On Wed, Mar 01, 2000 at 11:12:13AM -0500, Kai Bolay wrote: Hallo,
Mein Rechner ist jetzt staendig per Kabelmodem am Internet - da muss ich natuerlich etwas fuer die Sicherheit tun.
Wenn du nicht gehackt werden möchtest,...ne Menge!
Das naheliegensde war mit "yast" die "Rechte auf Dateien" auf "secure" zu setzen und in "/etc/inetd.conf" alle Dienste, die ich nicht brauche, auszukommentieren. Yup, is a must!
Natuerlich werde ich auch immer die aktuelle Security-Patches einspielen. ACK Jetzt zu meiner Frage: Seit ich die Dateirechte geaendert habe funktioniert das "Mounten" des CD-ROMs und der Floppy nur noch als "root", obwohl meine "/etc/fstab" eindeutig "user" enthaelt:
Ist egal. Das mounten ist NUR root zu gestatten. Würde mich auch daran halten. Einige Distris setzen default einige Suid-bits auf zB mount. Das ist ein großes Sicherheitsrisiko!! Ich würde es /bin/mount; /umount auf jeden Fall KEIN S-bit. Wenn du unbedingt möchtest das deine User auch mounten dürfen, leg dir sudo zu. Und bei einer Standleitung würde ich (ich habs mit temp. Verbindubg) auf jeden Fall eine "fette" Firewall" setzen, mit sehr strengen regeln.
/dev/hdb /cdrom iso9660 ro,noauto,user 0 0 /dev/fd0 /floppy vfat noauto,user 0 0 Wenn aber auf /bin/mount kein S-bit gesetzt ist, ist es schnuppe was in der fstab steht.
Ausserdem funktioniert "talk" nicht mehr: Das hast du ausgestellt! Oben bemerkst du das es besser ist alle Dienste in der /etc/inetd.conf zu schließen. Da hast du auch telnet und talk usw. abgestellt.
Installiere dir die secureshell und komuniziere damit intern/extern. Bedenke du hast eine bekannte Adresse/feste IP! Das ist ein gr. Nachteil bei einer Standleitung! Also sollte man schon einige Vorbereitung treffen um sich wenigstens vor dem Gröbsten zu schützen. Mach dir mal ein root-Terminal auf und laß mal iptraf laufen. Dort siehst du was kommt und geht ;)
[Couldn't bind to control socket : Die angeforderte Adresse kann nicht zugewiesen werden (99)]
Meine "/etc/inetd.conf" sagt aber:
talk dgram udp wait root /usr/sbin/tcpd in.talkd ntalk dgram udp wait root /usr/sbin/tcpd in.talkd Aha, also talk offen gelassen :( Oha. IMHO läuft talk doch über ein Terminalverbindung(?!) Diese kann ssh oder telnet sein. Hast du telnet offen, oder ssh eingerichtet?
Wenn ja, dann schau auf die Rechte.
Was geht hier schief? Einiges in Sachen Permissions zB. Ich hab mir die permissions.local für eigene settings angelegt. Dann sollte in der rc.config "set permissions" ein und "secure local" eingesetzt werden. Die letzte (hier *.local) wird immer als letztes abgearbeitet und überschreibt dementsprechend auch die gesetzten Rechte in der *.secure.
Ich hoffe dir ist einiges klarer geworden ;) Du solltest dir etwas mehr Grundwissen aneignen was das Internet betrifft. Eine Standleitung will gut koordiniert sein...... MfG, Clemens -- sig_32 Suchen in man-pages nach <Stichwort>: $ man -k <Stichwort> oder $ man -f <Stichwort> [Info: man man] -------------------------------------------- --------------------------------------------------------------------- To unsubscribe, e-mail: suse-linux-unsubscribe@suse.com For additional commands, e-mail: suse-linux-help@suse.com