Re: Dienste verhindern
Am Dienstag, den 07.02.2006, 21:37 +0100 schrieb Andreas Pakulat:
> On 07.02.06 20:20:46, penguin wrote:
> > Hallo,
Hallo Andreas, Hallo Liste.
> Wir sehen hier gerne Realnamen.
erledigt.
> > Und weiterhin möchte ich, dass die Dienste
> > nach draußen nichts über sich verraten. (Name, Version, ...)
>
> Das macht nur begrenzt Sinn, machne Clients verhalten sich
> unterschiedlich je nach dem welche Version/Variante des Dienstes sie
> vorfinden um mit diesen kommunizieren zu koennen.
Ja, aber Zitat aus [1]:
"Diese Information ... Server auf Verwundbarkeit zu prüfen. Auch bei
Angriffen von Hand ist diese Information recht hilfreich."
Aus diesen Grund möchte ich die herausgegebenen Informationen so klein
wie möglich halten.
[...]
> > Ich weiß nicht, wie ich nfs & co beibringe, nur an eth1 zu lauschen.
>
> Schau in die Doku oder frag Google, was du suchst ist hosts.allow und
> hosts.deny - AFAIK (ich hab hier keinen NFS laufen).
Das geht nicht. hosts.allow/deny erlaubt/verbietet global, genau das was
ich _nicht_ brauche. Suchen mit Freundin googletta hat nix gebracht, mir
fehlen die passenden Suchbegriffe.
> > Ich weiß nicht, wie ich ssh und apache abgewöhne, alles über sich
> > auszuplaudern. /etc/apache2/sites-enabled/default: ServerSignature
Off
> > hat nichts gebracht.
Dieses Problem wurde durch eine PM gelöst, Stichwort ServerTokens, danke
für den Hinweis. Das ist genau passend gewesen.
> > Bei ssh habe ich überhaupt keinen Ansatzpunkt.
Das ist immer noch so. Gibt es für ssh eine ähnliche
Konfigurationsmöglichkeit wie bei Apache->ServerTokens? Das wäre auch
hier passend.
> Aenderungen am Makefile/Source und Rekompilierung?
ungern. Ich möchte das System mit aptitude update/upgrade am laufen
halten. Wenn ich das Packet von Hand baue löst das zweifellos mein
Problem, aber ich müsste es dann immer im Auge behalten (Stichwort
vergessenes Sicherheitsupdate) Das ist mir bei ssh viel zu heikel, da
vertraue ich security.debian.org mehr als mir selbst.
> Ansonsten solltest du einen Blick ins "Securing Debian Howto" werfen.
Puhh, guter Tip. Aber mehr ein Rundumschlag als konkrete Hilfe. Nach 2
Stunden überfliegen der Seiten [2] und [3] nichts passendes gefunden.
Dafür aber viiel anderes wichtiges.
Grüße penguin
[1] http://www.hampft.de/mmnt/servertokens.html
[2]
http://www.debian.org/doc/manuals/securing-debian-howto/index.de.html
[3] http://www.tldp.org/HOWTO/Security-HOWTO/
Reply to: