Sicherheit unter openSuSE

Hallo Leute,
ich habe eine Frage: wir hören ja nun alle ständig Nachrichten über die Onlienausspähung der Privatrechner und von Bundestrojanern und Co...

Mich würde einfach mal interessieren, wie wir Linuxbenutzer ganz allegmein unerser Systeme Bestmöglich schützen können, um es allen Angreifern so schwer wie möglich zu machen?!
mir ist schon bekannt, das es keine 100% Sicherheit gibt... schon gar nicht wenn man an Netzwerken hängt...
aber ich denke doch, das wir zumindest den Spionen von aussen es so schwer wie möglich machen sollten und könnten...

Wer hat den gute Erfahrungen mit dem Schutz?

1. Firewall nach innen und außen nur die benötigten Ports öffnen
2. IDS/IPS einsetzen (z.B. Snort im IPS Betrieb)
3. HTTP Proxy mit CalmAV
4. Proxy Weiterleitung an einem kostenlosen und nicht in Europa ansässigen Proxy Server
5. Spamassasin mit ClamAV für die Mailfilterung nutzen
6. Hardware Firewall (wie z.B. ZyWall) einsetzen.

7. Keine Mailanhänge öffnen, die unbekannt sind

Das sollte eigentlich schon reichen

Punkt 4 bin ich selber noch am Suchen....

hallo,
ja also, ich würde mal wissen, welche port ich überhaupt brauche für alles.. und dann wie ich an meinen firewall ran komme... (bin da noch nicht so richtig fit )..
zudem habe ich irgendwie ein Problem mit dem Upsate von meinem KlamAV 0.41.1 :
wenn ich den updatenw ill, fängt er auch an zu arbeiten, doch dann bricht der auf einmal ab und gibt folgende fehlermeldung:
***** Klamav
***** Running configure (./configure)...
checking build system type... i686-pc-linux-gnu
checking host system type... i686-pc-linux-gnu
checking target system type... i686-pc-linux-gnu
checking for a BSD-compatible install... /usr/bin/install -c
checking for -p flag to install... yes
checking whether build environment is sane... yes
checking for gawk... gawk
checking whether make sets $(MAKE)... yes
checking for kde-config... /opt/kde3/bin/kde-config
checking where to install... /opt/kde3 (as returned by kde-config)
checking for style of include used by make... GNU
checking for gcc... gcc
checking for C compiler default output file name... a.out
checking whether the C compiler works... yes
checking whether we are cross compiling... no
checking for suffix of executables...
checking for suffix of object files... o
checking whether we are using the GNU C compiler... yes
checking whether gcc accepts -g... yes
checking for gcc option to accept ISO C89... none needed
checking dependency style of gcc... gcc3
checking how to run the C preprocessor... gcc -E
checking for g++... no
checking for c++... no
checking for gpp... no
checking for aCC... no
checking for CC... no
checking for cxx... no
checking for cc++... no
checking for cl.exe... no
checking for FCC... no
checking for KCC... no
checking for RCC... no
checking for xlC_r... no
checking for xlC... no
checking whether we are using the GNU C++ compiler... no
checking whether g++ accepts -g... no
checking dependency style of g++... none
checking whether gcc is blacklisted... no
checking whether g++ supports -Wmissing-format-attribute... no
checking whether g++ supports -Wundef... no
checking whether g++ supports -Wno-long-long... no
checking whether g++ supports -Wno-non-virtual-dtor... no
checking how to run the C++ preprocessor... /lib/cpp
checking whether g++ supports -O0... no
checking whether g++ supports -Wl,--no-undefined... no
not using lib directory suffix
checking for a sed that does not truncate output... /usr/bin/sed
checking for grep that handles long lines and -e... /usr/bin/grep
checking for egrep... /usr/bin/grep -E
checking for ld used by gcc... /usr/i586-suse-linux/bin/ld
checking if the linker (/usr/i586-suse-linux/bin/ld) is GNU ld... yes
checking for /usr/i586-suse-linux/bin/ld option to reload object files... -r
checking for BSD-compatible nm... /usr/bin/nm -B
checking whether ln -s works... yes
checking how to recognise dependent libraries... pass_all
checking for ANSI C header files... yes
checking for sys/types.h... yes
checking for sys/stat.h... yes
checking for stdlib.h... yes
checking for string.h... yes
checking for memory.h... yes
checking for strings.h... yes
checking for inttypes.h... yes
checking for stdint.h... yes
checking for unistd.h... yes
checking dlfcn.h usability... yes
checking dlfcn.h presence... yes
checking for dlfcn.h... yes
checking for g77... no
checking for xlf... no
checking for f77... no
checking for frt... no
checking for pgf77... no
checking for cf77... no
checking for fort77... no
checking for fl32... no
checking for af77... no
checking for xlf90... no
checking for f90... no
checking for pgf90... no
checking for pghpf... no
checking for epcf90... no
checking for gfortran... no
checking for g95... no
checking for xlf95... no
checking for f95... no
checking for fort... no
checking for ifort... no
checking for ifc... no
checking for efc... no
checking for pgf95... no
checking for lf95... no
checking for ftn... no
checking whether we are using the GNU Fortran 77 compiler... no
checking whether accepts -g... no
checking the maximum length of command line arguments... 32768
checking command to parse /usr/bin/nm -B output from gcc object... ok
checking for objdir... .libs
checking for ar... ar
checking for ranlib... ranlib
checking for strip... strip
checking if gcc static flag works... yes
checking if gcc supports -fno-rtti -fno-exceptions... no
checking for gcc option to produce PIC... -fPIC
checking if gcc PIC flag -fPIC works... yes
checking if gcc supports -c -o file.o... yes
checking whether the gcc linker (/usr/i586-suse-linux/bin/ld) supports shared libraries... yes
checking whether -lc should be explicitly linked in... no
checking dynamic linker characteristics... GNU/Linux ld.so
checking how to hardcode library paths into programs... immediate
checking whether stripping libraries is possible... yes
checking for shl_load... no
checking for shl_load in -ldld... no
checking for dlopen... no
checking for dlopen in -ldl... yes
checking whether a program can dlopen itself... yes
checking whether a statically linked program can dlopen itself... yes
checking if libtool supports shared libraries... yes
checking whether to build shared libraries... yes
checking whether to build static libraries... no
configure: creating libtool
appending configuration tag "CXX" to libtool
checking whether the g++ linker (/usr/i586-suse-linux/bin/ld) supports shared libraries... yes
libtool.m4: error: problem compiling CXX test program
checking for g++ option to produce PIC...
checking if g++ supports -c -o file.o... no
checking whether the g++ linker (/usr/i586-suse-linux/bin/ld) supports shared libraries... yes
checking dynamic linker characteristics... GNU/Linux ld.so
checking how to hardcode library paths into programs... immediate
checking whether stripping libraries is possible... yes
checking for shl_load... (cached) no
checking for shl_load in -ldld... (cached) no
checking for dlopen... (cached) no
checking for dlopen in -ldl... (cached) yes
checking whether a program can dlopen itself... (cached) yes
checking whether a statically linked program can dlopen itself... (cached) yes
appending configuration tag "F77" to libtool
checking for msgfmt... /usr/bin/msgfmt
checking for gmsgfmt... /usr/bin/msgfmt
checking for xgettext... :
checking if C++ programs can be compiled... no
* configure: error: Your Installation isn't able to compile simple C++ programs.
* Check config.log for details - if you're using a Linux distribution you might miss
* a package named similar to libstdc++-dev.
***** Return value 1

Und dann gehts nicht weiter... und so richtig weiß ich nicht wie ich an das Problem ran komme...

libstdc++-dev
nachinstallieren. Ich weiß aber nicht, ob das bei Suse genauso heißt. So ähnlich wird das aber wohl heißen.

und wie installiere ich das bei SuSE nach?

Mit yast.

hmm ok, ich habe nun unter yast das installiert.. aber auch nach dem neustart geht das installieren des klam nicht..

Immer noch die Meldung?

ja, genau die gleiche meldnung.. dabei habe ich das mit yast installiert und auch normals überprüft, ob er es wirklich installiert hat...

Da fehlt im gcc wohl noch was für c++. Ist denn g++ installiert?

emi.eu schrieb:

und wie installiere ich das bei SuSE nach?

Zum Vergrößern anklicken....

Die Frage kommt ein wenig spät, denn du hättest ja auch die fertigen Pakete (clamav, clamav-db) direkt über yast installieren können :mrgreen:

ah? wie? geht das direkt? hmm interessant... kann ich das nicht noch nachträglich reininstallieren?

emi.eu schrieb:

ah? wie? geht das direkt? hmm interessant... kann ich das nicht noch nachträglich reininstallieren?

Zum Vergrößern anklicken....

clamav ist im Standard Repository von openSUSE 10.3, sollte also über yast in der Paketauswahl auftauchen.

Ansonsten:
http://software.opensuse.org/search
clamav eingeben.

ok.. ich versuche es.. noch habe ich aber 10.2

ich habe eine Frage: wir hören ja nun alle ständig Nachrichten über die Onlienausspähung der Privatrechner und von Bundestrojanern und Co...

Zum Vergrößern anklicken....

An dieser Stelle , wem es noch interessiert.
Auf der Easylinux-Mailingliste gab es schon interessante Diskussionen zum Thema:

http://www.google.de/search?as_q=sch%C3%A4uble&hl=de&num=10&btnG=Google-Suche&as_epq=&as_oq=&as_eq=&lr=&cr=&as_ft=i&as_filetype=&as_qdr=all&as_occt=any&as_dt=i&as_sitesearch=www.easylinux.de&as_rights=&safe=images

Gruß Peter

Oha, Du weisst nicht wie man Pakete unter Yast installiert oder wie man via RPM bzw. Yast Pakete nachinstallieren kann?

Dann solltest Du vorerst die Finger vom Firewalling lassen, das ist ein sehr komplexes Thema und benötigt zumindets Kenntnisse über den vi sowie Log-Files und deren Auswertung :roll:

Evtl. reicht für Dich ersteinmal die normale SuSEfirewall und schützt damit die externe Schnittstelle.

Reinkommen brauch eigentlich gar nix
Raus sollte zumindest POP3, SMTP, FTP, HTTPS und HTTP.

Lies mal fogendes:

http://wiki.linux-club.de/opensuse/Firewall

http://wiki.linux-club.de/opensuse/Firewall-Eigenbau-Mini-Howto

http://wiki.linux-club.de/opensuse/IP-Tables_Skripte_f%C3%BCr_Single_Host%2C_SMB-Server_und_Router

http://wiki.linux-club.de/opensuse/Absichern_des_eigenen_Servers



Gruß
JoKurt

jo, bin leider noch recht unbedarft in dieser Sache... habe leider wenig Zeit zur Zeit und kann mich leider wenig damit beschäftigen...
Aber Danke für den Tip...

Ohne gewisse Vorkenntnisse wirst Du leider nciht weit kommen.

IT-Security ist ein verdammt heißes Thema, womit sich ein ganzer Industriezweig beschäftigt.

Wenn Du wirklich nicht viel Zeit hast, um Dir gewisse Kenntnisse anzueigenen, aber totzdem sicher sein willst, schau Dir mal die Firewall an:

ZyWall

oder schau bei eBay, ob Du günstig an eine Profi-Hardware Firewall von z.B. Cisco, Juniper oder sonstwen kommst.

Juniper Firewalls aheb ich da schon für 200 - 300 € gesehen.

hmm naja.. an sich fehlt mir die zeit ja nicht ganz.. also wie gesagt, nach meinem hammerexamen ende märz habe ich wieder mehr luft...
nur die sache mit dem firewall ist so ne sache.. da braucht man schon eher hilfe..
und daher: ich will erstmal rausfinden, welche ports ich wirklich gebrauche, und dann mal sehen das ich die andere dicht bekomme... und dann mal weiter schauen.. schritt-für-schritt...

Nimm die SuSEFirewall2, konfiguriere sich im Yast richtig und prüfe mit Shields Up oder anderen Portscanner im Netz, ob alle Deine Ports zu sind.

Dann kannst Du erst einmal beruhigt ins Netz gehen und Dich zu Security weiter schlau machen und entweder die SuSEFirewall2 finetunen oder durch eine andere FW ersetzen.

.