen neuen Debian Rechner, den ich gerne mal von allen 
> unnötigen Prozessen und Diensten befreien möchte.
> Da fiel mir inetd mit folgenden Diensten auf:
> 
> time
> discard
> daytime
> auth / identd
> 
> Kann man diese Dienste gefahrlos deaktivieren 

In aller Regel wird man sie nicht benötigen. identd kann sinnvoll sein,
aber wohl eher für größere LANs als für Einzelrechner.

> bzw. inetd gar nicht erst starten lassen, oder sind dann gewisse
> Einschränkungen beim Systembetrieb möglich?

Es kommt ganz darauf an, welche Dienste du auf dem Rechner benötigst
bzw. anbieten willst. Ich starte z.B. den MTA und den lokalen Newsserver
via inetd, weil ich diese nicht permanent brauche. Oft kann man bei
Diensten auch wählen, ob sie als Standalone-Daemon oder über den
(x)inetd gestartet werden sollen.

Was die Sicherheitsaspekte angeht, gilt generell: 

1. Lasse nur diejenigen Dienste laufen, die wirklich benötigt werden.
   Alles andere gehört abgeschaltet, denn was nicht läuft / nicht
   installiert ist, kann nicht kompromittiert werden. Der Admin sollte
   zu jedem laufenden Dienst genau sagen können, wozu und warum er da
   ist.
2. Binde die benötigten Dienste nur an diejenigen Netzwerk-Interfaces,
   auf denen sie gebraucht werden. In der Regel muss der MTA oder CUPS
   nicht am WAN-Interface laufen, da reicht für den Einzelplatzrechner
   die Loopback-Schnittstelle oder entsprechend im Netzwerk das
   LAN-Interface.
3. Werden Dienste über den inetd gestartet, lauscht dieser generell -
   das ist leider nicht konfigurierbar - an allen Interfaces
   (INADDR_ANY). Wenn man nicht auf den xinetd umstellen will, sollte
   man darauf achten, die Zugriffsberechtigungen für die via inetd
   gestarteten Dienste so restriktiv wie möglich zu setzen: Wo möglich
   in der Applikation selbst, ansonsten über /etc/hosts.{allow,deny},
   eventuell den tcpd vorschalten.
4. Als letzten Notnagel kann man auch einen hostbasierten Paketfilter
   (z.B. iptables) zur Zugriffsbeschränkung verwenden, indem z.B. alle
   an den Dienstport gerichtete Pakete, die nicht über gewünschte
   Interfaces hereinkommen, mit einem TCP-Reset oder entsprechenden
   ICMP-Paketen beantwortet werden.

Gruß,
Elmar

-- 
[ GnuPG: D8A88C0D / 2407 063C 1C92 90E9 4766 B170 5E95 0D7F D8A8 8C0D ]
·······································································
  Sicher ist, dass nichts sicher ist. Selbst das nicht. -- Ringelnatz

Attachment: pgpIOlsxSM_0M.pgp
Description: PGP signature

Reply to:

References:
- Services in inetd.conf deaktivieren
  - From: Patrick Petermair <debian-ml@petermair.at>

Prev by Date: Re: XFree86 und DualHead
Next by Date: Re: Cups druckt nur duplex
Previous by thread: Re: Services in inetd.conf deaktivieren
Next by thread: Re: Services in inetd.conf deaktivieren
Index(es):
- Date
- Thread