Hallo Bernd, Am Donnerstag 21 Juni 2012 schrieb Lentes, Bernd:
nachdem ich mich ein wenig vertröstet habe nach dem Motto "da hast Du viell. doch die Firewall runtergefahren und kannst Dich nur nicht mehr daran erinnern", ist sie jetzt wieder runtergefahren und auch die Symlinks in den runlevelvdirectories sind wieder weg. Also 2x habe ich das garantiert nicht gemacht. Ich habe jetzt mal den Server mit der Sysreccd gebootet und chkrootkit drüber laufen lassen, dies hat nichts gefunden. Gibt es eine Live-CD mit rootkithunter ? Was sonst könnte ich noch tun ? Sind sleuthkit und autopsy sinnvolle Werkzeuge ?
Die setzt Du ein, wenn das Kind schon in den Brunnen gefallen ist. An Deiner Stelle würde ich erst mal gucken, was Du für einen Sicherheitsbedarf hast und mir anhand dessen gucken, was ich in welchen Stufen absichern sollte oder muss. Hängt ja nun auch ganz stark vom System, dessen Einsatzzweck und den zu schützenden Daten ab. Ob sich jetzt einer auf Deinem System Unfug angestellt hast, kannst Du mit einem Intrusion Detection System feststellen. Leider ist es da auch schon zu spät. ZBsp aide. Gibt's für jede Distri vom Paketmanager. Womit ich gute Erfahrungen gemacht habe, ist mittels logwatch gucken lassen, ob meine Logs Auffälligkeiten aufweisen. (Der Profi wird sich da nicht greifen lassen, aber alle anderen schon). Ich selbst betreibe 'nur' einen Webserver. Mein wichtigstes Augenmerk legte ich auf die sichere Konfiguration der einzelnen Dienste. Das sind nicht viele. Außerdem ist der Server PHP-freie Zone. Mein 'Lieblingsspielzeug' gegen lästige Angriffsversuche ist dort 'fail2ban'. Das macht nach einigen Fehlversuchen einfach die Bude dicht. Ein Firewallskript läuft da übrigens nicht drauf. Die Dienste, die drauf laufen, sollen erreichbar sein. Nicht benötigte Dienste sind erst gar nicht installiert. Jetzt musst Du Dir halt überlegen, welche Anforderungen stellst Du an Dein Szenario. Helga -- ## Technik: [http://de.opensuse.org] ## Politik: [http://www.piratenpartei.de] ## Privat: [http://www.eschkitai.de] -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org