RootForum Community

antorox wrote:4. SSH ist sicher -> root verbieten Schwachsinn -> es gibt ja Passwörter

>> Ich hoffe du meintest das ironisch.

naja teils teils, sollte schon einmal ne Frage darstellen, aber auch die Antwort in dem Thread.

ssh also auch konfigurieren -> siehe oben

cya

Hallo zusammen,

da muss ich jetzt einfach mitsenfen... ein Paketfilter wie IPTables kann Sinn machen, aber mit Sicherheit nicht, um Ports abzudichten :roll:

Mögliche Anwendung in meinen Augen sind da eher Themen wie Portknocking (ok, für die ganz paranoiden ), temporäres Aussperren von Nervensägen oder Traffic-Begrenzung (was bei einem Rootie allerdings nicht vor einem hohen Traffic auf der Rechnung schützt 8) )

Gruß
Jesco

Wenn eine Firewall recht aggressiv eingestellt ist und ausgehende Verbindungen wirklich nur auf die Update, Time, Name und SMTP Server zulässt, dann ist die Chance das jemand eine Shell bekommt recht niedrig, eingehende Verbindungen natürlich entsprechend filtern. Ein Angreifer kann auch einfach versuchen den Befehl iptables -F abzusetzen, ein verwundbarer Dienst und etwas Shellcode dürften die Sache recht einfach gestalten, also kann sie wieder nicht wirksam sein. Und jetzt sag nicht ich kann alle x Minuten die Firewall neu starten lassen über Cron ;)

Das leidige alte Problem... wirklich 100% sicher ist der Server nur in einem Zustand - bei gezogenem Netzstecker :lol:

Klar macht jeder zusätzliche Dienst, der nicht ordentlich konfiguriert und ständig auf dem neuesten (Sicherheits-)Stand gehalten wird die Kiste unsicher. Das gilt dann aber auch für so gute Freunde wie Prelude, Tripwire etc. Außerdem müsste meines Wissens nach ein Angreifer root-Rechte erlangen, bevor er IPTables gegen Dich verwenden kann. Und wenn er das geschafft hat, isses eh zu spät 8)

Außerdem müsste meines Wissens nach ein Angreifer root-Rechte erlangen, bevor er IPTables gegen Dich verwenden kann.

Ich hab den Thread jetzt auf die Schnelle nicht gefunden, aber rootmaster hatte hier schon einmal ein paar sehr interessante Dinge in Bezug auf IPTables als zusätzlichen Angriffspunkt gepostet.
Darüber hinaus lassen sich diese ganzen zusätzlichen Zeilen Code im schlimmsten Fall auch von außen missbrauchen, z.B. für DOS. Auch Harald Welte und Co. sind nur Menschen und machen Fehler.

Ausser ich lasse IPT via GRSecurity sperren, sodas ich mich ans Gradm anmelden muss um es nutzen zu können. Dann bliebe dem Angreifer aber immernoch die möglichkeit ein IPTables aus seiner Sammlung zu installieren das Ihm schnell die Tore öffnet bzw. in dem verwendetem Exploit einfach ein Kernelbefehl abzusetzen der die Netfilter Tabelle löscht. Nächster Patch: Systrace. Ich glaube das können wir so weiterspielen bis wir schwarz werden, gibt einfach zuviele möglichkeiten.