Am Donnerstag, 24. April 2003 15:21 schrieb Martin Borchert:
Am Donnerstag, 24. April 2003 14:30 schrieb Heiner Gewiehs:
Am Donnerstag, 24. April 2003 12:29 schrieb Steffen Moser:
* On Thu, Apr 24, 2003 at 10:48 AM (+0200), Peter Wiersig wrote:
Was steckt hinter dem "couldn't find service c" ??
Hallo, nach meiner Rückkehr von der gestrigen, nicht geplanten Aushäusigkeit, habe ich feststellen müssen, dass sich diese Diskussion doch etwas verselbständigt hat.
NACK, was du wirklich willst, ist dir die Optionen "interfaces" und "bind interfaces only" von Samba ansehen.
in der smb.conf fand ich nur folgenden Eintrag, von "bind interfaces only" nicht zu sehen: ; interfaces = 192.168.1.1/255.255.255.0 meine Netzwerkkarten haben folgende IP eth0 = LAN = 192.168.1.2 eth1 = DSL = 192.168.2.1
Hängt aber auch davon ab, was das für ein Netz ist. Ich antizipiere mal ein paar freundliche Windows-Kisten und der Linux-Rechner, der gleichzeitig das Tor zum bösen Internet ist. Richtig?
Stimmt - 2 Win98SE- Rechner am Linux SuSE- Server 8.2
Was sollte ich noch tun, ich meine außer die Ports abzudichten?
Ports sind per default dicht, wenn kein Dienst läuft. Also schalte alles ab, was du nicht brauchst. Bei dem, was du nur nach innen brauchst, sorgst du dafür, dass es nicht an externen Interfaces lauscht. Meist wird das mit "listen" oder "interface" in den Konfigurationsdateien gesteuert.
# # Listen: Allows you to bind Apache to specific IP addresses and/or # ports, in addition to the default. See also the <VirtualHost> # directive. # #Listen 3000 #Listen 12.34.56.78:80 Das wäre dann der Punkt aus der httpd.conf? Ich müsste also hier festlegen, dass er nur nach innen lauscht? also: "Listen 192.168.1.2:80" ?
Bei dem, was du wirklich nach außen brauchst, musst du auf sichere Software achten, sprich updates installieren, wenn Sicherheitslöcher gefixt wurden.
Das ist der Apache in der Version 1.3.27, die der SuSE 8.2 beiliegt. Updates sind gelaufen.
Shields up hat die Ports gescannt und folgende geöffnet 80 HTTP OPEN!
Brauchst du den nach außen? Wenn nicht, abschalten.
Nee, nach außen brauch ich den eigentlich noch nicht! Nach innen wegen PHP4 und MySQL. reicht hier eine IPtables Regel? iptables -A INPUT -i eth0 -p tcp --dport 80 -j REJECT oder wie Kristian empfahl, 3:10 an REJECT anhängen entsprechend auch für Port 139?
139 NetBIOS OPEN!
Das sollte man nun wirklich nicht nach außen aufmachen, es sei denn, man hat verdammt gute Gründe und weiß genau, was man tut.
Vermutlich hat sich Samba diesen Port selbst freigemacht. Ich habe, bevor ich Apache, Samba und PHP4 installiert und automatisch starten ließ, schon einen Port- Scan laufen lassen - da waren alle Ports als "closed" gemeldet.
Wie dichte ich die am besten ab?
Sorge dafür, dass die Dienste nicht am externen Interface lauschen: Bei Samba geht das z.B. mit den Direktiven "interfaces" und "bind interfaces only".
; interfaces = 192.168.1.1/255.255.255.0 also Kommentarzeichen weg und interfaces = 192.168.1.2/255.255.255.0 wäre das ok?
Den Rest macht dein Linux für dich.
Martin
Viel Grüße Heiner -- ******************************* H e i n e r G e w i e h s Marketing - Fachkaufmann D- 63868 Großwallstadt Mail: heiner.gewiehs@gewiehs.de *******************************