Re: Dienste verhindern

To: debian-user-german@lists.debian.org
Subject: Re: Dienste verhindern
From: Andreas Pakulat <apaku@gmx.de>
Date: Tue, 7 Feb 2006 21:37:27 +0100
Message-id: <[🔎] 20060207203727.GC13439@morpheus.apaku.dnsalias.org>
In-reply-to: <[🔎] 1139340046.6273.26.camel@localhost.localdomain>
References: <[🔎] 1139340046.6273.26.camel@localhost.localdomain>

On 07.02.06 20:20:46, penguin wrote:
> Hallo,

Wir sehen hier gerne Realnamen.

> Ich würde gerne einige Dienste an bestimmte Netzwerkkarten binden, so
> das Sie nicht von der jeweils anderen Netzwerkkarte aus
> sichtbar/erreichbar sind.

Du meinst aus dem Netz dass an der 2. NIC haengt? Das ist kein grosses
Problem, stell einfach das routing zwischen beiden Netzen ab. Ansonsten
wird das schwierig.

> Und weiterhin möchte ich, dass die Dienste
> nach draußen nichts über sich verraten. (Name, Version, ...)

Das macht nur begrenzt Sinn, machne Clients verhalten sich
unterschiedlich je nach dem welche Version/Variante des Dienstes sie
vorfinden um mit diesen kommunizieren zu koennen.

> Das ganze möchte ich so konfigurieren, das die Dienste auch ohne
> blockierenden Filter nicht mehr erzählen als sie müssen.  

Dann musst du die Dienste z.T. selbst konfigurieren.

> gegeben: Ein Rechner, Debian Sarge, zwei Schnittstellen. 
> eth0 nach draußen, Dienste: ssh, http, https.
> 
> eth1 lan, es soll kein Netzzugang möglich sein,
> Dienste: dhcp, bootp, nfs und mountd (diskless Workstation) 

Aha, also kein rounting vom Netz von eth1 ins Netz von eth0, dann hat
sich dein 1. Problem schon erledigt. 

Je nach Dienst laesst sich das 2. vllt. mit Konfigurationsoptionen
bewerkstelligen (naeheres dazu findest du in der Doku der Dienste) oder
aber mittels Rekompilierung/Source-Code Aenderung.

> Istzustand, auszug aus nmap, iptables wurde deaktiviert:
> PORT     STATE SERVICE              VERSION
> 22/tcp   open  ssh                  OpenSSH 3.8.1p1 Debian-8.sarge.4
> (protocol 2.0)
> 80/tcp   open  http                 Apache httpd 2.0.54 ((Debian
> GNU/Linux) mod_ssl/2.0.54 OpenSSL/0.9.7e)
> 111/tcp  open  rpcbind (rpcbind V2)  2 (rpc #100000)
> 443/tcp  open  http                 Apache httpd 2.0.54 ((Debian
> GNU/Linux) mod_ssl/2.0.54 OpenSSL/0.9.7e)
> 746/tcp  open  mountd (mountd V1-2)  1-2 (rpc #100005)
> 2049/tcp open  nfs (nfs V2)          2 (rpc #100003)
> 
> Sollzustand:
> PORT     STATE SERVICE              VERSION
> 22/tcp   open  ssh                  
> 80/tcp   open  http                  
> 443/tcp  open  http                  

Zumindestens bei SSH macht das wie gesagt nicht unbedingt sinn.
Ansonsten solltest du den rcpd abschalten, bzw. aufs andere Interface
festnageln.

> Ich weiß nicht, wie ich nfs & co beibringe, nur an eth1 zu lauschen.

Schau in die Doku oder frag Google, was du suchst ist hosts.allow und
hosts.deny - AFAIK (ich hab hier keinen NFS laufen).

> Ich weiß nicht, wie ich ssh und apache abgewöhne, alles über sich
> auszuplaudern. /etc/apache2/sites-enabled/default:  ServerSignature Off
> hat nichts gebracht. 
> Bei ssh habe ich überhaupt keinen Ansatzpunkt.

Aenderungen am Makefile/Source und Rekompilierung? Ansonsten solltest du
einen Blick ins "Securing Debian Howto" werfen.

Andreas

-- 
You get along very well with everyone except animals and people.

Reply to:

Follow-Ups:
- Re: Dienste verhindern
  - From: Lutz Willek <willek@gmx.de>

References:
- Dienste verhindern
  - From: penguin <penguin@zedat.fu-berlin.de>

Prev by Date: Re: kpilot und Z22
Next by Date: Re: vlc mit alsa dmix
Previous by thread: Dienste verhindern
Next by thread: Re: Dienste verhindern
Index(es):
- Date
- Thread