Mailinglist Archive: opensuse-de (5248 mails)

< Previous Next >
Re: Systemsicherheit &quot;secure&quot;: mount nur als root / kein talk?!?
  • From: c.wohld@xxxxxxx (Clemens Wohld)
  • Date: Thu Mar 02 12:07:02 2000
  • Message-id: <20000302130702.A296@xxxxxxxxxxxx>



On Wed, Mar 01, 2000 at 11:12:13AM -0500, Kai Bolay wrote:
Hallo,


Mein Rechner ist jetzt staendig per Kabelmodem am Internet - da muss ich
natuerlich etwas fuer die Sicherheit tun.
Wenn du nicht gehackt werden möchtest,...ne Menge!

Das naheliegensde war mit "yast"
die "Rechte auf Dateien" auf "secure" zu setzen und in "/etc/inetd.conf"
alle Dienste, die ich nicht brauche, auszukommentieren.
Yup, is a must!

Natuerlich werde
ich auch immer die aktuelle Security-Patches einspielen.
ACK
Jetzt zu meiner Frage: Seit ich die Dateirechte geaendert habe
funktioniert das "Mounten" des CD-ROMs und der Floppy nur noch als "root",
obwohl meine "/etc/fstab" eindeutig "user" enthaelt:

Ist egal. Das mounten ist NUR root zu gestatten.
Würde mich auch daran halten.
Einige Distris setzen default einige Suid-bits auf zB mount.
Das ist ein großes Sicherheitsrisiko!!
Ich würde es /bin/mount; /umount auf jeden Fall KEIN S-bit.

Wenn du unbedingt möchtest das deine User auch mounten dürfen, leg
dir sudo zu.

Und bei einer Standleitung würde ich (ich habs mit temp. Verbindubg)
auf jeden Fall eine "fette" Firewall" setzen, mit sehr strengen
regeln.
/dev/hdb /cdrom iso9660 ro,noauto,user 0 0
/dev/fd0 /floppy vfat noauto,user 0 0
Wenn aber auf /bin/mount kein S-bit gesetzt ist, ist es schnuppe was
in der fstab steht.

Ausserdem funktioniert "talk" nicht mehr:
Das hast du ausgestellt!
Oben bemerkst du das es besser ist alle Dienste in der
/etc/inetd.conf zu schließen.
Da hast du auch telnet und talk usw. abgestellt.

Installiere dir die secureshell und komuniziere damit intern/extern.
Bedenke du hast eine bekannte Adresse/feste IP!
Das ist ein gr. Nachteil bei einer Standleitung!
Also sollte man schon einige Vorbereitung treffen um sich wenigstens
vor dem Gröbsten zu schützen.
Mach dir mal ein root-Terminal auf und laß mal iptraf laufen.
Dort siehst du was kommt und geht ;)

[Couldn't bind to control socket : Die angeforderte Adresse kann nicht
zugewiesen werden (99)]

Meine "/etc/inetd.conf" sagt aber:

talk dgram udp wait root /usr/sbin/tcpd in.talkd
ntalk dgram udp wait root /usr/sbin/tcpd in.talkd
Aha, also talk offen gelassen :(
Oha.
IMHO läuft talk doch über ein Terminalverbindung(?!)
Diese kann ssh oder telnet sein.
Hast du telnet offen, oder ssh eingerichtet?

Wenn ja, dann schau auf die Rechte.

Was geht hier schief?
Einiges in Sachen Permissions zB.
Ich hab mir die permissions.local für eigene settings angelegt.
Dann sollte in der rc.config "set permissions" ein
und "secure local" eingesetzt werden.
Die letzte (hier *.local) wird immer als letztes abgearbeitet und
überschreibt dementsprechend auch die gesetzten Rechte in der
*.secure.

Ich hoffe dir ist einiges klarer geworden ;)

Du solltest dir etwas mehr Grundwissen aneignen was das Internet
betrifft.
Eine Standleitung will gut koordiniert sein......

MfG, Clemens


--
sig_32
Suchen in man-pages nach <Stichwort>:
$ man -k <Stichwort> oder
$ man -f <Stichwort> [Info: man man]
--------------------------------------------

---------------------------------------------------------------------
To unsubscribe, e-mail: suse-linux-unsubscribe@xxxxxxxx
For additional commands, e-mail: suse-linux-help@xxxxxxxx


< Previous Next >
References