Hallo Gemeinde,

da ich noch ziemlicher Neuling unter Linux bin, würde ich gerne mal wissen wie ihr es mit der OS Sicherheit handhabt ... Nutze Suse 8.2, soviel ich gesehen habe hat sie schon eine intrigierte Firewall, ist die gut oder sollte man auf etwas anderes umsteigen?
Was sollte man sonst noch berücksichtigen um sein System sicher zu bekommen? Gehe übrigens auch über einen Hardwarerouter online, aber ohne feste IP Regeln, alles Standard ...
Wenn ihr irgendwelche gute Seiten mit Anleitungen kennt, wäre ich dafür auch dankbar ...
Wie sieht es mit Virenscannern aus, was könnt ihr mir hier empfehlen?

Gruss :)
Mysti

Grundlegendes...

- immer nur als User einloggen
- unnötige Dienste abstellen
- iptables Firewall aufsetzen
- unbekannte emails... aber das is ja eh klar
- keine binaries aus unseriösen Quellen ausführen, ohne vorher in die Sourcen zu schauen

Wenn du obiges einhaltest brauchst du auch kein Virenscanner...

Hy,

unnötige Dienste abstellen, welche wären das und wo finde ich sie?
Iptabels Firewall sagt mir leider gar nichts, wie geht das genau und habt ihr vielleicht mehr Infos darüber?

Gruss:)

Original geschrieben von Mysteria
unnötige Dienste abstellen, welche wären das und wo finde ich sie?
Unnötig sind die, die du nicht brauchst. Schau dir halt an, was auf deinem PC so alles läuft, dann informiere dich, was es tut und überlege ob du das willst.


Iptabels Firewall sagt mir leider gar nichts, wie geht das genau und habt ihr vielleicht mehr Infos darüber?
www.netfilter.org

Original geschrieben von DarkSorcerer
- iptables Firewall aufsetzen
nicht zwingend notwendig um ein sicheres System zu haben.


- keine binaries aus unseriösen Quellen ausführen, ohne vorher in die Sourcen zu schauen
1. das ist ein Widerspruch.
2. Im übrigen was würde dir ein Blick in die Sourcen verraten, wenn du hinterher die Binärdatei ausführst (vom verstehen der Sourcen mal ganz zu schweigen)?

Gruß

[QUOTE]Original geschrieben von Jinto
[B]nicht zwingend notwendig um ein sicheres System zu haben.

aber wärmstens zu empfehlen.

nicht zwingend notwendig um ein sicheres System zu haben.
Nun ja, aber man fühlt sich schon sicherer wenn Pakete mit gefälschten Headern gedroppt werden und ein Port-Scanner ins Leere läuft :) Eine Firewall ist schließlich nicht nur dazu da, um Ports freizugeben oder zu schließen...

1. das ist ein Widerspruch.
2. Im übrigen was würde dir ein Blick in die Sourcen verraten, wenn du hinterher die Binärdatei ausführst (vom verstehen der Sourcen mal ganz zu schweigen)?
Damit meine ich eben, nichts ausführen dessen Herkunft unbekannt ist. Nun ja, auch wenn man keine höhere Programmiersprache beherrscht lässt sich aus den Sourcen was rauslesen, ich hab ma den Source eines Trojaners gesehen, der war richtig gut kommentiert à la "This is a trojan which causes..." :)

Original geschrieben von DarkSorcerer
Nun ja, aber man fühlt sich schon sicherer wenn Pakete mit gefälschten Headern gedroppt werden und ein Port-Scanner ins Leere läuft :) So eine Antwort hatte ich befürchtet (wenn ich die Augen zu mach bin ich unsichtbar).


Damit meine ich eben, nichts ausführen dessen Herkunft unbekannt ist. Nun ja, auch wenn man keine höhere Programmiersprache beherrscht lässt sich aus den Sourcen was rauslesen, ich hab ma den Source eines Trojaners gesehen, der war richtig gut kommentiert à la "This is a trojan which causes..." :) Lies meine Antwort bitte nochmal (binarie != sourcen)

@msi
Auf einem gut konfigurierten Einzelplatzsystem hast du keinen zusätzlichen Nutzen durch einen Paketfilter (nur eine zusätzliche Fehlerquelle).

Unter anderem kann man bei downgeloadeten Paketen die md5 Checksumme überprüfen, was auch ein wenig mehr Sicherheit bietet.
Leider bieten nicht alle Websites dieses Verfahren an.

Grüße
DaGrrr

Lies meine Antwort bitte nochmal (binarie != sourcen)
argh... ich meine doch, das ich nur binaries aus seriösen quellen ausführe, ich kompilier ja nicht alles selber. wo ein binary, da auch sourcen, und ich meinte, das ich dann _da_ reinschaue... drück ich mich so undeutlich aus oder warum interpretierst du das immer falsch? :)

Original geschrieben von DarkSorcerer
Lies meine Antwort bitte nochmal (binarie != sourcen)
argh... ich meine doch, das ich nur binaries aus seriösen quellen ausführe, ich kompilier ja nicht alles selber. wo ein binary, da auch sourcen, und ich meinte, das ich dann _da_ reinschaue... drück ich mich so undeutlich aus oder warum interpretierst du das immer falsch? :)

womit du aber immer noch nicht die gewißheit hast, das dein binärie auch wirkich aus den mitgelieferten sourcen compiliert wurde ;).




Gruß HL

Ich kann Dir wegen eines Paketfilters folgenden Link geben: http://www.harry.homelinux.org/ Mit der Firewalllösung bei SuSE hab' ich es nicht so ;)

Richtig, deswegen führ ich ja auch keine binaries von irgendwelchen Hack0r-Seiten aus... so, nun aber genug der Sicherheit :)

Original geschrieben von Jinto

@msi
Auf einem gut konfigurierten Einzelplatzsystem hast du keinen zusätzlichen Nutzen durch einen Paketfilter (nur eine zusätzliche Fehlerquelle).

100% ACK,

Wozu brauch ich an einem Einzelplatzrechner eine Paketfirewall? Ich habe nur SSH auf, zusaetzlich kann ich nur meinem Subnetz den Zugang erlauben. Was soll denn da noch passieren? Und wie und warum soll mich eine Paketfirewall schuetzen? Was gibt es denn zu schuetzen? Ein einzelner Port der nur definierten IPs den Zugang gewaehrt.
Und es nun nicht wirklich schlimm, wenn jemand mal einen Ping absetzt (kommt ab und an vor) oder einen Portscan macht (kommt auch ab und an vor).
Und wenn man dann noch ein ordentliches Passwort benutzt, dazu noch ein vernuenfitges Verhalten, was Mails und Co. angeht, nicht unter root arbeitet und sein System immer aktuell halten (in meinem Beispiel SSH) und man ist schon recht sicher.

Gruss
Liberace

Original geschrieben von Liberace
100% ACK,

Wozu brauch ich an einem Einzelplatzrechner eine Paketfirewall? Ich habe nur SSH auf, zusaetzlich kann ich nur meinem Subnetz den Zugang erlauben. Was soll denn da noch passieren? Und wie und warum soll mich eine Paketfirewall schuetzen? Was gibt es denn zu schuetzen? Ein einzelner Port der nur definierten IPs den Zugang gewaehrt.
Und es nun nicht wirklich schlimm, wenn jemand mal einen Ping absetzt (kommt ab und an vor) oder einen Portscan macht (kommt auch ab und an vor).
Und wenn man dann noch ein ordentliches Passwort benutzt, dazu noch ein vernuenfitges Verhalten, was Mails und Co. angeht, nicht unter root arbeitet und sein System immer aktuell halten (in meinem Beispiel SSH) und man ist schon recht sicher.

Gruss
Liberace

zB trojaner entdecken, die ins internet connecten wollen, oder eben auf portscans nicht zu antworten => evtl. geld sparen, nicht so viele pings zulassen (ok das ist vielleicht trivial, kann aber auch geld sparen), evtl. Löcher durch Fehlkonfiguration vermeiden, es ist viel einfacher durch nen packetfilter best. ports unzugänglich zu machen, als bei jedem dienst einzeln das zu deaktivieren. Somit ist es auch nicht so gefährlich wenn ein packet sicherheitslöcher hat.

schau dir die ausgabe eines portscans bei meinem rechner an:


Port State Service
9/tcp open discard
13/tcp open daytime
22/tcp open ssh
25/tcp open smtp
37/tcp open time
53/tcp open domain
80/tcp open http
111/tcp open sunrpc
113/tcp open auth
389/tcp open ldap
515/tcp open printer
1006/tcp open unknown
1024/tcp open kdm
12000/tcp open cce4x

bis du da jeden dienst zum schweigen gebracht hast kann das dauern, außerdem wer sagt dir, dass der dienst (zB kdm) nicht aufgrund eines Fehlers trotzdem irgendwann den port binded? bei netfilter kannste ziemlich sicher sein, dass nicht so viele bugs da sind.

beliebte Fehler sind zB. packete upgraden wodurch die config überschrieben wreden könnte => ports sind uU wieder offen.
falsche config editiert, und danach nicht getestet. etc

Ich WEISS das bei mir nur SSH als einziger Dienst nach ausen aktiv ist.
Und dieser Zustand hat sich durch updates auch noch nie geaendert.
Und ich finde es nicht einfacher eine Paketfirewall zu konfigurieren als Dienste abzustellen oder auf localhost zu binden.
Beispiel:
nmap 192.168.1.2
Und dann je nach Port ein lsof -i tcp:<port> um heauszufinden welcher Dienst am jeweiligen Port aktiv ist. Dann entweder in der indetd.conf deaktivieren oder in der Config Datei des jeweiligen Dienstes ihn an localhost binden.
Dienste die man nicht brauch, koennen auch deinstalliert werden, bei mir war das z.B. NFS.
Und aus Sicht eines funktionierenden Netzwerks bin ich dagegen einfach ICMP zu blocken. Und die Datenmenge bei derart kleinen Paketen ist nun wirklich zu vernachlaessigen.

Gruss
Liberace

Hi, ich hab eine Frage. Ich hatte mich bisjetzt nicht mit Paketfiltern beschäftigt. Ist es nun zu empfehlen (Desktop), oder nicht? Ich hab kein ssh (auch kein telnet;)) installiert und mein Apache läuft nur wenn ich es will.

Wie bereits geschrieben, ich empfinde es nicht als noetig. Denn was soll passieren wenn kein Dienst aktiv ist?

Gruss
Liberace

Original geschrieben von Liberace
Wie bereits geschrieben, ich empfinde es nicht als noetig. Denn was soll passieren wenn kein Dienst aktiv ist?

Gruss
Liberace

nein nötig ist es nciht, aber ich bleibe auch dabei, es ist zu empfehlen.
Wie bereits geschrieben kannst du so trojaner besser aufspüren, außerdem zeigt nmap dir nicht alle offenen ports an, es scannt nur best. ports (die standardports).
außerdem finde ich sicherheit die vom kernel aus geht (packetfilter) sicherer als die, die von einem programm ausgeht (ist ja auch ne tatsache, sonst würde selinux oder grsec keienn sinn machen).
Ob das für eine dektop system übertrieben ist? ich glaube nicht, so ein großer aufwand ist es nicht alle lokalen ports privilegierten ports von 0 - 1024 (ja 0 gibt es auch!!) zu sperren (außer die, die man braucht). die höheren kann man mitloggen lassen. und ausgehenden traffic kann man auch aufs nötigste limitieren (http, pop, imap, smtp), dann ists sicherer ;)

@msi und Liberace
Ich habe zu Hause eine IPtables Firewall am Laufen, aus dem einfach grund, dass ich Dienste testen kann ohne nach aussen offen zu sein! Für ein Bastelsystem sehr zu empfehlen... wer patcht sein system wirlich immer?

Im Geschäft, Red Hat AS 2.1 läuft nur sshd und websphered, ist jedoch gegen aussen durch bekannte Zonen wie Intranet, Extranet, Internet, DMZ,... mit jeweils einer Checkpoint FW-1 geschützt.

greez
adme

P.S interessante Diskussion, macht ruhig weiter!

Original geschrieben von msi
zB trojaner entdecken, die ins internet connecten wollen, oder eben auf portscans nicht zu antworten => evtl. geld sparen, nicht so viele pings zulassen (ok das ist vielleicht trivial, kann aber auch geld sparen) Eigentlich ist das gegenteil der Fall. Wenn du Pakete droppst (weil du ja mit geschlossenen Augen unsichtbar bist), bekommst du mehr Pakete.

evtl. Löcher durch Fehlkonfiguration vermeiden, es ist viel einfacher durch nen packetfilter best. ports unzugänglich zu machen, als bei jedem dienst einzeln das zu deaktivieren. Somit ist es auch nicht so gefährlich wenn ein packet sicherheitslöcher hat. Du versuchst also nicht Software richtig zu konfigurieren, der Paketfilter wirds schon richten?

schau dir die ausgabe eines portscans bei meinem rechner an: ich glaube nicht, dass alle als offenen Ports tatsächlich benötigt werden (zumal ich davon ausgehe, dass du lokal gescannt hast => wertlos)

bis du da jeden dienst zum schweigen gebracht hast kann das dauern, außerdem wer sagt dir, dass der dienst (zB kdm) nicht aufgrund eines Fehlers trotzdem irgendwann den port binded? Das kannst du prüfen (netstat), im übrigen musst du den Dienst ja so oder so konfigurieren, warum also nicht gleich richtig?

bei netfilter kannste ziemlich sicher sein, dass nicht so viele bugs da sind.Klingt für mich nach Prinzip Hoffnung als Beispiel (halbwegs willkürlich herausgegriffen): http://www.netfilter.org/security/2002-02-25-irc-dcc-mask.html

beliebte Fehler sind zB. packete upgraden wodurch die config überschrieben wreden könnte => ports sind uU wieder offen.Mal davon abgesehen, dass ich das ohne Warnhinweis noch nicht erlebt habe, ist damit aber der Dienst idR komplett unbrauchbar geworden.

falsche config editiert, und danach nicht getestet. etc trifft das nicht auch auf deine FW Regeln zu? Aber wenn du tatsächlich die falsche editiert hast, hat sich zu deiner vorherigen sicheren Konfiguration ja nichts geändert (hast ja die falsche Datei editiert). ;)

Offene Ports überprüft man nicht mit nmap (im übrigen ein beliebter Fehler), sondern mit netstat.

@dragon's might
wenn du keine Dienste hast, die an deinem externen Interface lauschen (netstat -a), brauchst du im Prinzip keine Paketfilterregeln.


HTH

PS: IIRC gibts Port 0 unter Linux nicht (man beachte, dass ich genau ein OS namentlich genannt habe, allerdings ohne Version).

evtl. Löcher durch Fehlkonfiguration vermeiden, es ist viel einfacher durch nen packetfilter best. ports unzugänglich zu machen, als bei jedem dienst einzeln das zu deaktivieren. Somit ist es auch nicht so gefährlich wenn ein packet sicherheitslöcher hat.

Du versuchst also nicht Software richtig zu konfigurieren, der Paketfilter wirds schon richten?


wie gesagt eventuelle Fehler, wer kann schon 100%ig sicher sein? und doppelt hält bekanntlich ja besser.



schau dir die ausgabe eines portscans bei meinem rechner an:

ich glaube nicht, dass alle als offenen Ports tatsächlich benötigt werden (zumal ich davon ausgehe, dass du lokal gescannt hast => wertlos)

natürlich werden sie nicht benötigt, sie sind aber trotzdem offen!
und ja das war lokal, hier ein remote scan, wenns dir lieber ist:

merkur:~# nmap sun

Starting nmap V. 2.54BETA31 ( www.insecure.org/nmap/ )
Interesting ports on sun.msi (192.168.0.2):
(The 1540 ports scanned but not shown below are in state: closed)
Port State Service
9/tcp open discard
13/tcp open daytime
22/tcp open ssh
25/tcp open smtp
37/tcp open time
53/tcp open domain
80/tcp open http
111/tcp open sunrpc
113/tcp open auth
389/tcp open ldap
515/tcp open printer
1006/tcp open unknown
1024/tcp open kdm
12000/tcp open cce4x


Nmap run completed -- 1 IP address (1 host up) scanned in 1 second
merkur:~#

soviel unterschied ist da nicht!


bis du da jeden dienst zum schweigen gebracht hast kann das dauern, außerdem wer sagt dir, dass der dienst (zB kdm) nicht aufgrund eines Fehlers trotzdem irgendwann den port binded?

Das kannst du prüfen (netstat), im übrigen musst du den Dienst ja so oder so konfigurieren, warum also nicht gleich richtig?

ach, das sagst du einem, der sein linux nur benutzen will ohne tief in die materie einzusteigen?



bei netfilter kannste ziemlich sicher sein, dass nicht so viele bugs da sind.
Klingt für mich nach Prinzip Hoffnung als Beispiel (halbwegs willkürlich herausgegriffen):

wohl eher prinzip der wahrscheinlichkeit, netfilter hat lang nicht so viel zeilen code wie deine ganzen dienste zusammen oder?



beliebte Fehler sind zB. packete upgraden wodurch die config überschrieben wreden könnte => ports sind uU wieder offen.
Mal davon abgesehen, dass ich das ohne Warnhinweis noch nicht erlebt habe, ist damit aber der Dienst idR komplett unbrauchbar geworden.

nicht unbedingt, bei kdm würdest du ja nur die netzwerkfunktion abschalten, ob die nun an oder aus ist wirst du im betrieb nicht merken. von unbrauchbar keine spur, ebendas gleiche gilt für smtp und der gleichen.


@dragon's might
wenn du keine Dienste hast, die an deinem externen Interface lauschen (netstat -a), brauchst du im Prinzip keine Paketfilterregeln.

verkehrt ists sicher nicht, also lass ihn mal laufen :D

Original geschrieben von adme
@msi und Liberace
Ich habe zu Hause eine IPtables Firewall am Laufen, aus dem einfach grund, dass ich Dienste testen kann ohne nach aussen offen zu sein! Für ein Bastelsystem sehr zu empfehlen... wer patcht sein system wirlich immer?

Im Geschäft, Red Hat AS 2.1 läuft nur sshd und websphered, ist jedoch gegen aussen durch bekannte Zonen wie Intranet, Extranet, Internet, DMZ,... mit jeweils einer Checkpoint FW-1 geschützt.


Das ist natuerlich ein Argument. (Bastelsystem) Und im geschaeftlichen Umfeld gelten eh andere Masstaebe. :)
Haengt dann aber auch von der Wichtigkeit der Aufgabe ab, die diese System innehaben.

Gruss
Liberace

Original geschrieben von msi
wie gesagt eventuelle Fehler, wer kann schon 100%ig sicher sein? und doppelt hält bekanntlich ja besser.


Und, du glaubst deine Paketfirewall ist zu 100% sicher? Es gibt keine Software die 100% fehlerfrei ist.



natürlich werden sie nicht benötigt, sie sind aber trotzdem offen!
und ja das war lokal, hier ein remote scan, wenns dir lieber ist:
[code]merkur:~# nmap sun


Warum schliesst du sie denn nicht einfach?



Starting nmap V. 2.54BETA31 ( www.insecure.org/nmap/ )
Interesting ports on sun.msi (192.168.0.2):
(The 1540 ports scanned but not shown below are in state: closed)
Port State Service
9/tcp open discard
13/tcp open daytime
22/tcp open ssh
25/tcp open smtp
37/tcp open time
53/tcp open domain
80/tcp open http
111/tcp open sunrpc
113/tcp open auth
389/tcp open ldap
515/tcp open printer
1006/tcp open unknown
1024/tcp open kdm
12000/tcp open cce4x


Nmap run completed -- 1 IP address (1 host up) scanned in 1 second
merkur:~#

soviel unterschied ist da nicht!



Stimmt, viel zu viele unnoetige Dienste.



ach, das sagst du einem, der sein linux nur benutzen will ohne tief in die materie einzusteigen?


wohl eher prinzip der wahrscheinlichkeit, netfilter hat lang nicht so viel zeilen code wie deine ganzen dienste zusammen oder?


Das mag je nach Anzahl der Dienste durchaus so sein, sagt allerdings auch nichts aus.



nicht unbedingt, bei kdm würdest du ja nur die netzwerkfunktion abschalten, ob die nun an oder aus ist wirst du im betrieb nicht merken. von unbrauchbar keine spur, ebendas gleiche gilt für smtp und der gleichen.


Das war damit auch nicht gemeint. Wenn durch ein update die Config, ohne Wahlmoeglichkeit ueberschrieben wird, dann ist sowohl die Updatemoeglichkeit als auch der Dienst unbrauchbar. In dem Falle bleibt dann eigentlich nur uebrig das System zu wechseln. :)



verkehrt ists sicher nicht, also lass ihn mal laufen :D

Verkehrt ist es nicht, aber immernoch ueberfluessig. :)
Natuerlich koennte man davor noch einen Cisco stellen und mit ACLs fuettern, schliesslich ist die Paketfirewall nicht zu 100% sicher.
Und weil das IOS auch Bugs hat, davor noch ne Checkpoint. ;)

Gruss
Liberace (der letzte Absatz war nicht ganz ernst gemeint)

Original geschrieben von Liberace
Und, du glaubst deine Paketfirewall ist zu 100% sicher? Es gibt keine Software die 100% fehlerfrei ist.

wie kommst du da drauf, es gibt keine umfangreiche software die 100% sicher ist..
ich möcht dich um eins bitten: verdreh nicht immer meine worte so wie da oben, sonst kann man überhaupt nicht sachlich disktuieren



Warum schliesst du sie denn nicht einfach?


weil ein netfilter das blockt... (war weniger arbeit als alles zu schließen)



Das mag je nach Anzahl der Dienste durchaus so sein, sagt allerdings auch nichts aus.

natürlich sagt das was aus: packetfilter sind nicht überflüssig!



Das war damit auch nicht gemeint. Wenn durch ein update die Config, ohne Wahlmoeglichkeit ueberschrieben wird, dann ist sowohl die Updatemoeglichkeit als auch der Dienst unbrauchbar. In dem Falle bleibt dann eigentlich nur uebrig das System zu wechseln. :)

wer sagt denn das nicht nachgefragt wurde, vielleicht hat der user nur unbedacht enter gedrückt.. oder die enter taste hat sich verhackt



Verkehrt ist es nicht, aber immernoch ueberfluessig. :)

seit wann ist zusätzliche sicherheit überflüssig



Natuerlich koennte man davor noch einen Cisco stellen und mit ACLs fuettern, schliesslich ist die Paketfirewall nicht zu 100% sicher.
Und weil das IOS auch Bugs hat, davor noch ne Checkpoint. ;)

wach auf aus deiner traumwelt!! nutz die sicherheitsmöglichkeiten die du hast!



Gruss
Liberace (der letzte Absatz war nicht ganz ernst gemeint)

nein für paranoid halte ich dich auch nicht.
wo ist denn das problem in 2min nen packetfilter aufzusetzen? das ist nur sicherheitsgewinn.

Moin Jungs und Mädels,

nun bin ich ein wenig durcheinander gekommen bei dem ganzen Fachchinesisch :confused:
Von XP kenne ich zahlreiche Dienste die ich manuell deaktivert habe und einige Ports konnte man auch dicht machen ... Nur mit den Linuxdiensten kenne ich mich null aus ...
Ich finde der Router ist soweit gut konfiguriert, zumindest war bei einem Portscann bei mir alles auf closed ... Eine Firewall unter XP hatte ich nur laufen, damit ich auch kontrollieren kann, welche Anwendung vom PC raus will und ich dementsprechend das ganze erlauben oder verneinen kann ...
Klar ist auch soweit das man nichts aus unseriösen Quellen runterlädt und ausführt, unbekannte Mails ect. kommen bei mir sowieso gleich in die Tonne ...

Hätte da noch eine Frage bezügliche eines Virenscanners? Könnt ihr mir einen empfehlen?

Hab zwei Postings zusammengefasst.

Original geschrieben von msi
ach, das sagst du einem, der sein linux nur benutzen will ohne tief in die materie einzusteigen? um ordentliche Regeln aufzustellen ist kein Wissen notwendig?


wohl eher prinzip der wahrscheinlichkeit, netfilter hat lang nicht so viel zeilen code wie deine ganzen dienste zusammen oder?ich will hoffen, dass netfilter weniger Code hat als alle von mir eingesetzten Daemon.


nicht unbedingt, bei kdm würdest du ja nur die netzwerkfunktion abschalten, ob die nun an oder aus ist wirst du im betrieb nicht merken. von unbrauchbar keine spur, ebendas gleiche gilt für smtp und der gleichen. Wenn die Konfigdatei überschrieben wird, in der du das Interace festlegst, dann wird der Dienst sehr wohl unbrauchbar. Apache bindet die Verzeichnisse nichtmehr ein, der Mailserver fühltz sich für mails an die Domain nicht mehr zuständig, ...


natürlich sagt das was aus: packetfilter sind nicht überflüssig! hat hier niemand behauptet.
seit wann ist zusätzliche sicherheit überflüssig Bei dir ist es keine zusätzliche Sicherheit, bei dir ist es die einzige. Das ist in meinen Augen ein Unterschied.
wach auf aus deiner traumwelt!! nutz die sicherheitsmöglichkeiten die du hast! Sagte derjenige, dem es anscheinend (so interpretier ich deine bisherigen Aussagen) zuviel ist jeden Dienst entsprechend den Anforderungen zu konfigurieren.

wo ist denn das problem in 2min nen packetfilter aufzusetzen? das ist nur sicherheitsgewinn. Das sind sogar 2 Probleme.
- Ein Paketfilter ist nicht in 2 Minuten aufgesetzt
- Wird der so viele Fehler (unsauberes Netzwerkverhalten) enthalten, dass du ihn gleich wieder in die Tonne treten kannst.

Zum aufsetzen eines Paketfilters mit guten Regeln ist ein große Einarbeitung fällig.

@Mysteria
schau bitte in den FAQ Bereich, dort gibts Aneitungen zu unterschiedlichen Virenscannern (Empfehlungen bekommst du über die Suchfunktion).

> um ordentliche Regeln aufzustellen ist kein Wissen notwendig?

nein es gibt programme, bei denen du nur sagen musst welche dienste zugänglich sein sollen.
die könnte sogar mein vater bedienen...

> Wenn die Konfigdatei überschrieben wird, in der du das Interace festlegst, dann wird der Dienst sehr wohl unbrauchbar. Apache bindet die Verzeichnisse nichtmehr ein, der Mailserver fühltz sich für mails an die Domain nicht mehr zuständig, ...

default ist allerings das lauschen an allen ports. somit wird der dienst einwandfrei funktionieren. bei apache ist /var/www defualt und wenn du das verwendest hast, wirds auch weiter verwendet. mailserver nehmen sich den domainnamen nicht unbedingt aus der config (sie binden eine andere datei ein)

> Bei dir ist es keine zusätzliche Sicherheit, bei dir ist es die einzige. Das ist in meinen Augen ein Unterschied.Bei dir ist es keine zusätzliche Sicherheit, bei dir ist es die einzige. Das ist in meinen Augen ein Unterschied.

wer redet denn hier von mir, auf dem rechner den ich gescannt habe läuft keine firewall, der ist hinter einem router. außerdem geht es hier nicht um mich.

> Sagte derjenige, dem es anscheinend (so interpretier ich deine bisherigen Aussagen) zuviel ist jeden Dienst entsprechend den Anforderungen zu konfigurieren.

junge! was redest du für zeug über mich?? labber hier nicht irgendeinen ******!! das ist nur ein testrechner und nicht ein arbeitsplatzrechner oder server.. und wir reden hier von desktoprechnern..

> Das sind sogar 2 Probleme.
- Ein Paketfilter ist nicht in 2 Minuten aufgesetzt
- Wird der so viele Fehler (unsauberes Netzwerkverhalten) enthalten, dass du ihn gleich wieder in die Tonne treten kannst.

man muss das nicht selber mit iptables machen , vgl. oben!

Original geschrieben von msi
junge! was redest du für zeug über mich?? labber hier nicht irgendeinen ******!! das ist nur ein testrechner und nicht ein arbeitsplatzrechner oder server.. und wir reden hier von desktoprechnern..
Schalt bitte mal wieder nen Gang zurück.

moin


mädels nu habt euch mal wieder lieb ;).


im prinzip habt ihr ja beide recht. wenn ein system sauber aufgesetzt ist, kann man auf einen paketfilter gut und gerne verzichten. wenn es sich dann noch um einen client hinter einem router/paketfilter handelt allemal. wer allerdings paranoid genug ist (so wie ich ;)) kann auch auf dem desktop zusätzlic noch nen paketfilter laufen lassen. mit dem bestimme ich dann, welcher dienst eine verbindung starten darf.


Gruß HL