PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : SuSe 9.0 + Firewall



Thhunder
15.01.06, 21:58
Heyho,
also ich wollt mal fragen was ihr mir bei suse 9.0 als firewall empfelen könntet?

Das teil von suse selbst hat mich jetzt nicht überzeugen können da es anscheinend so is das diese scheinbar noch fehlerhaft ist bzw. leicht zu knacken? (meine vermutung....)
Da es mir passiert is das mein linuxrechner gehacked wurd....

Gruß Thhunder

derRichard
15.01.06, 22:09
hallo!

die suse-firewall ist sehr gut.
sie basiert auf netfilter, dem paketfilter von linux.

wenn dein rechner geknakt wurde, dann lag es 100%ig an der fehlerhaften konfiguration deines systems!

//richard

Thhunder
16.01.06, 13:48
also das system war von der firewall her und auch von den diensten recht gut konfiguriert.... nun stellt sich mir dennoch die frage wie kann ich demnächst solchen sachen vorbeugen?
brute attacken kann man schlecht entgegenwircken selbst wenn man im sshd sagen würde 1 login pro ip/pro minute..... sowie den rootlogin über ssh komplett sperren... ich frage mich derweilig immernoch wie diese person sich einloggen konnte, ein 12 zeichenlanges pw mit sonderzeichen großklein und zaheln kombination ist nicht wirklich leicht zu knacken über ein brute verfahren.....
und da der server alle 2 tage die updates macht die für die sicherheit sind sollte eigentlich soweit alles glatt gehen oder sehe ich das falsch?

Greets Thhunder

derRichard
16.01.06, 20:04
hallo!

zum thema ssh, verbiete kennwörter. auf meine ssh-server kann man sich nur mit rsa-schlüsseln verbinden. da bist mit brute force chancenlos.

deine kiste war sicher webserver mit php-programmen. und diese waren sicher fehlerhaft. das ist meistens das problem.

//richard

Thhunder
17.01.06, 14:05
wie meinst du das mit dem webserver und dem php? mir ist zwar klar das der indianer anfällig ist.. dennoch versteh ich grad nicht so ganz wie du das mit den php programmen meinst... erläutere das kurz bitte :)

zum ssh mit dem rsa-schlüsseln, wie kann ich das über putty den regeln um dem bruting schonmal aus dem wege zu gehen?

gruß Thhunder

P.S.: bitte so erklären das es ein leije auch versteht daich nicht der mega profi in punkto linux bin ;)

marce
17.01.06, 14:55
... und wieder jemand, der am lebenden Objekt operiert...

Der Indianer an sich ist nicht anfällig. Aber durch unsichere Scripte (besonders beliebt: nicht gepflegte Forensoftware) kann man bei schlecht konfigurierten Systemen rootkits und ähnliches installieren.

Der Fehler sitzt meist vor dem System...

Zu den Optionen für Putty kann man auf die Homepage verweisen - interessant ist das Programm Puttygen bzw. ssh-keygen und ssh-copy-id unter Linux...

Thhunder
17.01.06, 22:38
werd ich mir mal anschauen :)
und zu den rootkits, da gibt es doch bestimmt eine entdeckungsmethode oder seh ich das falsch? Also das muss doch irgendwie entdeckt werden....
desweiteren bastel ich nicht am "lebenden objekt" bevor ich etwas an dem server mach teste ich das local an einem rechner das ich es auch richtig ans rennen krieg bevor es an meinem "Patienen" mach wird es am "künstlichen versuchsobjekt" durchgekaut ;)

greets Thhunder

marce
18.01.06, 07:16
tripwire, checkrootkit, ...

übrigens löblich, das mit dem Testsystem - war aber eher drauf gemünzt, dass einem leicht der Gedanke kommen könnte, dass die notwendigen Kentnisse für den Betrieb eines root-Servers im Netz nicht 100% vorhanden sind...

sysop
18.01.06, 12:12
zum testen kann man mal nessus verwenden und die gröbsten löcher suchen.

Thhunder
18.01.06, 14:59
also es scheint wohl ein rootkit zu sein... nur das problem ist (selbst wieder nach der neuinstalation) ist das teil schon zum 2ten mal gehacked worden ich krieg die kriese..... :(
im stammverzeichniss des servers befinden sich die ordner
/command sowie der ordner /package in beiden verzeichnissen liegen dateien drin die sehr dannach ausehen das es sich da um böswillige sachen handelt....
weil nach der installation waren sie nicht da... und jetzt sind sie da... dabei habe ich keinerlei zusatzscripte installiert bisher!

was kann dagegen unternommen werden? selbst der anbieter von mir (in diesem falle Strato) meldet sich nicht bei mir da ich nach den logdateien gefragt habe von dem anbieter um gegen solche aktivitäten vorgehen zu können.... (da die den traffic ja eh mitloggen....)

gruß Thhunder

/edit\
es wird auch ein crontab ausgeführt, mit dem befehl
illal -HUP authdaemond.plain > /dev/null und das mit mehreren benutzern, als root als wwwrun und anderen system nutzernamen (die eigentlich nur von programmen genutzt werden)
kann ich diesen problemlos entfernen, da ich denke das dieser daemon doch gebraucht wird ?!?

marce
18.01.06, 15:04
dann würde ich jetzt einfach mal systematisch vorgehen - welche Dienste laufen, welche Anwendungen darunter, welche sind notwendig, sind alle auf dem neuesten Stand und wie kann man sie absichern?

Logsfiles aufheben für Analyse...

Logfiles von Strato werden vermutlich wenig helfen, da meist die verwandten IPs nicht real sind...

Thhunder
18.01.06, 15:08
logfiles hab ich alle nur damit kann ich recht wenig anfangen... ich mein ich sehe das da ne connetion fehlschlägt und das der cron (siehe edit) diesen job abarbeitet.... sowie ne connetion von außen ect. aber das wars auch schon... :(
die sache mit laufenden diensten, sollten eigentlich alle up to date sein da ich die updates frisch eingespielt habe vom offizielen suse mirror..... (nicht dem vom strato rechenzentrum da dieser eh nicht auf dem neusten stand gehalten wird... (leider!) )

marce
18.01.06, 15:11
... ist mühsam, das auf jeden Fall... - nicht umsonst gibt's dafür ja auch Spezialisten :-)

... gibt's Anzeichen, über welchen Dienst der Pöse Purche rein gekommen ist?

Thhunder
18.01.06, 15:15
bisher würde ich behaupten über ftp ansonsten wenn der server "gehacked" wurde dann is das mailsystem down und funktioniert nicht mehr..... wäre auch eine möglichkeit... ansonsten würde mir der indianer in den sinn kommen ansonsten würd ich sagen ist nichts zu sehen.... ich geh grad alle systemnutzer durch welche grad so angemeldet sind....