Re: Dienste verhindern
On 07.02.06 20:20:46, penguin wrote:
> Hallo,
Wir sehen hier gerne Realnamen.
> Ich würde gerne einige Dienste an bestimmte Netzwerkkarten binden, so
> das Sie nicht von der jeweils anderen Netzwerkkarte aus
> sichtbar/erreichbar sind.
Du meinst aus dem Netz dass an der 2. NIC haengt? Das ist kein grosses
Problem, stell einfach das routing zwischen beiden Netzen ab. Ansonsten
wird das schwierig.
> Und weiterhin möchte ich, dass die Dienste
> nach draußen nichts über sich verraten. (Name, Version, ...)
Das macht nur begrenzt Sinn, machne Clients verhalten sich
unterschiedlich je nach dem welche Version/Variante des Dienstes sie
vorfinden um mit diesen kommunizieren zu koennen.
> Das ganze möchte ich so konfigurieren, das die Dienste auch ohne
> blockierenden Filter nicht mehr erzählen als sie müssen.
Dann musst du die Dienste z.T. selbst konfigurieren.
> gegeben: Ein Rechner, Debian Sarge, zwei Schnittstellen.
> eth0 nach draußen, Dienste: ssh, http, https.
>
> eth1 lan, es soll kein Netzzugang möglich sein,
> Dienste: dhcp, bootp, nfs und mountd (diskless Workstation)
Aha, also kein rounting vom Netz von eth1 ins Netz von eth0, dann hat
sich dein 1. Problem schon erledigt.
Je nach Dienst laesst sich das 2. vllt. mit Konfigurationsoptionen
bewerkstelligen (naeheres dazu findest du in der Doku der Dienste) oder
aber mittels Rekompilierung/Source-Code Aenderung.
> Istzustand, auszug aus nmap, iptables wurde deaktiviert:
> PORT STATE SERVICE VERSION
> 22/tcp open ssh OpenSSH 3.8.1p1 Debian-8.sarge.4
> (protocol 2.0)
> 80/tcp open http Apache httpd 2.0.54 ((Debian
> GNU/Linux) mod_ssl/2.0.54 OpenSSL/0.9.7e)
> 111/tcp open rpcbind (rpcbind V2) 2 (rpc #100000)
> 443/tcp open http Apache httpd 2.0.54 ((Debian
> GNU/Linux) mod_ssl/2.0.54 OpenSSL/0.9.7e)
> 746/tcp open mountd (mountd V1-2) 1-2 (rpc #100005)
> 2049/tcp open nfs (nfs V2) 2 (rpc #100003)
>
> Sollzustand:
> PORT STATE SERVICE VERSION
> 22/tcp open ssh
> 80/tcp open http
> 443/tcp open http
Zumindestens bei SSH macht das wie gesagt nicht unbedingt sinn.
Ansonsten solltest du den rcpd abschalten, bzw. aufs andere Interface
festnageln.
> Ich weiß nicht, wie ich nfs & co beibringe, nur an eth1 zu lauschen.
Schau in die Doku oder frag Google, was du suchst ist hosts.allow und
hosts.deny - AFAIK (ich hab hier keinen NFS laufen).
> Ich weiß nicht, wie ich ssh und apache abgewöhne, alles über sich
> auszuplaudern. /etc/apache2/sites-enabled/default: ServerSignature Off
> hat nichts gebracht.
> Bei ssh habe ich überhaupt keinen Ansatzpunkt.
Aenderungen am Makefile/Source und Rekompilierung? Ansonsten solltest du
einen Blick ins "Securing Debian Howto" werfen.
Andreas
--
You get along very well with everyone except animals and people.
Reply to: