Systemsicherheit "secure": mount nur als root / kein talk?!?
Hallo! Mein Rechner ist jetzt staendig per Kabelmodem am Internet - da muss ich natuerlich etwas fuer die Sicherheit tun. Das naheliegensde war mit "yast" die "Rechte auf Dateien" auf "secure" zu setzen und in "/etc/inetd.conf" alle Dienste, die ich nicht brauche, auszukommentieren. Natuerlich werde ich auch immer die aktuelle Security-Patches einspielen. Jetzt zu meiner Frage: Seit ich die Dateirechte geaendert habe funktioniert das "Mounten" des CD-ROMs und der Floppy nur noch als "root", obwohl meine "/etc/fstab" eindeutig "user" enthaelt: /dev/hdb /cdrom iso9660 ro,noauto,user 0 0 /dev/fd0 /floppy vfat noauto,user 0 0 Ausserdem funktioniert "talk" nicht mehr: [Couldn't bind to control socket : Die angeforderte Adresse kann nicht zugewiesen werden (99)] Meine "/etc/inetd.conf" sagt aber: talk dgram udp wait root /usr/sbin/tcpd in.talkd ntalk dgram udp wait root /usr/sbin/tcpd in.talkd Was geht hier schief? Vielen Dank fuer jede Hilfe! Kai --------------------------------------------------------------------- To unsubscribe, e-mail: suse-linux-unsubscribe@suse.com For additional commands, e-mail: suse-linux-help@suse.com
Kai Bolay wrote:
Hallo!
Hi Kai. Zu der Security-Seite hat Dir ja Eilert schon ziemlich viel Hilfreiches geschrieben. (btw: Du koenntest auch darueber nachdenken, den Zugriff auf Dein System mit ipchains zu kontrollieren. Ist bei SuSE dabei, und es gibt ein recht brauchbares Howto).
Ausserdem funktioniert "talk" nicht mehr:
[Couldn't bind to control socket : Die angeforderte Adresse kann nicht zugewiesen werden (99)] ... talk dgram udp wait root /usr/sbin/tcpd in.talkd ntalk dgram udp wait root /usr/sbin/tcpd in.talkd
Sind vielleicht die Dienste nicht in Deiner /etc/services eingetragen? Rgds. Heiko. -- Die Etikette der SuSE-Liste kann man folgerndermaßen beziehen: Mail-Adresse: mailings-suse@gmx.de Betreff: send etikette --------------------------------------------------------------------- To unsubscribe, e-mail: suse-linux-unsubscribe@suse.com For additional commands, e-mail: suse-linux-help@suse.com
On Thu, 2 Mar 2000, Heiko Degenhardt wrote:
Ausserdem funktioniert "talk" nicht mehr:
[Couldn't bind to control socket : Die angeforderte Adresse kann nicht zugewiesen werden (99)] ... talk dgram udp wait root /usr/sbin/tcpd in.talkd ntalk dgram udp wait root /usr/sbin/tcpd in.talkd
Sind vielleicht die Dienste nicht in Deiner /etc/services eingetragen?
talk 517/udp ntalk 518/udp Alles so wie es sein sollte... Allerdings habe ich herausgefunden, daß mein talkd funktioniert. Wenn ich von einem anderen Rechner aus einen talk-Request schicke, dann sehe ich diesen auf der Console. Antworten kann ich allerdings nicht: [Couldn't bind to control socket : Die angeforderte Adresse kann nicht zugewiesen werden (99)] Ich bin fuer jede Hilfe dankbar, Kai --------------------------------------------------------------------- To unsubscribe, e-mail: suse-linux-unsubscribe@suse.com For additional commands, e-mail: suse-linux-help@suse.com
Kai Bolay wrote:
... talk 517/udp ntalk 518/udp
Alles so wie es sein sollte...
Allerdings habe ich herausgefunden, daß mein talkd funktioniert. Wenn ich von einem anderen Rechner aus einen talk-Request schicke, dann sehe ich diesen auf der Console. Antworten kann ich allerdings nicht:
[Couldn't bind to control socket : Die angeforderte Adresse kann nicht zugewiesen werden (99)] Und laeuft schon was auf port 99/tcp ("fuser -v -u -n udp 99"?). Wahrscheinlicher scheint mir aber, dass ein normaler user sich bei Deinen Sicherheitseinstellungen nicht mehr mit einem Port<1024 verbinden kann...
Btw: Wenn Du auf die Sicherheit Deines Systems achten willst, solltest Du imho ganz von talk absehen. Rgds. Heiko. -- Die Etikette der SuSE-Liste kann man folgerndermaßen beziehen: Mail-Adresse: mailings-suse@gmx.de Betreff: send etikette --------------------------------------------------------------------- To unsubscribe, e-mail: suse-linux-unsubscribe@suse.com For additional commands, e-mail: suse-linux-help@suse.com
On Wed, Mar 01, 2000 at 11:12:13AM -0500, Kai Bolay wrote: Hallo,
Mein Rechner ist jetzt staendig per Kabelmodem am Internet - da muss ich natuerlich etwas fuer die Sicherheit tun.
Wenn du nicht gehackt werden möchtest,...ne Menge!
Das naheliegensde war mit "yast" die "Rechte auf Dateien" auf "secure" zu setzen und in "/etc/inetd.conf" alle Dienste, die ich nicht brauche, auszukommentieren. Yup, is a must!
Natuerlich werde ich auch immer die aktuelle Security-Patches einspielen. ACK Jetzt zu meiner Frage: Seit ich die Dateirechte geaendert habe funktioniert das "Mounten" des CD-ROMs und der Floppy nur noch als "root", obwohl meine "/etc/fstab" eindeutig "user" enthaelt:
Ist egal. Das mounten ist NUR root zu gestatten. Würde mich auch daran halten. Einige Distris setzen default einige Suid-bits auf zB mount. Das ist ein großes Sicherheitsrisiko!! Ich würde es /bin/mount; /umount auf jeden Fall KEIN S-bit. Wenn du unbedingt möchtest das deine User auch mounten dürfen, leg dir sudo zu. Und bei einer Standleitung würde ich (ich habs mit temp. Verbindubg) auf jeden Fall eine "fette" Firewall" setzen, mit sehr strengen regeln.
/dev/hdb /cdrom iso9660 ro,noauto,user 0 0 /dev/fd0 /floppy vfat noauto,user 0 0 Wenn aber auf /bin/mount kein S-bit gesetzt ist, ist es schnuppe was in der fstab steht.
Ausserdem funktioniert "talk" nicht mehr: Das hast du ausgestellt! Oben bemerkst du das es besser ist alle Dienste in der /etc/inetd.conf zu schließen. Da hast du auch telnet und talk usw. abgestellt.
Installiere dir die secureshell und komuniziere damit intern/extern. Bedenke du hast eine bekannte Adresse/feste IP! Das ist ein gr. Nachteil bei einer Standleitung! Also sollte man schon einige Vorbereitung treffen um sich wenigstens vor dem Gröbsten zu schützen. Mach dir mal ein root-Terminal auf und laß mal iptraf laufen. Dort siehst du was kommt und geht ;)
[Couldn't bind to control socket : Die angeforderte Adresse kann nicht zugewiesen werden (99)]
Meine "/etc/inetd.conf" sagt aber:
talk dgram udp wait root /usr/sbin/tcpd in.talkd ntalk dgram udp wait root /usr/sbin/tcpd in.talkd Aha, also talk offen gelassen :( Oha. IMHO läuft talk doch über ein Terminalverbindung(?!) Diese kann ssh oder telnet sein. Hast du telnet offen, oder ssh eingerichtet?
Wenn ja, dann schau auf die Rechte.
Was geht hier schief? Einiges in Sachen Permissions zB. Ich hab mir die permissions.local für eigene settings angelegt. Dann sollte in der rc.config "set permissions" ein und "secure local" eingesetzt werden. Die letzte (hier *.local) wird immer als letztes abgearbeitet und überschreibt dementsprechend auch die gesetzten Rechte in der *.secure.
Ich hoffe dir ist einiges klarer geworden ;) Du solltest dir etwas mehr Grundwissen aneignen was das Internet betrifft. Eine Standleitung will gut koordiniert sein...... MfG, Clemens -- sig_32 Suchen in man-pages nach <Stichwort>: $ man -k <Stichwort> oder $ man -f <Stichwort> [Info: man man] -------------------------------------------- --------------------------------------------------------------------- To unsubscribe, e-mail: suse-linux-unsubscribe@suse.com For additional commands, e-mail: suse-linux-help@suse.com
participants (3)
-
c.wohld@ndh.net -
heiko.degenhardt@sentec-elektronik.de -
kai@bolay.de