Von: Heinz W. Pahlke [mailto:h.pahlke@berlin.de] Gesendet: Freitag, 22. September 2000 15:14
Sind wir hier im Kindergarten oder in der Suse-Linux-Mailingliste?
Am besten stellen wir jetzt mal eine Negativliste auf:
- Fragen nach dem Mitloggen sind unerwuenscht, weil man damit z.B. auch Passworte mitloggen koennte,
Ich halte das fuer totalen Schwachsinn, denn wer nicht weiss, wie z.B. Mitloggen als root funktioniert, kann sich als root gegen vermeintliche Einbrecher nicht schuetzen. Die Technik ist anwendbar, warum also verheimlichen.
- Fragen nach Netzwerken sind dto. unerwuenscht, denn wenn man da allzu viel weiss, kann man leicht in schlechte Netzwerke eindringen,
Auch Schmarrn, denn wer die Schwachstellen eines Netzwerks nicht kennt, kann diese auch nicht staerken.
- Fragen nach Firewalls etc. haben ebenfalls zu unterbleiben, denn auch hier erleichtern zu viele Kenntnisse den Missbrauch,
Wer zu Firewalls fragen hat, sollte diese doch auch beantwortet bekommen, denn wie soll er seine Filter richtig konfigurieren, wenn er nicht weiss, wie er es falsch machen wuerde?
- ein sofortiges Plonk haben Fragen nach Dialin und Remote-Zugriffen zur Folgen, denn da geht es ja ausdruecklich um Zugriffe auf andere Rechner, auf die man vielleicht gar keinen Zugriff haben soll.
Wenn jemand fragen dazu stellt, wie er einbrechen kann klar, PLONK, keine Frage.
Bestimmt fallen anderen noch viele weitere Fragen ein, die auf die Schwarze Liste gesetzt werden koennten.
Ich denke, man sollte es einfach invers sehen. Leute die an Sicherheitsloecher interessiert sind, haben genug Quellen zur Hand. Fragen, wie Du Sie meinst, stammen dann von Lernenden, die sehr tollpatschig sind. Und somit auch nicht ernst zunehmen, denn die werden nichts. Leute die Probleme machen koennen, oder zu solchen werden, gehen an die Sache doch etwas anders ran. Susanne Kernel (oder SuSE Kernel?) stellte Fragen, die ich als zu beantwortende betrachte, da es sich hierbei um typische Sysadminin-Probleme handelt. jawoll! Andreas Syska -- mail me: andreas@cymonk.de see me @work: www.cymonk.de --------------------------------------------------------------------- To unsubscribe, e-mail: suse-linux-unsubscribe@suse.com For additional commands, e-mail: suse-linux-help@suse.com
Hallo Jetzt muss ich mich auch einklinken. Ich finde das Thema gar nicht so abwegig. Ich habe zur Zeit auch einen Hacker auf meinem FTP-Server der regelmässig die Daten durcheinander bringt. Da der Server meiner Meinung nach sicher ist, weiss ich zur Zeit nicht so recht was dagegen unternehmen kann. Wenn ich nun dessen Schritte zurückverfolgen könnte wüsste ich womit er sich Zugang verschafft und könnte dabei die Sicherheitslöcher stopfen. Roland
-----Ursprüngliche Nachricht----- Von: Andreas Syska [mailto:asyska@onyx.tv] Gesendet: Freitag, 22. September 2000 15:37 An: suse-linux@suse.de Betreff: AW: Loggen einer Benutzer-Sitzung
Von: Heinz W. Pahlke [mailto:h.pahlke@berlin.de] Gesendet: Freitag, 22. September 2000 15:14
Sind wir hier im Kindergarten oder in der Suse-Linux-Mailingliste?
Am besten stellen wir jetzt mal eine Negativliste auf:
- Fragen nach dem Mitloggen sind unerwuenscht, weil man damit z.B. auch Passworte mitloggen koennte,
Ich halte das fuer totalen Schwachsinn, denn wer nicht weiss, wie z.B. Mitloggen als root funktioniert, kann sich als root gegen vermeintliche Einbrecher nicht schuetzen. Die Technik ist anwendbar, warum also verheimlichen.
- Fragen nach Netzwerken sind dto. unerwuenscht, denn wenn man da allzu viel weiss, kann man leicht in schlechte Netzwerke eindringen,
Auch Schmarrn, denn wer die Schwachstellen eines Netzwerks nicht kennt, kann diese auch nicht staerken.
- Fragen nach Firewalls etc. haben ebenfalls zu unterbleiben, denn auch hier erleichtern zu viele Kenntnisse den Missbrauch,
Wer zu Firewalls fragen hat, sollte diese doch auch beantwortet bekommen, denn wie soll er seine Filter richtig konfigurieren, wenn er nicht weiss, wie er es falsch machen wuerde?
- ein sofortiges Plonk haben Fragen nach Dialin und Remote-Zugriffen zur Folgen, denn da geht es ja ausdruecklich um Zugriffe auf andere Rechner, auf die man vielleicht gar keinen Zugriff haben soll.
Wenn jemand fragen dazu stellt, wie er einbrechen kann klar, PLONK, keine Frage.
Bestimmt fallen anderen noch viele weitere Fragen ein, die auf die Schwarze Liste gesetzt werden koennten.
Ich denke, man sollte es einfach invers sehen. Leute die an Sicherheitsloecher interessiert sind, haben genug Quellen zur Hand. Fragen, wie Du Sie meinst, stammen dann von Lernenden, die sehr tollpatschig sind. Und somit auch nicht ernst zunehmen, denn die werden nichts. Leute die Probleme machen koennen, oder zu solchen werden, gehen an die Sache doch etwas anders ran. Susanne Kernel (oder SuSE Kernel?) stellte Fragen, die ich als zu beantwortende betrachte, da es sich hierbei um typische Sysadminin-Probleme handelt.
jawoll!
Andreas Syska
--
mail me: andreas@cymonk.de see me @work: www.cymonk.de
--------------------------------------------------------------------- To unsubscribe, e-mail: suse-linux-unsubscribe@suse.com For additional commands, e-mail: suse-linux-help@suse.com
Hi Roland On Fri, 22 Sep 2000, Roland Käser wrote:
Jetzt muss ich mich auch einklinken. Ich finde das Thema gar nicht so abwegig. Ich habe zur Zeit auch einen Hacker auf meinem FTP-Server der regelmässig die Daten durcheinander bringt.
als erstes biegst Du mal das syslog auf ne andere Mühle um, am besten hinter einem sehr dichten firewall(1) dann solltest du das syslog auf *.* aufbohren damit man wirklich auch alles sieht, notfalls den ftp-server noch geschwätziger stellen. Ja und dann sollte ein triggerfähiges ereignis schon irgendwie sichtbar werden. Ja und dann noch einen Rechner an das gefährdete Netzsegment geklemmt der auf das Triggerereignis hin die Beweise sammelt. PS: Dein Server ist offenbar nicht sicher. ;-) 1) natürlich muss die syslogvebindung noch durch passen. -- MfG. Falk --------------------------------------------------------------------- To unsubscribe, e-mail: suse-linux-unsubscribe@suse.com For additional commands, e-mail: suse-linux-help@suse.com
Am Fre, 22 Sep 2000 schrieb Roland Käser:
Hallo
Jetzt muss ich mich auch einklinken. Ich finde das Thema gar nicht so abwegig. Ich habe zur Zeit auch einen Hacker auf meinem FTP-Server der regelmässig die Daten durcheinander bringt. Da der Server meiner Meinung nach sicher ist, weiss ich zur Zeit nicht so recht was dagegen unternehmen kann. Wenn ich nun dessen Schritte zurückverfolgen könnte wüsste ich womit er sich Zugang verschafft und könnte dabei die Sicherheitslöcher stopfen.
Na dann fangen wir doch mal an. Zuerst: alle nicht benötigten Dienste auf dem FTP-Server mit ipchains dichtmachen. Insbesondere alles, was Logins von Außen erlauben würde (telnet, ssh, ...). Natürlich auch den sendmail-Port (außer für erlaubte Partner) und die nicht benötigten Dienste in /etc/inetd.conf rausnehmen. Auf einem reinen FTP-Server also nur FTP offenlassen (und evtl. SSH vom Admin-Rechner, aber wirklich nur von da). Dann in /etc/syslog.conf einen Eintrag *.* /var/log/debug anlegen, damit die Maschine mal wirklich alles loggt. Dieses Logfile am besten auf einen (sicheren) Logserver legen, damit der Eindringling es nicht manipulieren kann. So, dann schauen wir uns mal an, wie der Kerl reinkommt. Da nur noch FTP in Betracht kommt, sollte /var/log/xferlog eigentlich Auskunft geben, wann die entsprechenden Aktionen/Logins waren. Wer hat sich in der fraglichen Zeit eingeloggt? Eventuell per cron-Job immer wieder die betroffenen Verzeichnisse in eine Datei listen (ls -lR sollte reichen), um den Zeitpunkt eingrenzen zu können. So kriegt man in der Regel durch Vergleichen immer recht genaue Treffer. Wenn man dann mal den Login-User hat, nachschauen wo er herkam (sollte in den Logs stehen) und die fragliche Maschine prüfen. Dümmere Hacker lassen auch schon mal die shell-History stehen, da findet man dann so einige interessante Kommandos. Natürlich wird das Passwort des betroffenen Users sofort geändert und der Account gesperrt, bis derjenige befragt worden ist. -- Erhard Schwenk - http://www.fto.de **** Jetzt neu: http://www.akkordeonjugend.de **** --------------------------------------------------------------------- To unsubscribe, e-mail: suse-linux-unsubscribe@suse.com For additional commands, e-mail: suse-linux-help@suse.com
On 22-Sep-2000 Andreas Syska wrote:
Von: Heinz W. Pahlke [mailto:h.pahlke@berlin.de]
Am besten stellen wir jetzt mal eine Negativliste auf:
- Fragen nach dem Mitloggen sind unerwuenscht, weil man damit z.B. auch Passworte mitloggen koennte,
Ich halte das fuer totalen Schwachsinn, denn wer nicht weiss, wie z.B. Mitloggen als root funktioniert, kann sich als root gegen vermeintliche Einbrecher nicht schuetzen. Die Technik ist anwendbar, warum also verheimlichen. [...] Leute die an Sicherheitsloecher interessiert sind, haben genug Quellen zur Hand. Fragen, wie Du Sie meinst, stammen dann von Lernenden, die sehr tollpatschig sind. Und somit auch nicht ernst zunehmen, denn die werden nichts. Leute die Probleme machen koennen, oder zu solchen werden, gehen an die Sache doch etwas anders ran. Susanne Kernel (oder SuSE Kernel?) stellte Fragen, die ich als zu beantwortende betrachte, da es sich hierbei um typische Sysadminin-Probleme handelt.
jawoll!
Stimme ich Dir voll zu. War denn meine Mail nicht klar genug? Je besser ich :-) ueber Linux oder ueberhaupt Computer-Systeme Bescheid weiss, desto besser kann ich mein System administrieren - aber eben ggfs. auch die Sicherheitsluecken anderer Systeme ausnutzen. Gruss, Heinz. -- E-Mail: Heinz W. Pahlke <h.pahlke@berlin.de> This message was sent by XFMail via SuSE Linux --------------------------------------------------------------------- To unsubscribe, e-mail: suse-linux-unsubscribe@suse.com For additional commands, e-mail: suse-linux-help@suse.com
participants (5)
-
asyska@onyx.tv -
eschwenk@fto.de -
falk@hb-fein.de -
h.pahlke@berlin.de -
roland.kaeser@intersoft-networks.ch