PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : iptables blockt mail - bin am verzweifeln



Seiten : [1] 2

karx11erx
18.03.08, 17:56
Hallo,

ich habe mir (notgedrungen) einen V-Server für meinen Internet-Auftritt zugelegt (debian 4/confixx 3). Da ich für die Absicherung selber zuständig bin, habe ich mir ein iptables-Script aus einem Tutorial zurechtgeschnitzt. Leider funktionieren meine Mail Services nicht mehr, sobald ich das Script ausführe. Das Mail-Programm ist postfix.

Ich bekomme folgende Fehlermeldung:
Host or domain name not found. Name service error for name=hotmail.com type=MX: Host not found
Das gilt für jede E-Mail-Adresse die ich verwendet habe, nicht nur hotmail.

/etc/resolv.conf enthält folgende Einträge:
nameserver 88.80.192.118
nameserver 88.80.192.119
Hier mein iptables-Script:
#!/bin/sh
#
# iptables firewall script v1.0
#
# http://www.online-tutorials.net/
#

# Siehe: ifconfig oder ip addr
# In meinem Fall:
# - läuft das VPN zum Internet Provider über device eth1
# - heißt das VPN device default
# - läuft interne Netzwerk in das ich routen will über device eth0
EXT_NET_DEV=eth1
EXT_DEV=default
INT_DEV=eth0

#Der Pfad zur iptables
IPTABLES=/sbin/iptables

#TCP ports
# 21 FTP
# 25 SMTP (Emails verschicken)
# 587 SMTP (alternativ)
# 80 HTTP
# 110 POP3 (Email per POP3)
# 143 IMAP (Email per IMAP)
# 993 IMAP SSL (Email per IMAP verschlüsselt)
# 443 HTTPS
# 1863 MSN
# 5190 ICQ
# 5222 Jabber
# 6667 IRC
# 6668 IRC

NAT_FORWARDING_TCP_PORT="21,25,80,110,143,443,587,993,5190,5222,6667,6668,1 863"

#SSH, Mail, HTML-Ports
INPUT_INTERNET_TCP_PORT="22,25,80,110,143,443,587,993"
OUTPUT_INTERNET_TCP_PORT="22,25,80,110,143,443,587,993"
INPUT_INTERNET_UDP_PORT="9424"
OUTPUT_INTERNET_UDP_PORT="9424"
NAMESERVER1="88.80.192.118/32"
NAMESERVER2="88.80.192.119/32"

#echo "Drop corrupt packets (need module, otherwise turn statement into a comment)"
#$IPTABLES -A FORWARD -m unclean -j DROP
#$IPTABLES -A INPUT -m unclean -j DROP
#echo "Drop packets from the external network that have an internal address"
#$IPTABLES -t nat -A PREROUTING -i $EXT_DEV -s 192.168.0.0/16 -j DROP
#$IPTABLES -t nat -A PREROUTING -i $EXT_DEV -s 10.0.0.0/8 -j DROP
#$IPTABLES -t nat -A PREROUTING -i $EXT_DEV -s 172.16.0.0/12 -j DROP
#$IPTABLES -t nat -A PREROUTING -i $EXT_DEV -s 127.0.0.0/8 -j DROP

echo "Defining the INPUT rules"
echo " vpn"
$IPTABLES -A INPUT -i $EXT_NET_DEV -j ACCEPT
echo " accept each lo connection"
$IPTABLES -A INPUT -i lo -j ACCEPT
echo " icmp"
$IPTABLES -A INPUT -p icmp -j ACCEPT
$IPTABLES -A INPUT -s 0.0.0.0/0 -p tcp -m multiport --dport $INPUT_INTERNET_TCP_PORT -j ACCEPT
echo " syn packages"
$IPTABLES -A INPUT -p tcp ! --syn -j ACCEPT
echo " internal"
$IPTABLES -A INPUT -s 0.0.0.0/0 -p udp --dport $INPUT_INTERNET_UDP_PORT -j ACCEPT
echo " internet"
iptables -A INPUT -p udp -s $NAMESERVER1 --sport 53 --dport 1024:65535 -m state --state ESTABLISHED -j ACCEPT
iptables -A INPUT -p tcp -s $NAMESERVER1 --sport 53 --dport 1024:65535 -m state --state ESTABLISHED -j ACCEPT
iptables -A INPUT -p udp -s $NAMESERVER2 --sport 53 --dport 1024:65535 -m state --state ESTABLISHED -j ACCEPT
iptables -A INPUT -p tcp -s $NAMESERVER2 --sport 53 --dport 1024:65535 -m state --state ESTABLISHED -j ACCEPT
# mail relay
$IPTABLES -A INPUT -i $EXT_DEV -s 212.227.15.169/32 -p tcp -j ACCEPT #mx01.kundenserver.de
$IPTABLES -A INPUT -i $EXT_DEV -p udp --dport 53 -j ACCEPT

echo "Defining the OUTPUT rules"
echo " vpn"
$IPTABLES -A OUTPUT -o $EXT_NET_DEV -j ACCEPT
echo " icmp"
$IPTABLES -A OUTPUT -p icmp -j ACCEPT
echo " accept each lo connection"
$IPTABLES -A OUTPUT -o lo -j ACCEPT
echo " internal tcp"
$IPTABLES -A OUTPUT -d 0.0.0.0/0 -p tcp -m multiport --sport $OUTPUT_INTERNET_TCP_PORT -j ACCEPT
echo " internal udp"
$IPTABLES -A OUTPUT -p udp --sport $OUTPUT_INTERNET_UDP_PORT -j ACCEPT
#echo " internet"
#$IPTABLES -A OUTPUT -o $EXT_DEV -d 0.0.0.0/0 -p tcp -m multiport --dport $NAT_FORWARDING_TCP_PORT -j ACCEPT
echo " syn packages"
#$IPTABLES -A OUTPUT -p tcp ! --syn -j ACCEPT
echo " internet"
iptables -A OUTPUT -p udp --sport 1024:65535 -d $NAMESERVER1 --dport 53 -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -p tcp --sport 1024:65535 -d $NAMESERVER1 --dport 53 -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -p udp --sport 1024:65535 -d $NAMESERVER2 --dport 53 -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -p tcp --sport 1024:65535 -d $NAMESERVER2 --dport 53 -m state --state NEW,ESTABLISHED -j ACCEPT
# mail relay
$IPTABLES -A OUTPUT -o $EXT_DEV -d 212.227.15.169/32 -p tcp -j ACCEPT #mx01.kundenserver.de

echo "Define the NAT rules"
#$IPTABLES -A POSTROUTING -t nat -p tcp -o $EXT_DEV -s $INT_NET -j MASQUERADE
#echo " UDP forwarding"
#$IPTABLES -A POSTROUTING -t nat -p udp -o $EXT_DEV -s $INT_NET -j MASQUERADE
#$IPTABLES -A POSTROUTING -t nat -p icmp -o $EXT_DEV -s $INT_NET -j MASQUERADE
$IPTABLES -A FORWARD -p tcp ! --syn -j ACCEPT
#echo " reject any unwelcome addresses here"
#Wir machen REJECT, damit der Browser nicht lange für die Antwort braucht
#$IPTABLES -A FORWARD -p tcp -d malicious-domain.com -j REJECT
echo " tcp"
$IPTABLES -A FORWARD -i $INT_DEV -o $EXT_DEV -s $INT_NET -p tcp -m multiport --dport $NAT_FORWARDING_TCP_PORT -j ACCEPT
#$IPTABLES -A FORWARD -i $INT_DEV -o $EXT_DEV -s $INT_NET -d www.example.com -p tcp --dport 442 -j ACCEPT
echo " icmp"
$IPTABLES -A FORWARD -m state --state NEW -p icmp -j ACCEPT
$IPTABLES -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT

echo "Dropping everything else"
iptables -A INPUT -j DROP
iptables -A OUTPUT -j DROP
iptables -A FORWARD -j DROP

echo "Firewall & Routing activated"
Hier ist der Output von iptables -L -n:
Chain INPUT (policy ACCEPT)
target prot opt source destination
ACCEPT 0 -- 0.0.0.0/0 0.0.0.0/0
ACCEPT 0 -- 0.0.0.0/0 0.0.0.0/0
ACCEPT icmp -- 0.0.0.0/0 0.0.0.0/0
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 multiport dports 22,25,80,110,143,443,587,993
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp flags:!0x17/0x02
ACCEPT udp -- 0.0.0.0/0 0.0.0.0/0 udp dpt:9424
ACCEPT udp -- 212.12.114.14 0.0.0.0/0 udp spt:53 dpts:1024:65535 state ESTABLISHED
ACCEPT tcp -- 212.12.114.14 0.0.0.0/0 tcp spt:53 dpts:1024:65535 state ESTABLISHED
ACCEPT udp -- 213.160.92.82 0.0.0.0/0 udp spt:53 dpts:1024:65535 state ESTABLISHED
ACCEPT tcp -- 213.160.92.82 0.0.0.0/0 tcp spt:53 dpts:1024:65535 state ESTABLISHED
ACCEPT tcp -- 212.227.15.169 0.0.0.0/0
ACCEPT udp -- 0.0.0.0/0 0.0.0.0/0 udp dpt:53
DROP 0 -- 0.0.0.0/0 0.0.0.0/0

Chain FORWARD (policy ACCEPT)
target prot opt source destination
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp flags:!0x17/0x02
ACCEPT tcp -- 192.168.0.0/16 0.0.0.0/0 multiport dports 21,25,80,110,143,443,587,993,5190,5222,6667,6668,1 863
ACCEPT icmp -- 0.0.0.0/0 0.0.0.0/0 state NEW
ACCEPT 0 -- 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
DROP 0 -- 0.0.0.0/0 0.0.0.0/0

Chain OUTPUT (policy ACCEPT)
target prot opt source destination
ACCEPT 0 -- 0.0.0.0/0 0.0.0.0/0
ACCEPT icmp -- 0.0.0.0/0 0.0.0.0/0
ACCEPT 0 -- 0.0.0.0/0 0.0.0.0/0
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 multiport sports 22,25,80,110,143,443,587,993
ACCEPT udp -- 0.0.0.0/0 0.0.0.0/0 udp spt:9424
ACCEPT udp -- 0.0.0.0/0 212.12.114.14 udp spts:1024:65535 dpt:53 state NEW,ESTABLISHED
ACCEPT tcp -- 0.0.0.0/0 212.12.114.14 tcp spts:1024:65535 dpt:53 state NEW,ESTABLISHED
ACCEPT udp -- 0.0.0.0/0 213.160.92.82 udp spts:1024:65535 dpt:53 state NEW,ESTABLISHED
ACCEPT tcp -- 0.0.0.0/0 213.160.92.82 tcp spts:1024:65535 dpt:53 state NEW,ESTABLISHED
ACCEPT tcp -- 0.0.0.0/0 212.227.15.169
DROP 0 -- 0.0.0.0/0 0.0.0.0/0
Ein weiteres Problem ist, dass "iptables -t nat" zurückgewiesen wird, weshalb ich externe Aufrufe mit internen Adressen nicht blocken kann (ginge das auch anders?), aber das ist zweitrangig.

Ausserdem sind mir die 2 ACCEPT 0/0 0/0 bei INPUT nicht koscher, und ich denke diese VPN und lo-Geschichten brauche ich gar nicht ... ?

Wenn ich ausserdem zu Beginn als POLICIES DROP definiere (auskommentiert), ist der V-Server komplett dicht - häh?

Ich habe Stunden um Stunden iptables-Dokus und Tutorials gelesen, aber ich bin hier schlicht überfordert. Bitte helft mir, Leute. :)

eule
18.03.08, 22:59
Irgentwie sieht das nach einem Skript aus, das fuer einen Router geschrieben wurde. Anschliessend wurde dann noch wild herumgebastelt.
Lass es einfach weg. Du brauchst sowas nicht.
Steck die Arbeit in eine gute Absicherung deiner Dienste, das bringt mehr.

zyrusthc
18.03.08, 23:03
Oder benutze den iptables-Generator von Harry.
http://www.harry.homelinux.org/modules.php?name=iptables_Generator

Greeez Oli

karx11erx
19.03.08, 00:24
Das hilft mir überhaupt nicht weiter. Was ich brauche ist ein iptables-Script, das nur SSH, E-Mail, HTML und mein phpbb-Forum sowie ein kleines Tracker-Programm arbeiten lässt und alles andere blockt. Ich nehme an, dass auch die FORWARD-Chain sinnvoll eingestellt sein muss, habe aber keine Ahnung ob das so ist, oder wie das auszusehen hätte.

Ich habe keine Ahnung wie ich meine "Dienste sichern" soll. Mit einem so pauschalen Hinweis kann ich rein gar nicht anfangen (oder meinst Du etwas wie das hier: http://www.debian.org/doc/manuals/securing-debian-howto/index.de.html ? Das ist mir zu hoch. Wahrscheinlich würde ich meinen V-Server schlicht unbrauchbar machen).

Ich würde auch gerne mit "offiziellen" oder gängigen Tools auskommen, denn ich habe nur einen SSH-Zugang zu dem V-Server und kann damit (nehme ich an) nur in einem text-basierten Terminal arbeiten.

Rain_maker
19.03.08, 01:17
OK, anders gefragt:

1. Welche zusätzlich zu den oben genannten Serverdiensten laufen denn, die die Firewall blocken _soll_?

2. Soll die Firewall irgendwelchen ausgehenden Traffic blocken?

3. Wenn 2. = ja, welchen denn?

Sollte die Antwort "1. keine" und "2. nein" lauten, dann wozu überhaupt ein FW-Script?

marce
19.03.08, 08:15
Ich habe keine Ahnung wie ich meine "Dienste sichern" soll. Mit einem so pauschalen Hinweis kann ich rein gar nicht anfangen (oder meinst Du etwas wie das hier: http://www.debian.org/doc/manuals/securing-debian-howto/index.de.html ? Das ist mir zu hoch. Wahrscheinlich würde ich meinen V-Server schlicht unbrauchbar machen).

Sorry, aber mit der Aussage disqualifizierst Du Dich eigentlich für den Besitzt eines Root-Servers.

Aber mal anders gefragt: Warum bist Du denn der Meinung, dass Du auch notgedrungen einen eigenen Server brauchst?

zyrusthc
19.03.08, 09:05
Das hilft mir überhaupt nicht weiter. Was ich brauche ist ein iptables-Script, das nur SSH, E-Mail, HTML und mein phpbb-Forum sowie ein kleines Tracker-Programm arbeiten lässt und alles andere blockt. Ich nehme an, dass auch die FORWARD-Chain sinnvoll eingestellt sein muss, habe aber keine Ahnung ob das so ist, oder wie das auszusehen hätte.
Siehe meinen Post! Damit kannst Du so ein Script erstellen...
Wer lesen kann , ist klar im Vorteil ...

Ich habe keine Ahnung wie ich meine "Dienste sichern" soll. Mit einem so pauschalen Hinweis kann ich rein gar nicht anfangen (oder meinst Du etwas wie das hier: http://www.debian.org/doc/manuals/securing-debian-howto/index.de.html ? Das ist mir zu hoch. Wahrscheinlich würde ich meinen V-Server schlicht unbrauchbar machen).

Ich würde auch gerne mit "offiziellen" oder gängigen Tools auskommen, denn ich habe nur einen SSH-Zugang zu dem V-Server und kann damit (nehme ich an) nur in einem text-basierten Terminal arbeiten.
Dazu fällt mir blos http://www.root-und-kein-plan.ath.cx ein!

Greeez Oli

karx11erx
19.03.08, 12:44
Ich habe keine Zeit, monate- oder jahrelang zu Hause mit (m)einem Linux-Rechner rumzuspielen bis ich den Kernel-Code rückwärts runterbeten kann. Der Keks ist gevespert, denn ich habe bereits einen V-Server und ich muss ihn einigermassen absichern. Der Link zu root-und-kein-plan ist für mich deshalb wertlos. Ich bin mir ziemlich sicher, dass es ein paar wenige zentrale Massnahmen gibt, um gute Sicherheit zu erreichen, und der erste Schritt sind denke ich ein paar brauchbare iptables-Regeln.

Ich habe deshalb eine klare, eng eingegrenzte Frage gestellt: Ich will wissen, wie iptables-Regeln aussehen müssen, die auf einem (V-) Server nur SSH, Mail, HTML und ein phpbb-Forum laufen lassen. Ich verstehe nicht ganz, wieso es Euch solche Mühe macht, darauf einzugehen.

Wieso ich einen V-Server brauche? Weil ein Webhosting-Paket mir die von mir benötigten Leistungen nicht bietet. Ich werde garantiert nicht anfangen, alle Services auf meinem V-Server in chroot jails zu sperren, denn wahrscheinlich hat er gar nicht die ausreichende Leistung (ich musste schon auf das grösste V-Server-Paket aufstocken, damit Forum und Internet-Auftritt rund laufen). Ich werde auch nicht anfangen, irgendwelche Dienste teilweise oder ganz abzuklemmen, denn wenn ich das tue und einen Fehler mache, muss ich den ganzen Server neu aufsetzen, alle Inhalte wieder hochspielen (1,5 GB), das Forum-Backup wieder einspielen, und das dauert locker einen Tag.

zyrus, Du bist schlicht und einfach unhöflich. Ich will keinen iptables-Konfigurator den sich irgendjemand zusammengebastelt hat. Es gibt ein paar solche Tools wie z.B. firestarter (für mich nicht interessant, da graphisch), die mehr oder weniger "offziellen" Status haben, d.h. sie sind anerkannt und weit verbreitet. Das hatte ich geschrieben. Am liebsten würde ich für so einen Minimalsatz an iptables-Regeln aber ohne Tool auskommen. Ausserdem wäre es interessant gewesen, solche iptables-Regeln erklärt zu bekommen, denn trotz aller Tutorien und Docs die ich gelesen habe komme ich ja nicht weiter. Vielleicht bemühst Du Dich also selber mal um die Vorteile der Fähigkeit zu lesen.

Ich disqualifiziere mich also. Mag sein. Mit der Art Hilfe, die mir hier bislang geboten wurde, wird das bedauerlicherweise wohl so bleiben. Woran liegt Euch? Zu helfen, oder zu demonstrieren dass der Olymp der Linux-Götter auf dem Ihr Euch befindet für Normalsterbliche wie mich weder zu erreichen noch zu haben ist?

Noch eins zum Abschluss. Ich bin schon lange kein Teenager mehr, und ich bin zwar kein Linux, aber IT-Pro. Bitte berücksichtigt das wenn Ihr mit mir redet. Ich würde es sehr zu schätzen wissen, wenn der Tonfall hier sachlich und höflich bliebe. :)

marce
19.03.08, 12:50
Lesen kann ich, danke der Nachfrage und des Tipps hierzu.

Das Wissen zu "Systemadministration von Linux" habe ich mir erlernt. An Systemen, die dafür geeignet waren. Und davor habe ich keinen Server, der frei im Netz steht, betreut und verwaltet. Erst, nachdem ich die notwendigen Kentnisse hierfür hatte habe ich mich an sowas gewagt, nicht vorher.

Das nur als Kommentar zu Deinen Äußerungen. Und Dir noch ein "möge Dein Server möglichst lange Dir gehören und Dir keine negativen Folgen aus Deinem Tun erwachsen" gewünscht.

Punkt.

4me: EOD.

eule
19.03.08, 12:58
Du willst ein sicheres System, faengst aber am falschen Ende an.


Ich habe keine Ahnung wie ich meine "Dienste sichern" soll.

Deine Dienste sind z.B. SSH, E-Mail (smtp/pop), HTML (http)
Diese Dienste muessen sicher konfiguriert werden, damit sie nicht missbraucht werden koennen und das System darueber nicht angegriffen werden kann.
Wenn dein Webserver unsicher konfiguriert ist oder fehlerhafte Skripte dort herumliegen, nuetzt dir dein Paketfiter nichts.
Wenn dein sshd unsicher konfiguriert ist, nuetzt die dein Paketfiter nichts.
Falls das System Dienste anbietet, die nicht benoetigt werden, sollten diese abgeschaltet werden.

Wenn die Dienste ordentlich dicht sind, kann man ueber weitere Massnahmem wie einen Paketfilter nachdenken. Unbedingt notwendig ist er nicht.
Die Leute hier reagieren so grantig, weil sie teilweise die Folgen schlecht konfigurierter Rechner ausbaden muessen, z.B. Spam auf ihren Mailservern.
Der Umgang mit einem solchen System uebt sich besser auf einer Testmaschine im heimischen Netz.

karx11erx
19.03.08, 13:18
Ich denke, dass die Masse des Spams aus Windows-Botnets kommt. Ausserdem gibt es für Unhöflichkeit keine Entschuldigung. Schlimmstenfalls bekommen die Leute von meinem Server irgendwann tatsächlich Spam, weil sie Leute wie mich lieber runterlaufen lassen als Ihre Zeit in eine Anleitung zu stecken, wie man seine wesentlichen Dienste absichert.

Ich denke übrigens doch, dass ein Paketfilter Sinn macht, denn damit kann ich z.B. FTP von vorneherein abklemmen, was gibt es da dann noch zu sichern?

Bislang habe ich keine einzige nützliche Antwort bekommen, sondern bin fast nur angemosert worden!

Was glaubt Ihr erreicht Ihr mit sowas? Dass Linux beliebter wird? Dass sich Leute wie ich schneller mit ihrem Server auskennen und damit Schaden vermieden wird? Ich habe immerhin begriffen, dass ich mich um die Sicherheit meines Servers kümmern muss und bin deshalb hier - wieviele haben das nicht?!

Vielleicht fangt Ihr langsam mal an, darüber nachzudenken statt mich hier abzuwatschen!

Marc,

Du warst zwar gar nicht gemeint, aber es scheint doch mit dem Lesen zu hapern. Dein Prinzipienvortrag in Ehren, aber ich hatte keine andere Wahl als einen V-Server zu nehmen. Für Dich ist EOD? Na gut, dann war Dein Ziel hier wohl vor allem, Dich ein bisschen zu profilieren ohne dass irgendetwas Nützliches dabei rauskommt. Applaus.

Eule,

wie? Es kann doch nicht die Welt sein, ssh, smtp/pop, html und ein phpbb-Forum abzusichern? Sagt mir wie!

marce
19.03.08, 13:45
Schlimmstenfalls bekommen die Leute von meinem Server irgendwann tatsächlich Spam, weil sie Leute wie mich lieber runterlaufen lassen als Ihre Zeit in eine Anleitung zu stecken, wie man seine wesentlichen Dienste absichert.
Eine Anleitung (übrigens an sich sehr guten und recht einfach gehaltene) hast Du schon bekommen. Die war Dir zu hoch.

-> Das zeigt für mich eindeutig: Du bist nicht in der Lage, einen Server zu betreiben.


Ich denke übrigens doch, dass ein Paketfilter Sinn macht, denn damit kann ich z.B. FTP von vorneherein abklemmen, was gibt es da dann noch zu sichern?
Wenn Du keinen FTP-Server brauchst - dann lass keinen laufen. Dann musst Du auch keine Firewallregel dafür schreiben.

Wenn Du einen ftp-Server brauchst, dann musst Du (lt. Dir) eine entsprechende Regel dafür schreiben. Sprich - der ftp-Server ist offen und damit angreifbar. Er muss also abgesichert werden.

-> Eine Firewall bringt Dir diesbezüglich (also für die eh' (da benötigt) offenen Ports) keine Sicherheit.


Bislang habe ich keine einzige nützliche Antwort bekommen, sondern bin fast nur angemosert worden!
Doch hast Du. Und Du hast die Antworten abgewiesen bzw. nicht auf sie reagiert.


Was glaubt Ihr erreicht Ihr mit sowas? Dass Linux beliebter wird?
Ist weder unser Ansinnen noch hat es etwas mit dem Thema zu tun.


Dass sich Leute wie ich schneller mit ihrem Server auskennen und damit Schaden vermieden wird!
Ja, das wollen wir. Aber es wäre toll, wenn die Leute sich erst auskennen würden und sich dann einen Server mieten würden.

So ähnliche wie Chirurgen, die erst nach der Ausbildung eine Herz-OP machen oder Leute erst nach dem Erwerb des Führerscheins alleine im Straßenverkehr teilnehmen dürfen.


Ich habe immerhin begriffen, dass ich mich um die Sicherheit meines Servers kümmern muss und bin deshalb hier - wieviele haben das nicht?!
Zugegeben - stimmt.

Aber: Es fehlt trotzdem der Schritt oder die Erkentniss davor.


Na gut, dann war Dein Ziel hier wohl vor allem, Dich ein bisschen zu profilieren ohne dass irgendetwas nützliches dabei rauskommt. Applaus.
*verbeug*

Wenn ich damit erreicht habe, dass Du darüber nachdenkst, ob Du _wirklich_ einen Server brauchst und ob Du ihn jetzt schon brauchst (anstatt z.B. noch 1/2 Jahr daheim zu üben, wie so ein System funktioniert und was es an Hinterhältigkeiten für Dich bereithält) - dann habe ich mein Ziel erreicht.

Und profilieren - sorry, aber das habe ich nicht nötig.


wie? Es kann doch nicht die Welt sein, ssh, smtp/pop, html und ein phpbb-Forum abzusichern? Sagt mir wie!
Doch, ist es. Und das meiste davon ist in vielen HowTos bereits beschrieben. Auffindbar über Google - oder hier im Forum über die Suchfunktion. Und es ist nicht trivial und in ein paar Sätzen erklärt. Vor allem, wenn das Gegenüber _keine_ Ahnung vom System hat.

Entsprechende Vergleiche zur Veranschaulichung aus dem Straßenverkehr oder sonstige, mehr oder weniger passende Allegorien erspare ich mir.

karx11erx
19.03.08, 13:48
marc,

wo ist denn der Hinweis auf die einfache Anleitung gewesen?

Ein verletzlicher Server wie meiner kostet keine Menschenleben. Ich glaube, ich begebe mich langsam mal auf Dein Niveau zwischenmenschlichen Umgangs herunter: Erst Denken, dann posten.

Dass ich einen V-Server brauche hat nichts damit zu tun ob ich ihn absichern kann, sondern welche Leistungen er bietet. Ist Dir dieser Gedankengang bereits zu hoch, oder kannst Du noch folgen?

marce
19.03.08, 13:50
Du hast ihn sogar selbst gegeben:

http://www.linuxforen.de/forums/showpost.php?p=1630289&postcount=4

karx11erx
19.03.08, 13:56
Schreib nicht ich hätte hier etwas bekommen was ich mir selbst ergooglet habe!

Meine Aussage ist also korrekt: Ich habe bis hier jetzt keine brauchbare Hilfestellung bekommen, sondern habe vor allem herablassende Vorträge von offensichtlichen Besserwissern wie Dir ertragen müssen.

Es ist einfach ein Unterschied, ob ich an einem Server rumspiele, dessen Hardware mir zugänglich ist, wo ich eine Tastatur und einen Monitor physikalisch dranhängen habe und direkt und ohne Netzwerk auf den Server kann, oder ob ich einen Remote-Zugang per SSH habe, der nicht mehr funktioniert, sobald ich einen schwerwiegenden Fehler mache! Ich kann mir keine Experimente leisten, was ich ändere muss sitzen!

Deshalb ein Wort zu Deinen "Howtos": Das sind erfahrungsgemäss entweder Hammer-Dokumente auf (zu) hohem Niveau und mit Sachen die ich nicht brauche (also quatsch hier nichts von "einfach"!), wie das von mir verlinkte, oder z.T. widersprüchliches Stückwerk, bei dessen Anwendung man Gefahr läuft, mehr kaputt zu machen als in Ordnung zu bringen.

marce
19.03.08, 14:07
Zugegeben, dass Du den Link schon selbst gefunden hast - hatte ich überlesen. Essentieller ist aus meiner Sicht allerdings die Tatsache, dass er Dir zu hoch ist.

der in http://www.linuxforen.de/forums/showpost.php?p=1630274&postcount=3 erwähnte Link ist übirgens eines der anerkanntesten Scripte zur IP-Tables-Script-Erstellung.

Mehr findest Du übrigens beim BSI (Sicherheitshandbuch) oder der NSA (Network Security Guide). Der CCC sollte auch nicht unerwähnt bleiben.


Ein verletzlicher Server wie meiner kostet keine Menschenleben.
Z.B. wenn er als DOS-Waffe gegen entsprechende Systeme benutzt wird, an denen Menschenleben hängen?

Von den strafrechtlichen Folgen für Dich bei anderen, "weniger unlustigen" Dingen mal abgesehen. Aber ja, es ist Dein Geld, Deine Freiheit, ...



Ich glaube, ich begebe mich langsam mal auf Dein Niveau zwischenmenschlichen Umgangs herunter: Erst Denken, dann posten.
Ja, das mache ich.


Dass ich einen V-Server brauche hat nichts damit zu tun ob ich ihn absichern kann, sondern welche Leistungen er bietet. Ist Dir dieser Gedankengang bereits zu hoch, oder kannst Du noch folgen?
-> "Dass ich einen Porsche brauche hat nichts damit zu tun, ob ich ihn fahren kann sonder nur, dass er schnell ist"? -> "Nach mir die Sintflut"?


Aber lass' gut sein - ich denke, wir werden uns eh nicht einig werden.

karx11erx
19.03.08, 14:12
Nein, wir werden uns nicht einig, denn mit dümmlichen Vergleichen und arroganten Belehrungen statt brauchbarer Tipps ist mir nun mal nicht geholfen. Mir fällt aber ein, dass ich vielleicht den einen oder anderen Arbeitskollegen fragen könnte, die fachlich nicht unbeschlagen sind und darüber hinaus über ausreichend soziale Intelligenz verfügen (die scheint bei Dir zu kurz gekommen).

Der iptables-Generator in Ehren, aber erklärt wurde damit nichts - vor allem nicht, was nicht in dem generierten Script steht, obwohl ich es erwartet hätte. Du hast offensichtlich vergessen, wie Du selber angefangen hast, und das war sicher nicht auf dem Niveau der in diesem Thread genannten Quellen.

Eins noch: Darf ich raten - Du bist Student?

Newbie314
19.03.08, 14:31
Eins noch: Darf ich raten - Du bist Student?

gute Idee .. heuer dir doch für nen Tag einen Studenten an der das Ding wenigstens einigermaßen abdichtet.. und dir noch ein paar Tipps gibt . Würde ich so machen. Ich bastle aus Interesse seit längerem an Linux Geräten herum, aber einen Rootserver würde ich mir so nicht zutrauen.. da würde ich einen "Chauffeur" anheuern.. um beim Porsche Vergleich zu bleiben.

karx11erx
19.03.08, 15:31
Ich will sowas selber können, und das wird auch kommen, so oder so.

Ich habe nen Arbeitskollegen gefunden, der erstens in diesen Sachen topfit ist und mir zweitens nicht ständig von oben runter kommt wie diverse Trolle in diesem Thread, die fachliche Qualifikation in einem winzigen Teilbereich menschlichen Wissens für einen Freifahrtschein halten, sich mir gegenüber zu benehmen wie Graf Rotz.

Mein Mail Service ist übrigens nachgewiesenermassen keine Spam-Schleuder. Tja, wenn man erst gefragt hätte, hätte man ja keinen Anlass mehr gehabt, mir dummes Geschwätz zu servieren.

Iluminat23
19.03.08, 15:31
hier ein kleiner link (kein plan ob der hier schon erwähnt wurde.

http://www.heise.de/newsticker/Einbrueche-in-Linux-Webserver-am-haeufigsten-Update--/meldung/105190

gruß iluminat23

EDIT:
ok noch eine anmerkung von mir.

ich finde es immer wieder erstaunlich, dass manche leute meinen, dass wenn sie punkt A in ihrem system nach anleitung aus einem forum gemeistert haben, der rechner sicher ist.
[...] denn mit dümmlichen Vergleichen und arroganten Belehrungen statt brauchbarer Tipps ist mir nun mal nicht geholfen.
ist es so unverständlich, dass leute die erfahrung haben versuchen jemanden von etwas abzuhalten einen, vermutlich nicht aussreichend proffessionell gewarteten, server ans netz zu bringen? gründe was alles passieren kann wurden ja genug genannt.

nein, es reicht nicht aus tipps mit auf den weg zu geben, denn keiner hier wird beim tipps erteilen alles bedenken. nach dem man die tipps gegeben hat, hat man doch meist eher das ungute gefühl jemanden in seinem handeln bestätigt zu haben obwohl man dies eigentlich nicht mit seinem gewissen und wissen vereinbaren kann.

so das wars nun wirklich

zyrusthc
19.03.08, 17:32
Ich habe keine Zeit, monate- oder jahrelang zu Hause mit (m)einem Linux-Rechner rumzuspielen bis ich den Kernel-Code rückwärts runterbeten kann. Der Keks ist gevespert, denn ich habe bereits einen V-Server und ich muss ihn einigermassen absichern. Der Link zu root-und-kein-plan ist für mich deshalb wertlos. Ich bin mir ziemlich sicher, dass es ein paar wenige zentrale Massnahmen gibt, um gute Sicherheit zu erreichen, und der erste Schritt sind denke ich ein paar brauchbare iptables-Regeln.

Ich habe deshalb eine klare, eng eingegrenzte Frage gestellt: Ich will wissen, wie iptables-Regeln aussehen müssen, die auf einem (V-) Server nur SSH, Mail, HTML und ein phpbb-Forum laufen lassen. Ich verstehe nicht ganz, wieso es Euch solche Mühe macht, darauf einzugehen.

Wieso ich einen V-Server brauche? Weil ein Webhosting-Paket mir die von mir benötigten Leistungen nicht bietet. Ich werde garantiert nicht anfangen, alle Services auf meinem V-Server in chroot jails zu sperren, denn wahrscheinlich hat er gar nicht die ausreichende Leistung (ich musste schon auf das grösste V-Server-Paket aufstocken, damit Forum und Internet-Auftritt rund laufen). Ich werde auch nicht anfangen, irgendwelche Dienste teilweise oder ganz abzuklemmen, denn wenn ich das tue und einen Fehler mache, muss ich den ganzen Server neu aufsetzen, alle Inhalte wieder hochspielen (1,5 GB), das Forum-Backup wieder einspielen, und das dauert locker einen Tag.

zyrus, Du bist schlicht und einfach unhöflich. Ich will keinen iptables-Konfigurator den sich irgendjemand zusammengebastelt hat. Es gibt ein paar solche Tools wie z.B. firestarter (für mich nicht interessant, da graphisch), die mehr oder weniger "offziellen" Status haben, d.h. sie sind anerkannt und weit verbreitet. Das hatte ich geschrieben. Am liebsten würde ich für so einen Minimalsatz an iptables-Regeln aber ohne Tool auskommen. Ausserdem wäre es interessant gewesen, solche iptables-Regeln erklärt zu bekommen, denn trotz aller Tutorien und Docs die ich gelesen habe komme ich ja nicht weiter. Vielleicht bemühst Du Dich also selber mal um die Vorteile der Fähigkeit zu lesen.

Ich disqualifiziere mich also. Mag sein. Mit der Art Hilfe, die mir hier bislang geboten wurde, wird das bedauerlicherweise wohl so bleiben. Woran liegt Euch? Zu helfen, oder zu demonstrieren dass der Olymp der Linux-Götter auf dem Ihr Euch befindet für Normalsterbliche wie mich weder zu erreichen noch zu haben ist?

Noch eins zum Abschluss. Ich bin schon lange kein Teenager mehr, und ich bin zwar kein Linux, aber IT-Pro. Bitte berücksichtigt das wenn Ihr mit mir redet. Ich würde es sehr zu schätzen wissen, wenn der Tonfall hier sachlich und höflich bliebe. :)
Wenn Du keine Zeit hast, währe für dich ein Managed Server das richtige , dieser dann von geschulten Leuten gewartet wird, aussdem wird dir damit die Verantwortung von den Schultern genommen!

Wenn Du wenigstens ansatzweise mitgedacht hättest, dann würdest Du mehr Hilfe bekommen. Hättest Du zb. den von mir genannten iptables-Generator genommen, und währst dann mit konkreten/gezielten Fragen gekommen was welche Zeile bedeutet und was die Parameter machen dann hätte man was dazu Erläutern können.
Aber hier nur rumschmollen "Ihr seid alle Unhöflich und wollt mir von eurem Linux-Tron nicht weiterhelfen" ist echt arm! Und wenn der Link http://www.root-und-kein-plan.ath.cx für dich völlig wertlos ist, dann ist auch dieses Forum hier wertlos. Denn beides muss man lesen!
Schau dir den Link noch mal an und vielleicht entdeckst Du ein paar weitere Links!

PS: Und ich bin nicht unhöflich, nur sachlich und realistisch!


Greeez Oli

Newbie314
19.03.08, 18:22
Ein lokaler "Testrechner" mit der gleichen Linux Distribution an dem Du Dinge die du am Root-Server ändern willst auf die gleiche Art erst zuhause ausprobierst .. und an dem Du im Notfall wieder direkt rankommst wäre wahrscheinlich auch nicht verkehrt.. ich könnte wetten dass auch der Kollege der dir hilft so etwas zu schätzen weiß...

karx11erx
19.03.08, 22:42
Ich habe den iptables-Generator genommen, was denkst Du denn. ;)

Resultat:

4 Meldungen "FATAL: Could not /lib/modules/2.6.9-023stab046/modules.dep: No such file or directory"

sowie SSH-Zugang zum V-Server blockiert.

Deshalb hätte ich gerne eine Erklärung gehabt, nach der ich weiss was ich tue. Ein Problem mit iptables auf meinen V-Server das mir bei meinen eigenen Experimenten schon aufgefallen war ist, dass nichts mehr geht, wenn man vorneweg POLICY DROP für die chains definiert. Ein weiteres Problem ist, dass ich nicht weiss, wie die Ein- und Ausgabegeräte für das Netzwerk auf meinem V-Server heissen. Google hat mir da nicht weitergeholfen. Wenn ich dem Skript-Generator da was falsches nenne, wird das Skript wohl hinterher nicht die gewünschten Resultate erzielen, nehme ich mal stark an. Wenn ich die Default Policy DROP weglasse, bekomme ich "memory allocation" Fehler, das liegt wahrscheinlich an den Einschränkungen des V-Servers: Die iptables sind ruckzuck voll. Dazu noch folgende Fehlermeldungen:

./iptables-script: line 157: /proc/sys/net/ipv4/tcp_syncookies: Operation not permitted
./iptables-script: line 178: /proc/sys/net/ipv4/icmp_ignore_bogus_error_responses: Operation not permitted
./iptables-script: line 181: /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts: Operation not permitted
./iptables-script: line 184: /proc/sys/net/ipv4/icmp_ratelimit: Operation not permitted
./iptables-script: line 187: /proc/sys/net/ipv4/ipfrag_high_thresh: Operation not permitted
./iptables-script: line 188: /proc/sys/net/ipv4/ipfrag_low_thresh: Operation not permitted
./iptables-script: line 189: /proc/sys/net/ipv4/ipfrag_time: Operation not permitted
./iptables-script: line 192: /proc/sys/net/ipv4/tcp_fin_timeout: Operation not permitted
./iptables-script: line 195: /proc/sys/net/ipv4/tcp_retries1: Operation not permitted
./iptables-script: line 198: /proc/sys/net/ipv4/tcp_retries2: Operation not permitted

Ich habe nebenbei erwähnt auch versucht, den root-Zugang per SSH abzuklemmen, aber beim Login mit einem anderen User erhalte ich die Fehlermeldung, es würde kein sftp-Dienst laufen. Ein vsftpd-Dienst läuft aber, ich nehme an, das ist dasselbe, und als root komme ich rein. Muss ich nun für jeden user, der SSH-Zugang haben soll, einen vsftpd-Dienst unter dem Account dieses Users starten?

Ich bin übrigens kein Krösus, der hier ne Menge Geld mit nem V-Server verdienen will, sondern ich buttere ohne Ende Geld und vor allem Zeit in ein Hobby-Projekt, von dem eigentlich nur andere was haben (aufgebrezeltes altes 3D-Spiel). Deshalb kann ich mir auch nicht mal nebenbei nen "Studenten leisten" der das für mich macht. Will ich auch nicht - ich will selber was lernen.

Managed V-Server werden bei meinem Provider nicht angeboten (webspace-verkauf.de).

"wer lesen kann ist klar im Vorteil" ist ziemlich unhöflich, besonders wenn man sich selbst nicht dran hält. ;) Der Link ist deshalb wertlos, weil es viel zu viel Zeit braucht, mich durch die dort empfohlene Lektüre zu ackern. Ich muss meinen Server möglichst schnell einigermassen dicht kriegen und lerne dabei gerne auch was dazu. Für unkonstruktive "Du hättest besser"-Prinzipienreiterei ist es aber zu spät, denn ich habe mir den V-Server angelacht und ich brauche ihn auch.

Ich habe einen Linux-Rechner mit SuSE 10.1 zuhause, und ich traue mich nicht mal, auf 10.3 zu updaten, solange ich nicht weiss, ob ich hinterher alles neu installieren kann, was momentan gerade einigermassen läuft (z.B. die Treiber für meine etwas ältere Netzwerkkarte, oder die 32-64-Bit-Plugin-Brücke für Firefox). Ich brauche die Maschine, und meine Frau auch. Alles wegzubügeln und Debian draufzupacken ist keine Option. Ich weiss, SuSE ist nicht unbedingt die stabilste Distro, aber wie heisst es so schön: If it ain't broke, ain't fix it.

Meine Beziehung zu Linux ist eine Hassliebe: Momentan ist es eine Qual, aber ich denke, sobald ich einigermassen durchblicke, muss es toll sein ... :rolleyes:

/home/franz
19.03.08, 23:49
Auf dem vServer wird iptables nicht funktionieren.
Schalte alle nicht benoetigten Dienste ab.
SSH auf einen anderen Port, root-Login abschalten, nur Zertifikatsauthenthifikation erlauben.
Mailserver regelmaesig auf Open Relay testen.
Mailinglisten der Dienste und verwendeter Software(z.B. Forum) mindestens taeglich lesen.
Sicherheitsupdates so schnell wie moeglich einspielen, wenn moeglich davor auf einem Testsystem die Produktivitaet testen(inkompatibiliaet...).
Andere benoetigte Dienste auf das noetigste trimmen, sowie moegliche Sicherheitsvorkehrungen nutzen.

Weiteres:
rkhunter
Logfiles studieren, Auffaelligkeiten nachgehen


Fuer den Anfang duerfte es reichen, es fehlt jedoch sicher noch einiges.

karx11erx
20.03.08, 01:37
Hallo,

danke mal.

Open Relay habe ich heute getestet, scheint alles dicht.

root-Login abschalten kann ich momentan nicht - SSH-Login über einen anderen User wird wegen angeblich fehlendem sftp abgewiesen. Habe deshalb den Support des ISP kontaktiert.

Nicht benötigte Dienste - mangels Ahnung fällt mir ausser FTP nichts ein ...

Wieso sollte iptables auf einem V-Server (prinzipiell) nicht funktionieren?

Jinto
20.03.08, 04:05
> Wieso sollte iptables auf einem V-Server (prinzipiell) nicht funktionieren?

Ein V-Server hat bestimmte Beschränkungen, aber das wäre doch mal eine Frage gewesen die du dem Support hättest stellen könntest, nichtwahr?

vsftpd hat nichts mit sftp zu tun.

Überhaupt ist dein Fixierung auf iptables schrecklich, du wurdest bereits mehrmals deutlichst (<- deutlicher als deutlich ;) ) darauf hingewiesen, dass du das nicht brauchst. Zumindest deutet keins deiner bisherigen Postings bisher darauf hin das es in irgendeiner Art und Weise sinnvoll für dich wäre.

PS: Interpretationen von Fehlermeldungen will ich nicht lesen, entweder copy&paste oder 1:1 abschreiben.

karx11erx
20.03.08, 10:50
Ich habe nicht behauptet dass iptables auf einem V-Server nicht funktionieren, das war /home/franz. Allerdings bekommt man sehr schnell memory allocation errors und über vps-admin Meldungen "iptables kritisch". Offensichtlich werden auf V-Servern nur sehr kleine iptables zugelassen.

Ich bin nicht auf iptables fixiert (sonst würde ich mich z.B. nicht mit dem root-Login beschäftigen), aber das wegzulassen halte ich auch nicht für sinnvoll.

Was den root-login angeht: Ich habe auf meinem V-Server ein paar normale User für die Web-Auftritte. Mit denen kann ich mich per SSH nicht einloggen - weder mit PuTTY noch WinSCP. PuTTY macht nach Eingabe des Logins kommentarlos zu. WinSCP sagt: "Kann das SFTP nicht initialisieren. Läuft auf dem entfernten Rechner ein SFTP-Server-Programm?"

Was soll der Spruch mit den Interpretationen von Fehlermeldungen?

Edit:

Diese Web-User haben keinen User Account auf meinem V-Server, sondern sind nur ein Verwaltungskonstrukt für Confixx. In /home gibt es jedenfalls keine User-Unterverzeichnisse, habe ich gerade festgestellt. Habe einen User angelegt, damit ist das Thema root-Login erledigt.

Was wird hier von webmin gehalten?

zyrusthc
20.03.08, 12:24
Was den root-login angeht: Ich habe auf meinem V-Server ein paar normale User für die Web-Auftritte. Mit denen kann ich mich per SSH nicht einloggen - weder mit PuTTY noch WinSCP. PuTTY macht nach Eingabe des Logins kommentarlos zu.
Server Logs lesen und Fehlermeldungen nachgehen!

Was soll der Spruch mit den Interpretationen von Fehlermeldungen?
Das ist kein Spruch, sondern ein Hinweis darauf das wir keine Lust auf Rätzelspiele haben.
Da viele Benutzer , meist "unerfahrende" Fehlermeldungen falsch interpretieren!
Daher immer Fehlermeldungen und Logs im genauen Wortlaut posten!

Was wird hier von webmin gehalten?
Hat auf einen Root, bzw. vServer nix zu suchen!

PS: Hier noch ein Link http://www.pro-linux.de/work/rootserver/teil2.html , der dir hoffentlich nicht zu kompliziert ist.


Greeez Oli

Jinto
20.03.08, 12:48
Ich bin nicht auf iptables fixiert [...], aber das wegzulassen halte ich auch nicht für sinnvoll. YMMD

Was wird hier von webmin gehalten?Confixx & Webmin zugleich und wenig bis keine Ahnung => vergiss es

Was soll der Spruch mit den Interpretationen von Fehlermeldungen?Wie man Fragen richtig stellt (http://www.lugbz.org/documents/smart-questions_de.html)

karx11erx
20.03.08, 13:59
Jinto,

es hätte gereicht, einfach zu sagen dass webmin keinen Sinn macht, wenn man schon Confixx einsetzt. Andererseits kann webmin scheinbar deutlich mehr, wieso also nicht. Mit Deiner Haltung verweigerst Du mir ja selbst die Möglichkeit, was zu lernen.

Ich wiederhole es nochmal: Es bringt nichts ausser böses Blut, mir ständig von oben runter zu kommen. Wenn Ihr mir helfen wollt (was ich zu schätzen weiss, wozu aber keiner gezwungen ist), dann beantwortet doch einfach meine Fragen oder stellt Gegenfragen wenn was unklar ist. Aber lasst die ständigen indirekten Beleidigungen. Ist das so schwer?

zyrus,

der "Spruch" bringt mir bloss nichts, wenn ich nicht weiss was gemeint ist. ;) Das Problem ist aber gelöst, also was solls.

"Rätsel" mit "s". ;)

Danke für den Link.

Eine allgemeine Frage: Wieso sind iptables-Regeln, wie mir hier wiederholt nahegelegt wurde, sinnlos (unter der Annahme, dass das OS ansonsten fachgerecht gehärtet wurde)?

Ich zitiere dazu mal Mario Schröder von pro-linux:

4. Server absichern

4.1. Firewall

Vorweg sollte gesagt werden:

Es wird nie und nimmer eine hundertprozentige Sicherheit geben. Dennoch können Sie es einen Angreifer so schwierig wie möglich machen, Ihren Server auszuhebeln. In diesem Kapitel möchte ich Ihnen zeigen, wie Sie Ihren Server mit einer Firewall absichern können, was es hierbei zu beachten gibt und vor allem, wo es den einen oder anderen Trick gibt.

4.1.1 Firewall in der Praxis

In der Praxis ist ein Server, der ohne Firewall betrieben wird, ein gefundener Spielplatz für üble Zeitgenossen und Skriptkiddies.

Der Betrieb einer Firewall ist also unumgänglich. Es ist nur eine Frage der Zeit, bis Ihr Server von einem Portscanner überprüft wird und dann durch einen Angreifer als »offen« erkannt wird.

Es gibt sicher zahlreiche Bücher über Firewalls und Serversicherheit. An dieser Stelle will ich Ihnen zeigen, wie Sie Ihren Server sicher machen können. Außerdem erhalten Sie einen Einblick in den Sinn und Zweck einer Firewall sowie deren Konfigurationsphasen.

4.1.2 Warum sollte man eine Firewall überhaupt einsetzen?

Auch wenn auf der Webseite einiger Provider erklärt wird, dass auf einem Rootserver eine Firewall nicht notwendig ist, ist es meines Erachtens sehr sinnvoll, seinen Rechner nur die Ports oder Dienste zur Verfügung stellen zu lassen, die Sie wirklich benötigen.
Wer hat nun recht - Ihr oder Mario?