Hallo Linux Gurus, mein Problem, wenn ich nicht will, dass mein Linuxrechner nicht gehackt wird, was sollte dann alles machen??ß Also ich dachte mir: a.) Alle Updates von Suse.de runterladen! b.) Unter YaST die Sicherheitseinstellungen mal auf - nobody - secure - no - no - reboot c.) Dann von aussen auf den Linuxrechner zugreifen und einen Portscan machen und schauen welche Port noch offen sind. Wenn nur mehr Port 22 - ssh 515 - ist Printer und 5492 ist axnet da sind, wie kann man das Abstellen, dass da keiner mehr reinkommt?? In /etc/services diese Ports abdrehen?? Oder ...... -------- Sollte man weiters noch etwas machen, damit die Linuxkiste richtig sicher??? Danke Marco --------------------------------------------------------------------- To unsubscribe, e-mail: suse-linux-unsubscribe@suse.com For additional commands, e-mail: suse-linux-help@suse.com
Marco Kammerer wrote:
Hallo Linux Gurus,
mein Problem, wenn ich nicht will, dass mein Linuxrechner nicht gehackt wird, was sollte dann alles machen??ß
Hm - eigentlich ein ungewöhnliches Problem. Vielleicht solltest Du in /etc/hosts.allow "ALL:ALL" eintragen, in /etc/rc.config "ROOT_LOGIN_REMOTE="yes" setzten und ferner Dein Root-Passwort auf Null zeichen begrenzen. Wenn das nicht hilft (bei einem dialup-System) würde ich ein Sript in /etc/ppp/ip-up einbinden, das die jeweils aktuelle ip in einer einschlägigen Newsgroop anpreist. andere Möglichkeit: Axt (scnr) -- Gruesse Rolf GPG/PGP-key 60BB006C (rolf@uni.de) available at www.keyserver.net --------------------------------------------------------------------- To unsubscribe, e-mail: suse-linux-unsubscribe@suse.com For additional commands, e-mail: suse-linux-help@suse.com
Hallo Marco
mein Problem, wenn ich nicht will, dass mein Linuxrechner nicht gehackt wird, was sollte dann alles machen??ß
c.) Dann von aussen auf den Linuxrechner zugreifen und einen Portscan machen und schauen welche Port noch offen sind. Wenn nur mehr Port
22 - ssh
Wenn Du so große Angst hast, das jemand deinen Rechner cracken könnte solltest Du keinen ssh Port offen haben und auch sonst nichts, wo ein Konsole dranhängt. Das ist immer die schwächste Stelle, weil man *nur* das Passort knacken muss um Zugriff zu bekommen. Da ist es schon besser, wenn man auch vor dem Rechner sitzen muss um sich einloggen zu können. Auf alle Fälle kann ich Dir nur raten dir einmal das Buch "Maximum Linux Securitxy" von anonymous zu Gemüte zu ziehen. Da steht eigentlich alles drin, was man dazu wissen muss. Ausserdem ist es denke ich ganz gut verständlich, obwohl es auf englisch ist. Vielleicht gibt es auch eine dt. Übersetzung. Schau doch mal bei www.lob.de vorbei. BTW: In was für einer Umgebung steht eigentlich der Rechner, dass DU solche Angst hast jemand könnte sich daran vergreifen?. MfG Martin Müller -- Toolbase: http://toolbase.orvio.de AppArchive: http://apparchive.orvio.de --------------------------------------------------------------------- To unsubscribe, e-mail: suse-linux-unsubscribe@suse.com For additional commands, e-mail: suse-linux-help@suse.com
On Sat, Dec 04, 1999 Martin wrote: [...]
Wenn Du so große Angst hast, das jemand deinen Rechner cracken könnte solltest Du keinen ssh Port offen haben und auch sonst nichts, wo ein Konsole dranhängt. Das ist immer die schwächste Stelle, weil man *nur* das Passort knacken muss um Zugriff zu bekommen. Da ist es schon besser, wenn man auch vor dem Rechner sitzen muss um sich einloggen zu können. [...]
das wäre so bei telnet der fall. ssh steht für Secure SHell und ist da schon um längen besser. hier muss man nicht nur das passwort wissen, sondern auch den entsprechenden key haben. also einen richtigen key, den man mit ssh-keygen erzeugt hat. bye, moritz -- Moritz Schulte - hp9001.fh-bielefeld.de/~moritz/, PGP Key available| ---- Zufallssignatur #20: -----------------------------------------| Screenshots von einer Konsole (geht standardmäßig nur als Root): | setterm -dump <konsolen-nummer> -file <in diese datei> | --------------------------------------------------------------------- To unsubscribe, e-mail: suse-linux-unsubscribe@suse.com For additional commands, e-mail: suse-linux-help@suse.com
Moritz Schulte wrote:
das wäre so bei telnet der fall. ssh steht für Secure SHell und ist da schon um längen besser. hier muss man nicht nur das passwort wissen, sondern auch den entsprechenden key haben. also einen richtigen key, den man mit ssh-keygen erzeugt hat.
Stimmt, und normalerweise wäre ssh auf jeden Fall eine gute Wahl, aber wenn man soviel Angst vor einem Angriff hat, dass man nur noch drei Ports offenhaben will, sollte man auch noch auf ssh verzichten. Jedenfalls lässt sich auch ein ssh key knacken. Das kommt darauf an, was für Daten man sich durch sowas erhofft und wieviel Aufwand man dafür betreiben will. Und wie gesagt, wenn er soviel Angst vor einem Angriff hat, dann muss schon was richtig wichtiges auf der Kiste sein. Oder er ist paranoid. Wie auch immer Bye -- Toolbase: http://toolbase.orvio.de AppArchive: http://apparchive.orvio.de --------------------------------------------------------------------- To unsubscribe, e-mail: suse-linux-unsubscribe@suse.com For additional commands, e-mail: suse-linux-help@suse.com
Hi, Moritz Schulte wrote:
On Sat, Dec 04, 1999 Martin wrote: das wäre so bei telnet der fall. ssh steht für Secure SHell und ist da schon um längen besser. hier muss man nicht nur das passwort wissen, sondern auch den entsprechenden key haben. also einen richtigen key, den man mit ssh-keygen erzeugt hat.
Das ist nicht richtig. Die Default einstellung des ssh daemons bei SuSE erlaubt einen Fallback auf login, somit kommst Du mit slogin und einer passenden kombination user/passwort auch druff. Ohne Key. Aber deshalb lesen wir ja alle die Doku bevor wir irgendwelche Dienste einrichten, richtig ? ;-)) -- MfG, M.Stahn ++ The software said it requires Windows 95 or better, ++ ++ so I installed Linux! ++ --------------------------------------------------------------------- To unsubscribe, e-mail: suse-linux-unsubscribe@suse.com For additional commands, e-mail: suse-linux-help@suse.com
Das ist nicht richtig. Die Default einstellung des ssh daemons bei SuSE erlaubt einen Fallback auf login, somit kommst Du mit slogin und einer
<spitzfindig> Das liegt aber nicht an der Config des Daemon, sondern des Clienten. Deshalb ist diese Option auch in /etc/ssh_config zu finden, und nicht unter /etc/sshd_config... </spitzfindig>
passenden kombination user/passwort auch druff. Ohne Key. Aber deshalb lesen wir ja alle die Doku bevor wir irgendwelche Dienste einrichten, richtig ? ;-))
Nee, die Argumentation paß hier IMHO nicht. Was würde es bringen, den FallbackToRsh abzuschalten, wenn der Client auch gleich einfach rsh verwenden kann! Dann muß man rsh und co schon komplett verbieten. Was aber wiederrum nix mit SSH zu tun hat. (Mußte ich nur der Vollständigkeithalber mal loswerden) oki, Steffen -- Dieses Schreiben wurde maschinell erstellt, es trägt daher weder Unterschrift noch Siegel. --------------------------------------------------------------------- To unsubscribe, e-mail: suse-linux-unsubscribe@suse.com For additional commands, e-mail: suse-linux-help@suse.com
Hi, Steffen Dettmer wrote:
Das ist nicht richtig. Die Default einstellung des ssh daemons bei SuSE erlaubt einen Fallback auf login, somit kommst Du mit slogin und einer
<spitzfindig> Das liegt aber nicht an der Config des Daemon, sondern des Clienten. Deshalb ist diese Option auch in /etc/ssh_config zu finden, und nicht unter /etc/sshd_config... </spitzfindig>
Autsch, hast ja recht.
passenden kombination user/passwort auch druff. Ohne Key. Aber deshalb lesen wir ja alle die Doku bevor wir irgendwelche Dienste einrichten, richtig ? ;-))
Nee, die Argumentation paß hier IMHO nicht. Was würde es bringen, den FallbackToRsh abzuschalten, wenn der Client auch gleich einfach rsh verwenden kann! Dann muß man rsh und co schon komplett verbieten. Was aber wiederrum nix mit SSH zu tun hat.
rsh & Co ist doch das erste was man zudreht, oder ? ;-)
(Mußte ich nur der Vollständigkeithalber mal loswerden)
Aba nur weil Du es bist. -- MfG, M.Stahn There are two major products that come out of Berkeley: LSD and UNIX. We don't believe this to be a coincidence. -- Jeremy S. Anderson --------------------------------------------------------------------- To unsubscribe, e-mail: suse-linux-unsubscribe@suse.com For additional commands, e-mail: suse-linux-help@suse.com
Nee, die Argumentation paß hier IMHO nicht. Was würde es bringen, den FallbackToRsh abzuschalten, wenn der Client auch gleich einfach rsh verwenden kann! Dann muß man rsh und co schon komplett verbieten. Was aber wiederrum nix mit SSH zu tun hat.
rsh & Co ist doch das erste was man zudreht, oder ? ;-)
EBEN! Und deshalb ist es kein Sicherheitsproblem von SSH! _WENN_ rsh funktioniert und ssh nicht, nimmt ssh eben rsh. Bekommt man schliesslich mit jedem scanner raus... oki, Steffen -- Dieses Schreiben wurde maschinell erstellt, es trägt daher weder Unterschrift noch Siegel. --------------------------------------------------------------------- To unsubscribe, e-mail: suse-linux-unsubscribe@suse.com For additional commands, e-mail: suse-linux-help@suse.com
Marco Kammerer wrote:
Hallo Linux Gurus,
mein Problem, wenn ich nicht will, dass mein Linuxrechner nicht gehackt wird, was sollte dann alles machen??ß
Also ich dachte mir:
a.) Alle Updates von Suse.de runterladen!
b.) Unter YaST die Sicherheitseinstellungen mal auf - nobody - secure - no - no - reboot
c.) Dann von aussen auf den Linuxrechner zugreifen und einen Portscan machen und schauen welche Port noch offen sind. Wenn nur mehr Port
22 - ssh
515 - ist Printer
und
5492 ist axnet
da sind, wie kann man das Abstellen, dass da keiner mehr reinkommt??
In /etc/services diese Ports abdrehen?? Oder ......
--------
Sollte man weiters noch etwas machen, damit die Linuxkiste richtig sicher???
Danke Marco
Freunde Dich doch mal mit dem Firewall-howto an ! Dietmar -- ... Wer lesen kann ist klar im Vorteil ! --------------------------------------------------------------------- To unsubscribe, e-mail: suse-linux-unsubscribe@suse.com For additional commands, e-mail: suse-linux-help@suse.com
participants (7)
-
dradtke@tecdata.de -
hillen@ldv35.uni-trier.de -
m.kammerer@tirol.com -
martin.stahn@sskm.de -
moritz@hp9001.fh-bielefeld.de -
remidemi@gmx.de -
steffen@dett.de