Re: Systemsicherheit "secure": mount nur als root / kein talk?!?
Kai Bolay <kai@bolay.de> wrote:
Mein Rechner ist jetzt staendig per Kabelmodem am Internet - da muss ich natuerlich etwas fuer die Sicherheit tun. Das naheliegensde war mit "yast" die "Rechte auf Dateien" auf "secure" zu setzen
Die Dateirechte zu veraendern ist vor allem ein Schutz gegen Aktionen von lokalen Benutzern, schuetzt aber nicht unmittelbar vor Angriffen ueber das Netz. Die Einstellung koennte allerdings helfen, Angriffe auf den root-Account zu erschweren, falls es jemandem einmal gelingt, den Account eines normalen Users zu knacken. Insofern ist die Einstellung schon nicht unsinnig, aber sie macht -- wie Du gemerkt hast -- das normale Arbeiten mitunter etwas unbequemer (s.u.).
und in "/etc/inetd.conf" alle Dienste, die ich nicht brauche, auszukommentieren. Natuerlich werde ich auch immer die aktuelle Security-Patches einspielen.
Auf jeden Fall sinnvoll. Du kannst auch noch darueber nachdenken, den Zugang auf die verbleibenden Dienste durch entsprechende Eintraege in /etc/hosts.allow und /etc/hosts.deny (Siehe `man 5 hosts_access') einzuschraenken, falls das bei Deinen Anwendungen moeglich ist. Achte auch auf Dienste, die nicht ueber den inetd laufen, z.B. Portmapper, NFS, Web-Server (Apache), ... Fuer die gibt's Eintraege in /etc/rc.config, die angeben, ob sie beim Booten gestartet werden.
Jetzt zu meiner Frage: Seit ich die Dateirechte geaendert habe funktioniert das "Mounten" des CD-ROMs und der Floppy nur noch als "root", obwohl meine "/etc/fstab" eindeutig "user" enthaelt:
Sie dir mal in /etc/permissions.easy und /etc/permissions.secure die Zeilen an, die mit /bin/mount beginnen. Einmal steht dort ganz hinten 4755, im zweiten Fall 755 -- die numerische Darstellung der Dateirechte. In anderen Worten: Bei "easy" wird das SetUID-Bit gesetzt, bei "secure" nicht. Das Mounten von Dateisystemen durch normale User erfordert neben der "user"-Option in /etc/fstab, dass das Kommando mount mit root-Rechten laeuft, also das SetUID-Bit gesetzt ist. Moegliche Loesung: In /etc/permissions.secure die Rechte fuer /bin/mount auf 4755 aendern und SuSEconfig aufrufen. Mir faellt so auf Anhieb aber gerade nicht ein, wie dein talk-Problem mit den geaenderten Einstellungen zusammenhaengen koennte. Eilert -- ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Eilert Brinkmann -- Universitaet Bremen -- FB 3, Informatik eilert@informatik.uni-bremen.de - eilert@tzi.org - eilert@linuxfreak.com http://www.informatik.uni-bremen.de/~eilert/ --------------------------------------------------------------------- To unsubscribe, e-mail: suse-linux-unsubscribe@suse.com For additional commands, e-mail: suse-linux-help@suse.com
Eilert Brinkmann wrote:
und in "/etc/inetd.conf" alle Dienste, die ich nicht brauche, auszukommentieren. Natuerlich werde ich auch immer die aktuelle Security-Patches einspielen.
Auf jeden Fall sinnvoll. Du kannst auch noch darueber nachdenken, den Zugang auf die verbleibenden Dienste durch entsprechende Eintraege in /etc/hosts.allow und /etc/hosts.deny (Siehe `man 5 hosts_access') einzuschraenken, falls das bei Deinen Anwendungen moeglich ist.
Werde ich mir ueberlegen. Guter Hinweis!
Achte auch auf Dienste, die nicht ueber den inetd laufen, [fuer die gibt's Eintraege in /etc/rc.config, die angeben, ob sie beim Booten gestartet werden] z.B. Portmapper, NFS,
Sehr guter Hinweis! Portmapper und NFS bin ich so losgeworden.
Web-Server (Apache),
Apache soll laufen und ich werde die entsprechende Config-Datei sicher machen :-)
...
Das ist ein guter Punkt (es sind drei Punkte, wenn man es genau nimmt :-)! Um herauszufinden was laueft muss ich wohl einen Portscan machen. Welche Software ist da empfehlenswert?
Jetzt zu meiner Frage: Seit ich die Dateirechte geaendert habe funktioniert das "Mounten" des CD-ROMs und der Floppy nur noch als "root", obwohl meine "/etc/fstab" eindeutig "user" enthaelt:
Sie dir mal in /etc/permissions.easy und /etc/permissions.secure die Zeilen an, die mit /bin/mount beginnen. Einmal steht dort ganz hinten 4755, im zweiten Fall 755 -- die numerische Darstellung der Dateirechte. In anderen Worten: Bei "easy" wird das SetUID-Bit gesetzt, bei "secure" nicht. Das Mounten von Dateisystemen durch normale User erfordert neben der "user"-Option in /etc/fstab, dass das Kommando mount mit root-Rechten laeuft, also das SetUID-Bit gesetzt ist. Moegliche Loesung: In /etc/permissions.secure die Rechte fuer /bin/mount auf 4755 aendern und SuSEconfig aufrufen.
Noch besser ist wahlscheinlich in "/etc/rc.config" dies einzutragen: PERMISSION_SECURITY="secure local" Und dann diese beiden Zeilen in "/etc/permission.local": /bin/mount root.root 4755 /bin/umount root.root 4755 So kann man "/etc/permission.secure" ohne Probleme updaten!
Mir faellt so auf Anhieb aber gerade nicht ein, wie dein talk-Problem mit den geaenderten Einstellungen zusammenhaengen koennte.
Vielleicht habe ich auch noch etwas anderes geaendert. Wie kann man das "talk"-Problem einkreisen und die genaue Ursache herausfinden? Danke fuer die Hilfe, Kai --------------------------------------------------------------------- To unsubscribe, e-mail: suse-linux-unsubscribe@suse.com For additional commands, e-mail: suse-linux-help@suse.com
* Kai Bolay wrote on Wed, Mar 01, 2000 at 13:50 -0500:
Eilert Brinkmann wrote:
Das ist ein guter Punkt (es sind drei Punkte, wenn man es genau nimmt :-)! Um herauszufinden was laueft muss ich wohl einen Portscan machen. Welche Software ist da empfehlenswert?
Na, man muß als Admin nicht gleich einen Portscanner auffahren, wo's auch ein "netstat -an --inet" tut... Ansonsten "nmap", oder für Freunde bunter Ausgaben mit Hilfen etc. besser sowas wie --> Nessus.
Vielleicht habe ich auch noch etwas anderes geaendert. Wie kann man das "talk"-Problem einkreisen und die genaue Ursache herausfinden?
Syslog durchforsten. Ein netter "Trick" ist ein "strace" auf den inetd (als Kommando z.B.) INP=`ps ax|grep -v grep|grep inetd|awk '{print $1}'` strace -f -p $INP (Hab heute einen netten Tag :)) Das erzeugt viel Ausgaben, die man allerdings noch verstehen muß, vermutlich nicht so einfach... oki, Steffen -- Dieses Schreiben wurde maschinell erstellt, es trägt daher weder Unterschrift noch Siegel. --------------------------------------------------------------------- To unsubscribe, e-mail: suse-linux-unsubscribe@suse.com For additional commands, e-mail: suse-linux-help@suse.com
participants (3)
-
eilert@informatik.uni-bremen.de -
kai@bolay.de -
steffen@dett.de