Telnet-Login unterbinden
Hallo Leute, leider kann ich nicht quoten... Den Telnet-Client habe ich auf dem Firewallrechner deinstalliert, aus der inetd.conf auskommentiert und den inetd mit inetd restart neugestartet. Trotzdem bietet mir dieser Rechner immer noch ein Login über telnet an. Wie kann das sein? Auf meinen heimischen Referenzsystemen ist telnet dicht - trotz nicht vorhandener Firewall. Helga *ratlos* -- NEU FÜR ALLE - GMX MediaCenter - für Fotos, Musik, Dateien... Fotoalbum, File Sharing, MMS, Multimedia-Gruß, GMX FotoService Jetzt kostenlos anmelden unter http://www.gmx.net +++ GMX - die erste Adresse für Mail, Message, More! +++
Hall Helga, Am Dienstag, 4. November 2003 09:09 schrieb Helga Fischer:
Den Telnet-Client habe ich auf dem Firewallrechner deinstalliert, aus der inetd.conf auskommentiert und den inetd mit inetd restart neugestartet.
Trotzdem bietet mir dieser Rechner immer noch ein Login über telnet an. Wie kann das sein?
ist das bei neueren Suses nicht der xinetd? Würde einfach mal den telnetd killen.. Gruß Harald
Hallo Harald,
Am Dienstag, 4. November 2003 09:09 schrieb Helga Fischer:
Den Telnet-Client habe ich auf dem Firewallrechner deinstalliert, aus der inetd.conf auskommentiert und den inetd mit inetd restart neugestartet.
Trotzdem bietet mir dieser Rechner immer noch ein Login über telnet an. Wie kann das sein?
ist das bei neueren Suses nicht der xinetd?
Bei den neueren, ja. Das ist eine etwas ältere SuSE, aber noch eine 8.*.
Würde einfach mal den telnetd killen..
*g* Der ist aber gar nicht installiert. War mein erster Gedanke, daß da jemand aus Versehen telnetd installiert hat. Dem ist aber nicht so. Helga -- NEU FÜR ALLE - GMX MediaCenter - für Fotos, Musik, Dateien... Fotoalbum, File Sharing, MMS, Multimedia-Gruß, GMX FotoService Jetzt kostenlos anmelden unter http://www.gmx.net +++ GMX - die erste Adresse für Mail, Message, More! +++
Am Dienstag, 4. November 2003 09:47 schrieb Helga Fischer:
Am Dienstag, 4. November 2003 09:09 schrieb Helga Fischer:
Den Telnet-Client habe ich auf dem Firewallrechner deinstalliert, aus der inetd.conf auskommentiert und den inetd mit inetd restart neugestartet.
ev. muss man noch den tcpd neu starten. Gruß Harald
Helga Fischer wrote:
Hallo Leute,
leider kann ich nicht quoten...
Den Telnet-Client habe ich auf dem Firewallrechner ^^^^^^^^^^^^^
Moment mal? Typo?
Helga *ratlos*
Gruß Gerald *verwirrt* -- Gerald Engl AED-SICAD Aktiengesellschaft Lilienthalstrasse 7 / 85579 Neubiberg Tel.: +49 89 45026-110
Am Dienstag November 4 2003 12:16 schrieb Gerald Engl:
Helga Fischer wrote:
leider kann ich nicht quoten...
Den Telnet-Client habe ich auf dem Firewallrechner
^^^^^^^^^^^^^
Moment mal? Typo?
Wie meinen? Habe ich nur groß geschrieben, da Substantiv. telnet-Client sah etwas doof aus, aber den habe ich jetzt mit rpm -e erst mal entsorgt. Wenn der nun doch eine Funktion hatte, wird es früher oder später schon jemand merken. Helga -- ## Content Developer OpenOffice.org: lang/DE ## Office-Suite für Linux, Mac, Windows -- http://de.openoffice.org/ ## Werkstatt & Information zu OpenSource -- http://www.eschkitai.de/ ## Etikette, nein Danke? -- http://www.suse-etikette.de.vu/
Hallo Helga Helga Fischer wrote:
Den Telnet-Client habe ich auf dem Firewallrechner
Moment mal? Typo?
Wie meinen? Habe ich nur groß geschrieben, da Substantiv. telnet-Client sah etwas doof aus, aber den habe ich jetzt mit rpm -e erst mal entsorgt. Wenn der nun doch eine Funktion hatte, wird es früher oder später schon jemand merken.
Nee, die Grammatik hatte ich nicht gemeint. ;-) Zumindest bei 8.2 ist der Telnet-Client im Paket "telnet-1.0-357.i586.rpm", der Telnet-Server im Paket "telnet-server-1.0-357.i586.rpm". Meine Verwirrung resultiert aus dem "Client" (der ist ungefährlich bzw. durchaus nützlich). Ob man den Telnet-Server als Deamon laufen lässt, oder über inetd/xinetd ist IIRC unerheblich, Du solltest nochmal überprüfen ob da wirklich kein Telnet-Server "übriggeblieben" ist. Beste Grüße Gerald -- Gerald Engl AED-SICAD Aktiengesellschaft Lilienthalstrasse 7 / 85579 Neubiberg Tel.: +49 89 45026-110
Hallo Gerald, Am Dienstag November 4 2003 13:17 schrieb Gerald Engl:
Zumindest bei 8.2 ist der Telnet-Client im Paket "telnet-1.0-357.i586.rpm", der Telnet-Server im Paket "telnet-server-1.0-357.i586.rpm".
Meine Verwirrung resultiert aus dem "Client" (der ist ungefährlich bzw. durchaus nützlich).
Ja, ich habe ja auch Clients auf meinen Rechnern. Ich weiß, daß sie nützlich sind.
Ob man den Telnet-Server als Deamon laufen lässt, oder über inetd/xinetd ist IIRC unerheblich, Du solltest nochmal überprüfen ob da wirklich kein Telnet-Server "übriggeblieben" ist.
Ich habe es mit rpm -qlv oder so probiert (genaue Schalter nicht mehr im Kopf) und einem find. Beide wollten vom Serverprogramm nichts wissen. Helga -- ## Content Developer OpenOffice.org: lang/DE ## Office-Suite für Linux, Mac, Windows -- http://de.openoffice.org/ ## Werkstatt & Information zu OpenSource -- http://www.eschkitai.de/ ## Etikette, nein Danke? -- http://www.suse-etikette.de.vu/
Am Dienstag, 4. November 2003 18:44 schrieb Helga Fischer:
"telnet-1.0-357.i586.rpm", der Telnet-Server im Paket "telnet-server-1.0-357.i586.rpm".
Meine Verwirrung resultiert aus dem "Client" (der ist ungefährlich bzw. durchaus nützlich).
Ja, ich habe ja auch Clients auf meinen Rechnern. Ich weiß, daß sie nützlich sind.
Ob man den Telnet-Server als Deamon laufen lässt, oder über inetd/xinetd ist IIRC unerheblich, Du solltest nochmal überprüfen ob da wirklich kein Telnet-Server "übriggeblieben" ist.
Ich habe es mit rpm -qlv oder so probiert (genaue Schalter nicht mehr im Kopf) und einem find. Beide wollten vom Serverprogramm nichts wissen.
Was sagt denn: # netstat -tulpen | grep :23 Was kommt denn da? -- Andreas
Am Dienstag November 4 2003 19:29 schrieb Andreas Winkelmann:
Was sagt denn:
# netstat -tulpen | grep :23
Was kommt denn da?
tcp 0 0 0.0.0.0:23 0.0.0.0:* LISTEN 0 3359 757/inetd Also doch mein inetd. Kann ich den gefahrlos stoppen und wieder starten? Ein ps -aux ergibt nämlich: root 6255 0.0 0.2 1324 520 ? S 08:58 0:00 inetd restart Das sieht komisch aus. Mein System sagt nämlich schön root 1223 0.0 0.1 1404 520 ? S 18:20 0:00 /usr/sbin/inetd. Helga -- ## Content Developer OpenOffice.org: lang/DE ## Office-Suite für Linux, Mac, Windows -- http://de.openoffice.org/ ## Werkstatt & Information zu OpenSource -- http://www.eschkitai.de/ ## Etikette, nein Danke? -- http://www.suse-etikette.de.vu/
Am Dienstag November 4 2003 20:14 schrieb Helga Fischer:
Ein ps -aux ergibt nämlich: root 6255 0.0 0.2 1324 520 ? S 08:58 0:00 inetd restart
Das war der falsche Befehl: rcinetd restart ist richtig. Helga -- ## Content Developer OpenOffice.org: lang/DE ## Office-Suite für Linux, Mac, Windows -- http://de.openoffice.org/ ## Werkstatt & Information zu OpenSource -- http://www.eschkitai.de/ ## Etikette, nein Danke? -- http://www.suse-etikette.de.vu/
Am Dienstag, 4. November 2003 20:14 schrieb Helga Fischer:
# netstat -tulpen | grep :23
Was kommt denn da?
tcp 0 0 0.0.0.0:23 0.0.0.0:* LISTEN 0 3359 757/inetd
Also doch mein inetd. Kann ich den gefahrlos stoppen und wieder starten?
Hmm, wieso nicht? "rcinetd restart" Würde dann aber vorher den telnet-eintrag aus der Config entfernen. Entweder /etc/inetd.conf oder falls es das da schon gab /etc/inetd.d/.
Ein ps -aux ergibt nämlich: root 6255 0.0 0.2 1324 520 ? S 08:58 0:00 inetd restart
Wie hast Du ihn restart'ed? Ich vermute mal, nicht mit dem Script in /etc/ init.d/inetd bzw. rcinetd.
Das sieht komisch aus. Mein System sagt nämlich schön root 1223 0.0 0.1 1404 520 ? S 18:20 0:00 /usr/sbin/inetd.
-- Andreas
Hallo Helga Helga Fischer wrote:
Ich habe es mit rpm -qlv oder so probiert (genaue Schalter nicht mehr im Kopf) und einem find. Beide wollten vom Serverprogramm nichts wissen.
Vorschlag1: rpm -qa | grep -i telnet Natürlich ist das -i in diesem Falle überflüssig, aber es _könnte_ ja auch Telnet-Server.irgenwas.rpm sein ;-) Vorschlag2 (etwas ausführlicher): crawler:/usr1/install/DVD1 # zcat INDEX.gz| grep -i telnet ./CD1/suse/i586/perl-Net-Telnet-3.03-26.i586.rpm ./CD1/suse/i586/telnet-1.0-357.i586.rpm ./CD1/suse/i586/telnet-server-1.0-357.i586.rpm ./CD2/suse/src/perl-Net-Telnet-3.03-26.src.rpm ./CD2/suse/src/telnet-1.0-357.src.rpm crawler:/usr1/install/DVD1 # rpm -qlp suse/i586/telnet-server-1.0-357.i586.rpm (Manchmal hasse ich Umbrüche) /etc/xinetd.d/telnet /usr/sbin/in.telnetd <--- unser Kandidat ;-) /usr/share/doc/packages/telnet-server /usr/share/doc/packages/telnet-server/COPYING /usr/share/doc/packages/telnet-server/ChangeLog /usr/share/doc/packages/telnet-server/NEWS /usr/share/doc/packages/telnet-server/README /usr/share/man/man5/issue.net.5.gz /usr/share/man/man8/in.telnetd.8.gz /usr/share/man/man8/telnetd.8.gz Ensprechend deiner Verhältnisse anpassen (Installationsquelle, Pfad, etc,) Das greift aber _nur_ bei über rpm installierten Paketen (und noch dazu wenn das entsprechende Paket "telnet" als Namensteil hat. <paranoia-mode> Horrorszenario: Selbst kompilierter "telnetd", der dann auch noch "Ichbinganzharmlos" heißt und zudem "irgenwo" im Filesystem liegt. Untergeschobenes "Ichbinauchganzharmlos.rpm". </paranoia-mode> Auf alle Fälle: Auf der Firewall (IIRC ist die Maschine eine Firewall) Port 23 (udp/tcp) sperren (bzw. generell auch den Traffic vom internen Netz nur auf dedizierten Ports zulassen). Nach der "Säuberungsaktion" entsprechende Portscans gegen die Firewall durchführen. Beste Grüße Gerald -- Gerald Engl Bunsenstrasse 13 81735 Muenchen 089/676736
Hallo Gerald, Am Dienstag November 4 2003 20:11 schrieb Gerald Engl:
Helga Fischer wrote:
Ich habe es mit rpm -qlv
Den Tipp hatte ich aus dem SuSE-Firewallbuch. Da ist das ziemlich gut beschrieben, wie man Rechner absichert.
Vorschlag2 (etwas ausführlicher):
crawler:/usr1/install/DVD1 # zcat INDEX.gz| grep -i telnet ./CD1/suse/i586/perl-Net-Telnet-3.03-26.i586.rpm ./CD1/suse/i586/telnet-1.0-357.i586.rpm ./CD1/suse/i586/telnet-server-1.0-357.i586.rpm ./CD2/suse/src/perl-Net-Telnet-3.03-26.src.rpm ./CD2/suse/src/telnet-1.0-357.src.rpm
crawler:/usr1/install/DVD1 # rpm -qlp suse/i586/telnet-server-1.0-357.i586.rpm
Das merke ich mir.
(Manchmal hasse ich Umbrüche)
Ja, ich auch. KMail ist da ein ganz besonderer Held drin.
/etc/xinetd.d/telnet
/usr/sbin/in.telnetd <--- unser Kandidat ;-)
Ja, da bin ich auch drauf gestossen, allerdings nicht im System, wenn ich mich nicht täusche. [...]
Das greift aber _nur_ bei über rpm installierten Paketen (und noch dazu wenn das entsprechende Paket "telnet" als Namensteil hat.
Ja, Du formulierst das richtig.
<paranoia-mode> Horrorszenario:
Selbst kompilierter "telnetd", der dann auch noch "Ichbinganzharmlos" heißt und zudem "irgenwo" im Filesystem liegt.
Untergeschobenes "Ichbinauchganzharmlos.rpm".
</paranoia-mode>
*Autsch* Aber die Frage nach dem "Ichbinauchganzharmlos.rpm" beschäftigt mich auch seit geraumer Zeit. (Meiner /var/log/messages fehlen nämlich vier Tage und das kann eigentlich nicht sein. Dieser Rechner läuft immer).
Auf alle Fälle:
Auf der Firewall (IIRC ist die Maschine eine Firewall) Port 23 (udp/tcp) sperren (bzw. generell auch den Traffic vom internen Netz nur auf dedizierten Ports zulassen).
Ja, Sir, mache ich.
Nach der "Säuberungsaktion" entsprechende Portscans gegen die Firewall durchführen.
Auch das. Helga -- ## Content Developer OpenOffice.org: lang/DE ## Office-Suite für Linux, Mac, Windows -- http://de.openoffice.org/ ## Werkstatt & Information zu OpenSource -- http://www.eschkitai.de/ ## Etikette, nein Danke? -- http://www.suse-etikette.de.vu/
Hallo Helga Helga Fischer wrote:
Ich habe es mit rpm -qlv
Den Tipp hatte ich aus dem SuSE-Firewallbuch. Da ist das ziemlich gut beschrieben, wie man Rechner absichert.
Mh, ich suche mir sowas immer mühsam zusammen. :-) "rpm -qilp nichtinstalliertes.rpm" ist auch recht nützlich.
crawler:/usr1/install/DVD1 # rpm -qlp suse/i586/telnet-server-1.0-357.i586.rpm
Das merke ich mir.
Bevor ich irgendwann auf der Liste über "pin" gestolpert bin, hat sich ARCHIVES.gz/INDEX.gz als "Suchbasis" bestens angeboten. [snip] [paranoia]
*Autsch* Aber die Frage nach dem "Ichbinauchganzharmlos.rpm" beschäftigt mich auch seit geraumer Zeit. (Meiner /var/log/messages fehlen nämlich vier Tage und das kann eigentlich nicht sein. Dieser Rechner läuft immer).
Das kann auch an einem ganz trivial "gestorbenen" syslogd liegen. Hatte ich auch schon mal, konnte den Fehler aber nie wirklich analysieren. Aber zurück zum "Ichbinauchganzharmlos.rpm": Hat man im Prinzip kaum eine Chance, wenn es schon passiert ist. Eigentlich sollte man _jedes_ Paket (zumindest die nicht originär vom Installationsmedium, sprich Original-CD, stammenden), also vor allem die Updates überprüfen. Die Frage, ob das "im Alltag" _immer_ durchzuhalten ist, lässt sich mit einem klarem "Nein" beantworten.
Auf der Firewall (IIRC ist die Maschine eine Firewall) Port 23 (udp/tcp) sperren (bzw. generell auch den Traffic vom internen Netz nur auf dedizierten Ports zulassen).
Ja, Sir, mache ich.
He, das war als "gutgemeinter Rat" gedacht. War mir gar nicht über den englischen Adelstitel bewusst. ;-)
Nach der "Säuberungsaktion" entsprechende Portscans gegen die Firewall durchführen.
Auch das.
Das ist im Prinzip immer der _zwingende_ Abschluß nach Arbeiten an einer Firewall. Ob im Alltag wirklich durchfürbar bleibt eine der beliebten Fragen. BTW: Ich scanne meine "private Firewall" regelmäßig, spätestens so ca. alle 14 Tage aber _immer_ wenn es irgenwelche Änderungen gibt. (Und ja, da ist es auch schon vorgekommen, daß ich schlicht etwas übersehen hatte und heilfroh über den scan war). Bei Firewalls die wirklich wichtig sind (meine private ist es definitiv nicht), sprich also wenn das Schadenspotential entsprechend hoch ist, sollte die Policy bzw. das Auditing entsprechend härter ausfallen. Also viel Erfolg, Gruß Gerald -- Gerald Engl Bunsenstrasse 13 81735 Muenchen 089/676736
participants (5)
-
Andreas Winkelmann
-
Gerald Engl
-
Gerald Engl
-
Harald_mail@t-online.de
-
Helga Fischer