Mailinglist Archive: opensuse-de (4938 mails)

< Previous Next >
Re: Sicherheit mit Linux
  • From: eilert@xxxxxxxxxxxxxxxxxxxxxxxx (Eilert Brinkmann)
  • Date: Mon May 15 19:17:54 2000
  • Message-id: <xtt66sfk4gt.fsf@xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx>



Jens_Haase@xxxxxxxxxxx (Jens Haase) wrote:
Ich habe einen Linux-Router (IP-Masquerading) fuer meine Windows-PC.
Auf der Kiste laeuft ein X-Server der verschiedene Tasks ausfuehrt.
XOSVIEW, ISDN-TOOLS, Domino-Server usw.

Auf diesem Router bin ich als root eingeloggt (für X11, graphical
login). Die o.a. Programme laufen mit dieser ID.
Ausserdem als SU "Nutzer" laeuft Netscape und holt Mails ab.

Besser umgekehrt: Als "Nutzer" einloggen, dann mit su die Programme
als root starten, bei denen es nötig ist.

Der Domino-Server lauft auch unter einer normalen Benutzerkennung.

Dann können es schon gar nicht mehr so viele X-Programme sein, die
root-Rechte benötigen. Z.B. funktioniert xosview auch als normaler
User, also bleiben vielleicht noch die ISDN-Tools.

Ist das sicher oder darf auf dem Gateway gar kein root eingeloggt sein?

Wer dort eingeloggt ist, wirkt sich auf die Gefahr von Angriffen von
außen nicht unmittelbar aus, wohl aber, welche Programme dort laufen.

Für größtmögliche Sicherheit dürfte auf dem Gateway gar keine Software
installiert sein, die für die Funktion eines Gateways nicht unbedingt
nötig ist. Wenn die Ansprüche nicht ganz so hoch sind, sollte
zumindest folgendes beachtet werden:

- Der X-Server und ggf. der Display-Manager, so sie denn überhaupt
nötig sind, dürfen nicht über das Netz ansprechbar sein, d.h., man
muß ihnen abgewöhnen, auf irgendwelchen Ports zu lauschen (beim
X-Server z.B. mit der Option `-nolisten tcp').

- Alle über das Netz erreichbaren Dienste, die nicht unbedingt
benötigt werden, müssen abgeschaltet werden (durch Auskommentieren
in /etc/inetd.conf bzw. entsprechende Einträge in
/etc/rc.config). Auch darauf achten, wie's mit Programmen wie
z.B. dem Domino-Server aussieht.

- Die verbleibenden Dienste sollten so konfiguriert werden, daß
Zugriffe nur aus dem internen Netz möglich sind. Das geht in vielen
Fällen über entsprechende Einträge in /etc/hosts.allow und
/etc/hosts.deny. Ein Satz passender Firewall-Regeln könnte als
Ergänzung dazu kommen.

Am Schluß mal mit `netstat -a' oder von außen mit einem Portscan
überprüfen, was auf dem Rechner noch von außen ansprechbar ist. Da
sollte dann nur noch Dienste dabei sein, bei denen Zugriffe von außen
explizit gewünscht sind und die als sicher gelten.

Für viele Zwecke würde ich ein soweit abgesichertes System schon als
ausreichend betrachten, aber natürlich sind der Paranoia keine Grenzen
gesetzt ;-) Und wenn es viel zu schützen gilt oder das System sich in
einer besonders exponierten Position befindet, dann kann man
eigentlich gar nicht genug für die Sicherheit tun.

PS: Maybe bloede Frage - ich koennte mich ja auch normal einloggen...?

Es ist immer besser, nur das unbedingt nötige als root zu tun. Gerade
ein grafisches Login mache ich grundsätzlich nur als normaler
User. Dann kann man immer noch zu su etc. greifen, um einzelne
Programme, die wirklich root-Rechte benötigen, als root auszuführen.

Eilert

--
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Eilert Brinkmann -- Universitaet Bremen -- FB 3, Informatik
eilert@xxxxxxxxxxxxxxxxxxxxxxxx - eilert@xxxxxxx - eilert@xxxxxxxxxxxxxx
http://www.informatik.uni-bremen.de/~eilert/

---------------------------------------------------------------------
To unsubscribe, e-mail: suse-linux-unsubscribe@xxxxxxxx
For additional commands, e-mail: suse-linux-help@xxxxxxxx


< Previous Next >