Quick&Dirty Absicherung von Suse Linux 9.3 benötigt

Hallo!


Ein Kunde meiner Firma hat sich bei einem Hoster einen Linux-Root-Server gekauft. Das Teil muss abgesichert werden.

Ziel: Port von Aussen sperren / Firewall
Updates: Automatisch aktiveren

Thema Updates: gibts sowas überhaupt, das brauchbar ist unter linux ist? Meine Erfahrungen in der alten Firma zum Thema Updates war immer: "Machs lieber am Wochenende, wenns keiner braucht "

So wie es aussieht ist aber auch mal grad nur das notwendigste auf dem Linux am antworten: HTTP/SSL/SSH/FTP/SMTP/POP

Die FTP/STMP/POP könnte man schon mal deaktiveren oder?

Auf dem HTTP antwortet auch nichts mehr als ein "acces denied"

ftp ist auch nur "anonymous access"

Habt ihr FAQs, Guidelines, was ihr so aus dem Ärmel schütteln könnt?

Laut Prozessliste ist aber weder ein dienst, noch sonstwas für ftp, stmp, pop aktiv.

ps -A zeigt folgendes:


1 ? 00:00:01 init
2 ? 00:00:00 ksoftirqd/0
3 ? 00:00:00 events/0
4 ? 00:00:00 khelper
9 ? 00:00:00 kthread
19 ? 00:00:00 kacpid
90 ? 00:00:03 kblockd/0
133 ? 00:00:00 aio/0
132 ? 00:00:03 kswapd0
725 ? 00:00:00 kseriod
1050 ? 00:00:00 reiserfs/0
2028 ? 00:00:00 udevd
2071 ? 00:00:00 khpsbpkt
2495 ? 00:00:00 khubd
3061 ? 00:00:00 dbus-daemon-1
3938 ? 00:00:00 hwscand
4975 ? 00:00:00 resmgrd
5070 ? 00:00:00 klogd
5079 ? 00:00:01 syslog-ng
5095 ? 00:00:01 nscd
5096 ? 00:00:00 mysqld_safe
5154 ? 00:00:01 mysqld-max
5204 ? 00:00:01 sshd
5218 ? 00:00:00 acpid
5314 ? 00:00:00 powersaved
5331 ? 00:00:00 miniserv.pl
5359 ? 00:00:00 master
5446 ? 00:00:00 httpd2-prefork
5463 ? 00:00:00 cron
5472 ? 00:00:00 httpd2-prefork
5473 ? 00:00:00 httpd2-prefork
5474 ? 00:00:00 httpd2-prefork
5475 ? 00:00:00 httpd2-prefork
5476 ? 00:00:00 httpd2-prefork
5478 ? 00:00:00 hald
5519 tty2 00:00:00 mingetty
5520 tty3 00:00:00 mingetty
5521 tty4 00:00:00 mingetty
5522 tty5 00:00:00 mingetty
5523 tty6 00:00:00 mingetty
5562 tty1 00:00:00 mingetty
6372 ? 00:00:00 httpd2-prefork
19826 ? 00:00:00 qmgr
21311 ? 00:00:00 httpd2-prefork
26199 ? 00:00:00 xinetd
32085 ? 00:00:00 pdflush
32086 ? 00:00:00 pdflush
6375 ? 00:00:00 pickup
6422 ? 00:00:00 sshd
6446 pts/0 00:00:00 bash
6465 pts/0 00:00:00 ps


Mir würds für den Anfang schon genügen, wenn wenigstens die nicht benutzten Ports / Daemons nicht antworten oder nicht gestartet sind.

problem ist jedoch, dass ich in der datei (x)inetd.conf gar nix drüber find, dass die gestatert werden.

die ist doch unter /etc/xinetd.conf?

öffne ich yast, zeigt der mir jedoch eine liste diverser dienste.

könnt ihr mir mal auf die sprünge helfen?

inetd -> Datei /etc/inetd.conf

xinetd -> Verzeichnis /etc/xinetd

Wir haben hier die Forensektionen 'rootserver' und 'security' die da ggf auch relevant sein können.

SUSE Linux beinhaltet die SuSEFirewall2. Das ist ein Frontend für iptables. Alternativ könnte man auch ein selbstgestricktes iptables Skript verwenden.

Wenn man auf einem rootserver Änderungen an der Firewall macht dann macht es ggf Sinn vorher einen cronjob aufzusetzen der nach kurzer Zeit den Rechner wieder 'aufmacht'. Wenn man sich aus Versehen selber aussperrt dann kommt man damit wieder rein. Wenn nach Änderungen der Firewall keine Probleme auftreten und man immer noch mit ssh reinkommt dann kann man den cronjob ja löschen.

was ich halt nicht verstehe.. in dieser xinetd sollte doch was drin stehen, sonst könnte doch yast garnichts anzeigen?

wo find ich die informationen?

ich komme auf den root nur per SSH / putty.

was wirklich doof ist: sobald ich im yast den FTP deaktiviere, gibt er die meldung "shutdown superserver"

richtig weiter bringt mich das auch nicht.

es soll garnix antworten, ausser ssh und apache.

ich sehe nur nicht, wo ich das einstelle.

Ups... bei der SuSE 10.0 hier liegen die Konfig-Dateien für die über xinetd gestarteten Dienste in

/etc/xinetd.d

kanns eigentlich auch sein, dass gar kein smpt/pop installiert ist und "irgendwas" antwortet? z.B. ist kein stmp-package installiert.

kann doch nicht sein.

Mache es Dir für den Anfang einfach. Finde heraus, welche Dienste dieser Rechner für die gesamte Welt anbieten soll. Dann starte in einer SSH-Sitzung als root YaST per 'yast', gehe dort auf 'Sicherheit...'-Firewall und deaktiviere alle Ports auf der externen Schnittstelle außer TCP 22 (SSH Standardport) und alle anderen benötigten Ports (80: HTTP z.B.). Damit antwortet der Rechner auf Anfragen aus dem Netz nur noch auf freigeschaltenen Ports. Danach kannst Du in aller Ruhe darüber nachdenken. welche Dienste der Server anbieten soll. Die meisten Dienste (Daemonen) sind in YaST auch nicht per xinetd, sondern per system-runleveleditor einstellbar.
Zusätzlich gibt es hier noch irgendwo einen Thread namens 'Rootserver absichern' oder so ähnlich, sieh Dich einfahc mal in der Sektion Security oder Rootserver um oder nutze die Forensuchfunktion.