Remote IP für den kompletten Server Sperren
Guten Tag miteinander, Ich habe das Problem dass ich immer wieder von ein und derselben IP-Adresse komische zugriffe registriere. Ich finde diese im Apache Error-log sowie anderen logs. Diese IP (oder die Person dahinter) versucht auch immer wieder per SSH und FTP zuzugreifen. Leider habe ich auf meinem Produktiven system keine Firewall installiert, ich weiss auch nicht wie Problematisch eine nachinstallation ist. jetzt frage ich nach einer möglichkeit _Sämtlichen_ zugriff auf meinen Server von dieser IP zu Unterbinden. gibt's da eine einfache möglichkeit? Gruss thomas
Hallo Thomas über die host.deny kannst du IP Adressen sperren. Für deinen Apache in der access.conf oder in der httpd.conf auch IP Adressen sperren. gruß Dirk -- Um die Liste abzubestellen, schicken Sie eine Mail an: suse-linux-unsubscribe@suse.com Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: suse-linux-help@suse.com
* On Thu, 20 Feb 2003 at 15:37 +0100, Thomas Fankhauser wrote:
Ich habe das Problem dass ich immer wieder von ein und derselben IP-Adresse komische zugriffe registriere.
Ich finde diese im Apache Error-log sowie anderen logs. Diese IP (oder die Person dahinter) versucht auch immer wieder per SSH und FTP zuzugreifen.
Leider habe ich auf meinem Produktiven system keine Firewall installiert, ich weiss auch nicht wie Problematisch eine nachinstallation ist.
jetzt frage ich nach einer möglichkeit _Sämtlichen_ zugriff auf meinen Server von dieser IP zu Unterbinden.
Liegen die iptables-Pakete und Module bei Dir rum? 'iptables -I INPUT 1 -s 10.11.12.13 -j DROP' ignoriert einfach alles, was von 10.11.12.13 kommt, je nach Freundlichkeit kannst Du auch REJECT nehmen. -- Adalbert GPG welcome, request public key: mailto:adalbert+key@lopez.at
Hallo, am 20 February 2003 um 14:37 schrieb Thomas Fankhauser:
Leider habe ich auf meinem Produktiven system keine Firewall installiert, ich weiss auch nicht wie Problematisch eine nachinstallation ist. a) finde ich das sehr leichtsinnig und b) ist eine IP Tables basierte Firewall wie z.B. SuSEfirewall2 relativ einfach installiert.
jetzt frage ich nach einer möglichkeit _Sämtlichen_ zugriff auf meinen Server von dieser IP zu Unterbinden. /etc/hosts.deny
cu stonki -- Deutsche ProFTPD Doku: www.proftpd.de Renamer for KDE: www.krename.net Barcode Solution for KDE: www.kbarcode.net
* On Thu, 20 Feb 2003 at 15:01 +0000, Stefan Onken wrote:
am 20 February 2003 um 14:37 schrieb Thomas Fankhauser:
Leider habe ich auf meinem Produktiven system keine Firewall installiert, ich weiss auch nicht wie Problematisch eine nachinstallation ist. a) finde ich das sehr leichtsinnig [...]
Kann man das auch begründen? Mal abgesehen davon, daß ich keinem der hier schreibenden abnehme, daß er mit Firewall Firewall meint, vielmehr einen Paketfilter. -- Adalbert GPG welcome, request public key: mailto:adalbert+key@lopez.at
Stefan Onken wrote:
Hallo,
am 20 February 2003 um 14:37 schrieb Thomas Fankhauser:
Leider habe ich auf meinem Produktiven system keine Firewall installiert, ich weiss auch nicht wie Problematisch eine nachinstallation ist. a) finde ich das sehr leichtsinnig und b) ist eine IP Tables basierte Firewall wie z.B. SuSEfirewall2 relativ einfach installiert.
wie einfach kann ich die firewall in einem laufenden system installieren? habe ich da mit einem unterbruch zu rechnen oder ist nach einer installation der SuSE firewall alles beim alten, bis ich die konfiguration vornehme?
jetzt frage ich nach einer möglichkeit _Sämtlichen_ zugriff auf meinen Server von dieser IP zu Unterbinden. /etc/hosts.deny
wenn ich das richtig verstanden habe, kann ich einfach die zeile: ALL: <tab>66.41.44.45 in die hosts.deny schreiben? kann ich mir auch eine mail senden lassen? zb so: ALL:<tab>66.41.44.45:spawn (@%h 2>1| \ /bin/mail -s "%d-%h %u" root) & ? gruss thomas
Hallo, am 20 February 2003 um 15:16 schrieb Adalbert Michelic:
a) finde ich das sehr leichtsinnig [...] Kann man das auch begründen? Mal abgesehen davon, daß ich keinem der hier schreibenden abnehme, daß er mit Firewall Firewall meint, vielmehr einen Paketfilter. naja, zu Hause und auf Arbeit (eine Niederlassung) habe ich ne Astaro Firewall. Kann man IMHO schon als Firewall bezeichnen. Und hier natuerlich noch den Smoothwall Sch**ss.
Man kann natuerlich sagen, das ein Paketfilter auch nichts macht, wenn auf den Ports keine Service sind. Ich persoenlich finde es dennoch sicherer alle nicht benoetigten ports (also auf meinem webserver eben ssh, mail, dns) zu sperren um so den Fall eines Falles vorzubeugen. Und es laeuft ja meist auch mysql und andere Dienste, die auch extern gesteuert werden koennen - wenn sie dann gerade da einen exploit haben. Ich muss aber zugeben: ich bin KEIN Experte in diesen Sicherheitsfragewn. Viel natuerlich angelesen, aber ich werde mich auf keiner Diskussion einlassen, da ich davon nicht genug weiss. cu stonki -- Deutsche ProFTPD Doku: www.proftpd.de Renamer for KDE: www.krename.net Barcode Solution for KDE: www.kbarcode.net
Hallo, am 20 February 2003 um 15:27 schrieb Thomas Fankhauser:
habe ich da mit einem unterbruch zu rechnen oder ist nach einer installation der SuSE firewall alles beim alten, bis ich die konfiguration vornehme?
genau ! und dann muss man die config anpassen und am allerwichtigsten darauf achten, dass SSH erlaubt ist. Wenn www mal fuer 2min nicht geht: ok, aber wenn ssh nicht geht... UPS
/etc/hosts.deny wenn ich das richtig verstanden habe, kann ich einfach die zeile: noch nie benutzt :)
-- Deutsche ProFTPD Doku: www.proftpd.de Renamer for KDE: www.krename.net Barcode Solution for KDE: www.kbarcode.net
* On Thu, 20 Feb 2003 at 15:28 +0000, Stefan Onken wrote:
am 20 February 2003 um 15:16 schrieb Adalbert Michelic:
a) finde ich das sehr leichtsinnig [...] Kann man das auch begründen? Mal abgesehen davon, daß ich keinem der hier schreibenden abnehme, daß er mit Firewall Firewall meint, vielmehr einen Paketfilter. naja, zu Hause und auf Arbeit (eine Niederlassung) habe ich ne Astaro Firewall. Kann man IMHO schon als Firewall bezeichnen. Und hier natuerlich noch den Smoothwall Sch**ss.
Okay, mag sein, daß das Zeug über einen Paketfilter hinausgeht, ich kenns nicht.
Man kann natuerlich sagen, das ein Paketfilter auch nichts macht, wenn auf den Ports keine Service sind. Ich persoenlich finde es dennoch sicherer alle nicht benoetigten ports (also auf meinem ^^^^^^^^^^^^^^^^^^^^^^^ webserver eben ssh, mail, dns) zu sperren um so den Fall eines ^^^^^^^^^^^^^^^^^^^^^^^^^^ ... *kopfkratz* Falles vorzubeugen. Und es laeuft ja meist auch mysql und andere Dienste, die auch extern gesteuert werden koennen - wenn sie dann gerade da einen exploit haben.
mysql und das andere Zeug, das von draussen nicht erreichbar sein muß, wird einfach nicht an das externe Interface gebunden. Okay - Du fühlst Dich besser, wenn da davor hängt. Mag sein. Aber das gleich als leichtsinnig zu bezeichnen, wenn jemand nicht auf Schlangenöl steht ... Ich weiß nicht ... -- Adalbert GPG welcome, request public key: mailto:adalbert+key@lopez.at
Stefan Onken wrote:
am 20 February 2003 um 15:16 schrieb Adalbert Michelic:
a) finde ich das sehr leichtsinnig [...] Kann man das auch begründen? Mal abgesehen davon, daß ich keinem der hier schreibenden abnehme, daß er mit Firewall Firewall meint, vielmehr einen Paketfilter. naja, zu Hause und auf Arbeit (eine Niederlassung) habe ich ne Astaro Firewall. Kann man IMHO schon als Firewall bezeichnen. Und hier natuerlich noch den Smoothwall Sch**ss.
sind das nicht auch nur paketfilter? ich kenne beide nicht und kann es deshalb nicht beurteilen. wenn sie mehr als ein paketfilter sind, was machen sie noch?
Man kann natuerlich sagen, das ein Paketfilter auch nichts macht, wenn auf den Ports keine Service sind. Ich persoenlich finde es dennoch sicherer alle nicht benoetigten ports (also auf meinem webserver eben ssh, mail, dns) zu sperren um so den Fall eines Falles vorzubeugen. Und es laeuft ja meist auch mysql und andere Dienste, die auch extern gesteuert werden koennen - wenn sie dann gerade da einen exploit haben.
schau, wenn du deine dienste, die du nur intern benötigst, eben nur intern bindest, du sonst keine unnötigen dienste laufen hast, brauchst du keinen paketfilter. wozu auch? dazu ist aber eine saubere konfiguration deines systems notwendig. sicherer wird durch den paketfilter bei einem sauber konfiguriertem system nichts. der paketfilter ist dann maximal 'nice to have'. mehr aber auch nicht.
Ich muss aber zugeben: ich bin KEIN Experte in diesen Sicherheitsfragewn. Viel natuerlich angelesen, aber ich werde mich auf keiner Diskussion einlassen, da ich davon nicht genug weiss.
aber gerade dann solltest du darüber diskutieren. ich teile nicht die ansicht das man nur über themen diskutieren kann/darf, in denen man 'experte' ist. gerade durch eine diskussion kannst du doch noch dazu lernen. micha
participants (6)
-
Adalbert Michelic
-
Dirk Clemens
-
Michael Meyer
-
Peter Wiersig
-
Stefan Onken
-
Thomas Fankhauser