Moin,
ich experimentiere gerade mit den Möglichkeiten die Systemsicherheit
zu erhöhen und bin dabei über das folgende Problem gestolpert:
cultarium:~ # rpm -qi harden_suse
Name : harden_suse Relocations: (not
relocateable)
Version : 3.5 Vendor: SuSE AG,
Nuernberg, Germany
Release : 139 Build Date: Sat Mar 23
20:27:39 2002
Install date: Fri Jul 12 19:27:17 2002 Build Host:
maclaurin.suse.de
Group : Productivity/Security Source RPM:
harden_suse-3.5-139.src.rpm
Size : 65955 License: GNU GPL
Packager : feedback@suse.de
Summary : Makes SuSE Linux more secure by disabling some services
Description :
Warning: This script will secure your system which means that it will
disable almost all services on your system and tamper with some
configuration files.
You should know what you are doing, when you call this script!
Authors:
--------
Marc Heuse
On Wed, 2002-07-17 at 16:17, Marcus Franke wrote:
Moin,
Tach, [...]
Ist es nun gefährlich das Script auszuführen, oder nicht? Es kam ja von der Installations-DVD.. Aber die Warnung, dass es nur bis 7.2 getestet ist überrascht und verunsichert mich jetzt ein wenig..
Ich habe bis jetzt das Script ohne Problem auf SuSE 7.3 und 8 eingesetzt. Allerdings solltest du dir schon im klaren sein was die einzelnen Schritte bewirken, sonst kann es da zu boesen Ueberraschungen kommen! Es ist nicht wirklich gefaehrlich, im sinne von "Alles putt!", es ist mehr so das danach einige Sachen nicht mehr ohne Aenderungen funktionieren. z.B.: Entfernte SUIDs, kein root-SSH, ... Aber es werden ja alle Aenderungen abgefragt, bei den wo man nicht weiss was man tut sollte man erstmal "nein" sagen und etwas nachforschen. -- Mit freundlichen Grüßen ______________________ InnoSoft GmbH Marcel Schmedes E-Mail : sm@cemag.de Tel.: ++49-5151-989977 ______________________
Am Mittwoch, 17. Juli 2002 16:34 schrieb Marcel Schmedes: > On Wed, 2002-07-17 at 16:17, Marcus Franke wrote: > > Moin, > > Tach, > > [...] > > > Ist es nun gefährlich das Script auszuführen, oder nicht? > > Es kam ja von der Installations-DVD.. Aber die Warnung, dass > > es nur bis 7.2 getestet ist überrascht und verunsichert mich > > jetzt ein wenig.. > > Ich habe bis jetzt das Script ohne Problem auf SuSE 7.3 und 8 > eingesetzt. > Allerdings solltest du dir schon im klaren sein was die einzelnen > Schritte bewirken, sonst kann es da zu boesen Ueberraschungen kommen! > > Es ist nicht wirklich gefaehrlich, im sinne von "Alles putt!", es ist > mehr so das danach einige Sachen nicht mehr ohne Aenderungen > funktionieren. > z.B.: Entfernte SUIDs, kein root-SSH, ... > > Aber es werden ja alle Aenderungen abgefragt, bei den wo man nicht weiss > was man tut sollte man erstmal "nein" sagen und etwas nachforschen. Also ich habe es vor ca drei Wochen in einem Netzwerkadministrationskurs eingesetzt, um es zu demonstrieren - und habe es gleich wieder deinstalliert - da waren doch einige Ungereimtheiten, so dass wir (didaktisch sowieso besser) fast alles was das skript macht selbst "händich" erledigt haben. Bei mir (auf insgesamt 5 verschiedenenen Systemen) war oder wäre doch eine ganze nacharbeit notwändig gewesen - ich warte erst mal ab, was da die neuen Verisonen bringen - so eine Warnmeldung macht sich nicht gut in einem sicherheitskritischen Umfeld ... Mit freundlichen Grüßen Markus Feilner -- May you always grok in fullness! ------------------------------------------------------------------------------------------------- Markus Feilner IT Dienstleistungen Erlangerstr. 2 93059 Regensburg fon: +49 941 70 65 23 - mobil: +49 170 302 709 2 web: http://f-linux.com mail: mfeilner@f-linux.com
Am Mit, 2002-07-17 um 18.08 schrieb Markus Feilner: > > Aber es werden ja alle Aenderungen abgefragt, bei den wo man nicht weiss > > was man tut sollte man erstmal "nein" sagen und etwas nachforschen. > Also ich habe es vor ca drei Wochen in einem Netzwerkadministrationskurs > eingesetzt, um es zu demonstrieren - und habe es gleich wieder deinstalliert > - da waren doch einige Ungereimtheiten, so dass wir (didaktisch sowieso > besser) fast alles was das skript macht selbst "händich" erledigt haben. > Bei mir (auf insgesamt 5 verschiedenenen Systemen) war oder wäre doch eine > ganze nacharbeit notwändig gewesen - ich warte erst mal ab, was da die neuen > Verisonen bringen - so eine Warnmeldung macht sich nicht gut in einem > sicherheitskritischen Umfeld ... Yo, mir ist z.B. übel aufgestossen, dass er auf meinem Testsystem in /etc/hosts.deny erst mal jeden Zugriff verbietet. Ein Glück, dass ich mich noch nicht ausgeloggt hatte, da die Kiste ohne Monitor und Tastatur hier im Büro steht.. ich habe mich zwar Ansatzweise schon in die Manpage von hosts_access eingelesen, aber wie kriege ich z.B. den Zugriff auf SSH wieder freigeschaltet? Ich finde die Einstellung ja gar nicht mal schlecht, leider habe ich hier keine feste IP Adresse, der ich den Zugriff auf den sshd erlauben könnte.. Am sshd kann ich mich dann ja auch ohne Probleme authentifizieren, aber wenn ich da nicht mal ankomme, dat is schlecht :) Bye, Marcus
participants (3)
-
Marcel Schmedes
-
Marcus Franke
-
Markus Feilner