Nicht benötigte Ports schließen

[chaosad]

wär mir neu das eine Firewall nix bringt :)

[outofbound]

wär mir neu das eine Firewall nix bringt :)

Thread lesen ;)

[captaincrunch]

Dann erhelle uns bitte mit deiner Weisheit und erkläre uns, warum ein Paketfilter auf der gleichen Kiste wie die Serverdienste (im Zusammenhang mit "unkundigen Fingern") etwas bringen soll? ;)

[chaosad]

zählst du denn SSH auch zu den Serverdiensten? Da ist es meiner Meinung nicht verkehrt den Zugriff ein wenig einzugrenzen

[tcs]

zählst du denn SSH auch zu den Serverdiensten? Da ist es meiner Meinung nicht verkehrt den Zugriff ein wenig einzugrenzen

Natürlich ist SSH ein Serverdienst, und es ist wie bei allen anderen Servertasks auch unbedingt erforderlich diesen durch saubere Konfiguration möglichst sicher laufen zu lassen.

Cheers

tcs

[captaincrunch]

Da ist es meiner Meinung nicht verkehrt den Zugriff ein wenig einzugrenzen

Zeig mir zehn Leute am Stück, die immer und überall eine feste IP-Adresse haben, und eben nicht aus dem T-Offline- oder -Reseller-Pool bekommen. ;)

[chaosad]

du kannst es ja schon mal auf den IP-Range den der admin verwendet einschränken. Ist immer noch besser als gar nix. Dann noch root login verbieten und mit schlüsseln arbeiten und gut ist.

[captaincrunch]

du kannst es ja schon mal auf den IP-Range den der admin verwendet einschränken. Ist immer noch besser als gar nix.

Und was machst du, wenn sich die Range mal unerwartet ändert? IMHO gibt's elegantere Mittel und Wege, sich selbst den Ast abzusägen. ;)

Dann noch root login verbieten und mit schlüsseln arbeiten und gut ist.

Dir ist schon bewusst, dass alleine das die Wahscheinlichkeit, dass "ungebetene Gäste" auf die Kister kommen erheblich eher verringert als die "Firewall"?
Man mag mir jetzt wieder mit der Gesamtsicherheit eines Systems auf die hohle Birne schlagen, aber man muss seinen sshd schon verdammt verkonfiguriert haben, dass dort ein Einfallstor für Kiddies bestünde. Wer schwache Passworte nutzt, und/oder die Kiste im Hintergrund nicht gut abgesichert hat, hat's dann auch nicht besser verdient.

[chaosad]

Und was machst du, wenn sich die Range mal unerwartet ändert? IMHO gibt's elegantere Mittel und Wege, sich selbst den Ast abzusägen. ;)

klar kann sich das auch ändern aber dann könntest ja auch immer noch via Console die Firewall anpassen.

Dir ist schon bewusst, dass alleine das die Wahscheinlichkeit, dass "ungebetene Gäste" auf die Kister kommen erheblich eher verringert als die "Firewall"?

Ich sagte ja nicht das eine Firewall die Wunderwaffe ist, es soll nur als Ergänzung gesehen werden.

[webdienstleistungen]

Ich sagte ja nicht das eine Firewall die Wunderwaffe ist, es soll nur als Ergänzung gesehen werden.

Aber die überzeugenden Argumente eine Firewall einzusetzen fehlen mir immer noch.

[chaosad]

zwingt dich ja keiner eine auf deinem System zu integrieren :) Für mich ist halt a zusätzliches Hilfsmittel. Mehr nicht.

[mc5000]

Doch vielleicht schläft mancher damit besser :twisted:

[entro]

Hallo @ Forum

was haltet ihr von dieser Methode:

Code: Select all

update-inetd --remove [DIENST]

Das sollte doch eigentlich auch helfen, oder?

[Roger Wilco]

Das sollte doch eigentlich auch helfen, oder?

Gegen was denn?

[andreask2]

Nichts ist besser als den eigentlichen Dienst selbst zu beenden, wenn nicht benötigt. Jede Software die man verwendet den Dienst zu verbergen ist ein zusätzliches, unnötiges Risiko.

[entro]

@Roger Wilco

Gegen was denn?

gegen unnötig offene ports ;)

@andreask2

Sie sollten alle nicht benötigten Inetd-Dienste auf Ihrem System abschalten, wie zum Beispiel echo, chargen, discard, daytime, time, talk, ntalk und die r-Dienste (rsh, rlogin und rcp), die als SEHR unsicher gelten (benutzen Sie stattdessen ssh).

Sie können Dienste abschalten, indem Sie direkt /etc/inetd.conf editieren,

Quelle: http://www.debian.org/doc/manuals/secur ... h3.de.html

wer hat denn von verbergen geredet?!

[Roger Wilco]

Das sollte doch eigentlich auch helfen, oder?

gegen unnötig offene ports ;)

Wenn du inetd laufen hast und die entsprechenden Dienste, die an die Ports gebunden sind, über inetd aufgerufen werden: Ja.
Ansonsten: nein.

[entro]

Ja, das ist klar, alles, was nicht über unseren "tollen"
internet super-server
läuft wird davon wenig beeindrukt sein, aber einige Ports kann man damit oft abdichten.

Nebenbei: Es wird oft genung empfohlen, dass man auf xinetd oder rlinetd umsteigen soll *klugscheiß* *fg*

[Joe User]

Bei welcher Distribution sind OOTB (x)inetd-Diensten aktiviert?

[entro]

Weiß nicht, hab ja noch nicht alle durch! *fg*

Also ich meine, dass z.B. bei Debian ootb sowas hier vorkommt:

#:INFO: Info services
ident stream tcp wait identd /usr/sbin/identd identd

... gut, das Bsp. hinkt etwas, aber es ging ja auch nicht nur um ootb, oder?

[lord_pinhead]

In der Standardkonfiguration von Debian, sind im inetd diverse Sachen noch aktiv und sollten auf jeden Fall deaktiviert werden. Ein Beispiel ist SunRPC der läuft aber keiner braucht in wirklich, oder hängt Ihr übers Internet NFS Shares ein :twisted: (x)inetd kann man eigentlich komplett deaktivieren, ich hab seit langem nix mehr darin laufen. Und um ein Port dicht zu bekommen, konfiguriert man seine Dienste halt richtig. Wenn einer Angst hat das seine SSH geknackt wird, der ist auf der falschen Fährte :D Ich denke die SSH ist seit dem letzten Bug kein Einfallstor mehr (das Spielchen mit dem Benutzernamen), da sind ganz andere Sachen wichtiger, wie z.b. Apache und PHP/CGI Anwendungen.

[antorox]

Hi,

was soll man bloß as diesem Thread mitnehmen ?

Also ich schlussfolgere:

1. Eine Firewall auf einem Server direkt ist der absolute Schwachsinn.
2. Wenn dan inetd komplett deaktivieren
3. Ansonsten Dienste richtig konfigurieren
4. SSH ist sicher -> root verbieten Schwachsinn -> es gibt ja Passwörter
5. Sowenig Dienste wie möglich laufen lassen

Kann man das so stehenlassen ?

cya

[Joe User]

Kann man das so stehenlassen ?

Bis auf Deinen vierten Punkt, ja...

[antorox]

Hi,

ok, dann halt doch root verbieten, user anlegen und mit su switchen, ip Bereich eingrenzen und ssh auf dem neuesten Stand halten.

cya

[Roger Wilco]

1. Eine Firewall auf einem Server direkt ist der absolute Schwachsinn.

Ein Paketfilter auf dem dedizierten Server selbst kann Sinn machen. In der Regel wird ein solcher aber gar nicht benötigt.

2. Wenn dan inetd komplett deaktivieren

Wenn alle deine Serverdienste als standalone Variante kommen, kannst du (x)inetd deaktivieren. Ansonsten brauchst du ihn vielleicht.

3. Ansonsten Dienste richtig konfigurieren

Das versteht sich hoffentlich von selbst.

4. SSH ist sicher -> root verbieten Schwachsinn -> es gibt ja Passwörter

Ich hoffe du meintest das ironisch.

5. Sowenig Dienste wie möglich laufen lassen

Was willst du auch mit Diensten, die du nicht benutzt? ;)