Mal ne Security-Frage.

Florian Lohoff flo at rfc822.org
Tue Feb 9 10:08:23 CET 1999 

On Tue, Feb 09, 1999 at 09:48:00AM +0000, Michael Westermann wrote:
> Hallo, 
> 
> man ne Sicherheits-Frage. 
> Wie sicher kann ist eine Linux-Box vor Angriffen wenn sie gleichzeitig
> als Lokaler Server fungiert. 

Laesst sich so generell nicht sagen ... Kommt auf die offenen dienste an.

> Also auf mein Undergroud-PC (Keller) ist ueber ISDN-Waehlverbindung
> ans Internet angeschlossen. Die Internetseite ist ueber Paketfilter
> abgesichert. Der www+ftp Zugriff erfolgt ueber Squid-Proxy. 
> 
> Mail+News transport erfolgt ueber uucp. 
> 
> News eventuell auch ueber nntp.
> 
> Ein login ueber ISDN-Dail-in via ssh soll moeglich sein.
> Gleichzeitig soll ein lokaler Web-Server, dns-server, pop3, inn, telnet
> , 
> ftp und eventuell NFS laufen.
> Lokal werden Private Adressen genutzt.
> 
> Wie sicher ist das Dingens ?.

Also NFS ist ein RIESEN sicherheitsloch wenn du irgendetwas "rw"
exportiert hast kann JEDER auf der platte schreiben da die authentisierung
ueber IP Addressen stattfindet und dann nur "tokens" vergeben werden
die jeder mit mehr oder minder aufwand guessen kann und das protokoll
im prinzip Stateless d.h. udp ist - Ich kann also mit einem IP Paket
eine neue Datei erzeugen oder eine alte ueberschreiben ...

Sicherste loesung ist rw von 10.1.1.0/24 anzunehmen und einfach
eine firewall deny regel auf das ISDN zu legen wonach keine 
IP Pakete von ippp0 angenommen werden die angeblich von 10.1.1.0/24 kommen
(Source) das waeren dann naehmlich gefakte pakete.

Den rest der dienste nntp/pop-3/telnet/rsh dichtmachen
ueber den tcp wrapper. Ich handhabe das so das ich auf
neuen kiste sofort in der /etc/hosts.deny ein

ALL: ALL at ALL 

Schreibe - Damit sind erstmal ALLE tcp wrapper authentisierenden
dienste (Bei debian AUCH ssh) dicht von ueberall. Dann trage ich
die in die hosts.allow wieder ein jeweils mit expleciten IP Ranges
d.h. ssh an alles ... example:

sshd, sshdfwd-X11, ftp:\
        ALL at ALL

Der ftp server in diesem fall nimmt allerdings NUR anonymous connections
an - Andernfalls koennte man das als sicherheitsloch interpretieren.
sshdfwd-X11 ist fuer X11 ueber ssh forwarding (Musste ich auch 
auf die harte tour im source suchen).

Es gibt eine paar sinvolle tools um mal zu sehen was alles lokal an
und/oder auf ist ... "tcpprobe" und "portscan" - beide zu finden
auf www.rootshell.com.

Output dann in etwa ...

(flo at move)~# portscan move.mediaways.net
Scanning host 195.71.129.160 - TCP ports 1 through 1024
21 (ftp) is running.
22 (ssh) is running.
23 (telnet) is running.
25 (smtp) is running.
80 (www) is running.
111 (sunrpc) is running.
389 (UNKNOWN) is running.	(LDAP Experimentierserver)
812 (UNKNOWN) is running.	(Selber ueberrascht - xdm ?)


smtp ist in diesem fall postfix und darf ruhig offen sein
da relaying NICHT moeglich ist ... ftp/ssh sind offen
telnet ist via tcpwrapper auf das lan eingeschraenkt.
www ist offen allerdings derzeit nur die default seite.
Sunrpc wegen NFS - Allerdings NUR (ro) filesystems
und da darf im prinzip auch jeder drauf also nichts
weltbewegendes.

Ich hoffe ein wenig geholfen zu haben ...

Flo
-- 
Florian Lohoff		flo at rfc822.org		      	+49-5241-470566
Good, Fast, Cheap: Pick any two (you can't have all three).  (RFC 1925)

More information about the Linux mailing list