Ich habe auf einer Website gelsen, dass man nicht alle Services, die unter Linux von Anfang an laufen, an lassen sollte und dass Anfänger (so wie ich :D) oft irgendwas starten und dann nicht mehr beenden -> Sicherheitsprobleme

Welche Services sollten auf meinem Webserver (SuSE Linux 7.3, Apache 1.3.20, PHP 4.0.6) laufen und wie kann ich von der Console aus anzeigen lassen (Server hat kein Monitor und keine Tastatur -> muss immer remote einloggen), was gerade läuft?

Hi,

was läuft siehst du mit: "ps ax" bzw "ps auxwww"
Welche NetzwerkPorts offen sind siehst du mit "netstat -an"

Ciao, Bernie

ps ax:

PID TTY STAT TIME COMMAND
1 ? S 0:07 init [3]
2 ? SW 0:00 [keventd]
3 ? SW 0:00 [kapm-idled]
4 ? SWN 0:00 [ksoftirqd_CPU0]
5 ? SW 0:00 [kswapd]
6 ? SW 0:00
7 ? SW 0:00 [kupdated]
8 ? SW< 0:00 [mdrecoveryd]
99 ? S 0:00 proftpd (accepting connections)
101 ? S 0:43 /usr/bin/perl -w /usr/sbin/ddclient start
167 ? SW 0:00 [eth1]
165 ? SW 0:00 [eth0]
401 ? S 0:00 /usr/sbin/sshd
412 ? S 0:00 /sbin/syslogd
415 ? S 0:00 /sbin/klogd -c 1
439 ? S 0:00 /sbin/portmap
492 ? S 0:00 /usr/sbin/atd
515 ? S 0:00 /usr/sbin/in.identd -e
516 ? S 0:00 /usr/sbin/in.identd -e
517 ? S 0:00 /usr/sbin/in.identd -e
518 ? S 0:00 /usr/sbin/in.identd -e
582 ? S 0:00 lpd Waiting
797 ? S 0:00 /usr/sbin/cron
832 ? S 0:00 /usr/sbin/lisa -c /etc/lisarc
844 ? S 0:00 /usr/sbin/nscd
849 ? S 0:00 /usr/sbin/nscd
850 ? S 0:00 /usr/sbin/nscd
851 ? S 0:00 /usr/sbin/nscd
852 ? S 0:00 /usr/sbin/nscd
854 ? S 0:00 /usr/sbin/nscd
855 ? S 0:00 /usr/sbin/nscd
979 tty1 S 0:00 /sbin/mingetty tty1
980 tty2 S 0:00 /sbin/mingetty tty2
981 tty3 S 0:00 /sbin/mingetty tty3
982 tty4 S 0:00 /sbin/mingetty tty4
983 tty5 S 0:00 /sbin/mingetty tty5
984 tty6 S 0:00 /sbin/mingetty tty6
985 ? S 0:03 /usr/sbin/httpd -f /etc/httpd/httpd.conf
986 ? S 0:00 /usr/sbin/httpd -f /etc/httpd/httpd.conf
1469 ? S 0:00 /usr/sbin/httpd -f /etc/httpd/httpd.conf
1520 ? S 0:00 /usr/sbin/sshd
1521 pts/0 S 0:00 -bash
1534 pts/0 R 0:00 ps ax

[b]ps auxwww:

USER PID %CPU %MEM VSZ RSS TTY STAT START TIME COMMAND
root 1 0.0 0.3 448 208 ? S 14:03 0:07 init [3]
root 2 0.0 0.0 0 0 ? SW 14:03 0:00 [keventd]
root 3 0.0 0.0 0 0 ? SW 14:03 0:00 [kapm-idled]
root 4 0.0 0.0 0 0 ? RWN 14:03 0:00 [ksoftirqd_CPU0]
root 5 0.0 0.0 0 0 ? SW 14:03 0:00 [kswapd]
root 6 0.0 0.0 0 0 ? SW 14:03 0:00 [bdflush]
root 7 0.0 0.0 0 0 ? SW 14:03 0:00 [kupdated]
root 8 0.0 0.0 0 0 ? SW< 14:03 0:00 [mdrecoveryd]
nobody 99 0.0 2.3 3868 1476 ? S 14:05 0:00 proftpd (accepting connections)
root 101 0.2 6.0 4824 3736 ? S 14:05 0:43 /usr/bin/perl -w /usr/sbin/ddclient start
root 167 0.0 0.0 0 0 ? SW 14:05 0:00 [eth1]
root 165 0.0 0.0 0 0 ? SW 14:05 0:00 [eth0]
root 401 0.0 1.6 2308 1048 ? S 14:05 0:00 /usr/sbin/sshd
root 412 0.0 1.0 1396 632 ? S 14:05 0:00 /sbin/syslogd
root 415 0.0 1.7 1900 1112 ? S 14:05 0:00 /sbin/klogd -c 1
bin 439 0.0 0.6 1332 428 ? S 14:05 0:00 /sbin/portmap
at 492 0.0 0.9 1444 600 ? S 14:05 0:00 /usr/sbin/atd
nobody 515 0.0 1.2 5680 748 ? S 14:05 0:00 /usr/sbin/in.identd -e
nobody 516 0.0 1.2 5680 748 ? S 14:05 0:00 /usr/sbin/in.identd -e
nobody 517 0.0 1.2 5680 748 ? S 14:05 0:00 /usr/sbin/in.identd -e
nobody 518 0.0 1.2 5680 748 ? S 14:05 0:00 /usr/sbin/in.identd -e
lp 582 0.0 1.3 1944 832 ? S 14:05 0:00 lpd Waiting
root 797 0.0 1.0 1464 664 ? S 14:05 0:00 /usr/sbin/cron
root 832 0.0 1.5 2000 932 ? S 14:05 0:00 /usr/sbin/lisa -c /etc/lisarc
root 844 0.0 1.2 11788 776 ? S 14:05 0:00 /usr/sbin/nscd
root 849 0.0 1.2 11788 776 ? S 14:05 0:00 /usr/sbin/nscd
root 850 0.0 1.2 11788 776 ? S 14:05 0:00 /usr/sbin/nscd
root 851 0.0 1.2 11788 776 ? S 14:05 0:00 /usr/sbin/nscd
root 852 0.0 1.2 11788 776 ? S 14:05 0:00 /usr/sbin/nscd
root 854 0.0 1.2 11788 776 ? S 14:05 0:00 /usr/sbin/nscd
root 855 0.0 1.2 11788 776 ? S 14:05 0:00 /usr/sbin/nscd
root 979 0.0 0.8 1296 504 tty1 S 14:06 0:00 /sbin/mingetty tty1
root 980 0.0 0.8 1296 504 tty2 S 14:06 0:00 /sbin/mingetty tty2
root 981 0.0 0.8 1296 504 tty3 S 14:06 0:00 /sbin/mingetty tty3
root 982 0.0 0.8 1296 504 tty4 S 14:06 0:00 /sbin/mingetty tty4
root 983 0.0 0.8 1296 504 tty5 S 14:06 0:00 /sbin/mingetty tty5
root 984 0.0 0.8 1296 504 tty6 S 14:06 0:00 /sbin/mingetty tty6
root 985 0.0 9.4 47356 5860 ? S 14:06 0:03 /usr/sbin/httpd -f /etc/httpd/httpd.conf
wwwrun 986 0.0 9.7 47464 6032 ? S 14:06 0:00 /usr/sbin/httpd -f /etc/httpd/httpd.conf
wwwrun 1469 0.0 9.6 47460 6012 ? S 18:27 0:00 /usr/sbin/httpd -f /etc/httpd/httpd.conf
root 1520 0.1 2.9 2972 1816 ? S 18:55 0:00 /usr/sbin/sshd
root 1521 0.2 2.4 2760 1536 pts/0 S 18:55 0:00 -bash
root 1535 0.0 2.4 2484 1508 pts/0 R 18:57 0:00 ps auxwww

Habe noch nicht so die Ahnung, was davon ich abschalten sollte. Kann mir da jemand bei helfen?

die Netzwerkports kann ich wohl vernachlässigen, da der Server hinter einem Router läuft.

Hi,

Ich würde mal sagen, den identd und den nscd brauchst du nicht, der Rest schaut gut aus.

Ciao, Bernie

Wozu sind denn identd und nscd gut? Ist vielleicht besser, zu wissen, was ich da abschalte ;)
Mit welchem Befehl kann ich die überhaupt abschalten?

nscd:
A daemon which handles passwd, group and host lookups for running programs and caches the results for the next query. You should install this package only if you use slow Services like LDAP, NIS or NIS+

identd:
identd is a server which implements the TCP/IP proposed standard IDENT user identification protocol as specified in the RFC 1413 document. identd operates by looking up specific TCP/IP connections and returning the user name of the process owning the connection.

Ciao, Bernie

@BLUESCREEN3D
Wenn ich mir die Fragestellung anschaue: Gehe ich recht in der Annahme, dass es sich um ein System ohne Patche handelt => du brauchst keine Dienste abschalten. *SCNR*

PS:

>die Netzwerkports kann ich wohl vernachlässigen, da der Server hinter einem Router läuft.
Wie kommst du zu der irrigen Annahme?

Hi,

Original geschrieben von Jinto
>die Netzwerkports kann ich wohl vernachlässigen, da der Server hinter einem Router läuft.
Wie kommst du zu der irrigen Annahme?
Also ich hab das so gelese, dass er gemasqueraded ist, dann würds schon stimmen.

Das mit den Patches versteh ich nicht ganz.

Ciao, Bernie

Wenn ich mir die Fragestellung anschaue: Gehe ich recht in der Annahme, dass es sich um ein System ohne Patche handelt
ich benutze noch nicht so lange Linux und deshalb habe ich noch keine Patche installiert - was hat das damit eigentlich zu tun? :confused:


du brauchst keine Dienste abschalten
da der Rechner, den ich momentan als Server benutze, nicht gerade der schnellste ist, und ich die Dienste, die bernie_x genannt hat, anscheinend nicht brauche, ist es doch sinnvoll sie abzuschalten :D


Wie kommst du zu der irrigen Annahme?
Es ist ein Hardwarerouter (bevor es wieder Missverständnisse gibt: So ein kleiner Kasten und kein PC) und ich habe nur den TCP- und den FTP-Port geöffnet, also müsste das doch ok sein :cool:


Also ich hab das so gelese, dass er gemasqueraded ist, dann würds schon stimmen
was das? :confused:

hi


Original geschrieben von BLUESCREEN3D
[B]ich benutze noch nicht so lange Linux und deshalb habe ich noch keine Patche installiert - was hat das damit eigentlich zu tun? :confused:

mit einem patch werden gefundene sicherheitslücken geschloßen. wenn ein dienst *uptodate* ist, ist die wahrscheinlickeit eines hacks also geringer. deshalb sollte man seine laufenden dienste schon auf dem neuesten stand halten.



da der Rechner, den ich momentan als Server benutze, nicht gerade der schnellste ist, und ich die Dienste, die bernie_x genannt hat, anscheinend nicht brauche, ist es doch sinnvoll sie abzuschalten :D

sinnvoll ist es auf jedenfall nicht benötigte dienste abzuschalten, nicht nur wegen der geschwindigkeit. atd kannst du eigentlich auch abschalten, ist sowas ähnliches wie cron. wenn du deine server (ftp,apache) standalone laufen läßt, sie also nicht über den inetd starten läßt, kannst du den auch abschalten. den portmapper dann gleich mit, obwohl ich mir da jetzt nicht 100% sicher bin.


gemasqueraded => der entsprechende port wird von deinem router an den server weitergeleitet.


hier noch ein link => http://www.linux-user.de/ausgabe/2001/03/049-sicher/sicherheit1.html


Gruß HangLoose

@bernie_x
>Das mit den Patches versteh ich nicht ganz.
Wir reden hier doch im Sicherheitsforum und in Bezug zur Frage über Sicherheit. Bei den von BLEUSCREEN3D genannten Diensten/Versionen, brauchen wir eigentlich gar nicht weiterreden. Ich sag da nur Apache 1.3.20, etc.

Von Masquerading hab ich auch nichts gelesen.

@BLUESCREEN3D
tcp ist kein Port.
Zudem weiss ich nicht wie du deine Ports "geöffnet" hast (forward oder vielleicht doch masquerade)? Wie auch immer: bitte mach ein Systemupdate, du bist eine potentielle Wurmschleuder :(

@HangLoose: Server läuft standalone

@Jinto: Mit TCP meinte ich Port 80 - wie heisst der denn? web? http?


Zudem weiss ich nicht wie du deine Ports "geöffnet" hast (forward oder vielleicht doch masquerade)?
Keine Ahnung - habe im Webinterface vom Router unter "Virtual Server" die Ports 21 und 80 für die IP vom Server geöffnet


Wie auch immer: bitte mach ein Systemupdate
Was genau soll ich updaten? Habe da noch nicht so die Ahnung, weil ich Linux noch nicht so lange benutze...


du bist eine potentielle Wurmschleuder
Mal ne ganz dumme Frage: Das klingt, so als würde ich das garnicht merken, wenn eine Wurm auf meinem Server ist?

Original geschrieben von BLUESCREEN3D

@Jinto: Mit TCP meinte ich Port 80 - wie heisst der denn? web? http?
Was genau soll ich updaten? Habe da noch nicht so die Ahnung, weil ich Linux noch nicht so lange benutze...
Mal ne ganz dumme Frage: Das klingt, so als würde ich das garnicht merken, wenn eine Wurm auf meinem Server ist?

Es gibt halt nicht nur Port 80 TCP... TCP heisst Transmission Control Protocol und ist kein Port.
Wenn Du wissen willst, welcher Port(unter 1024) zu welchem Service gehört schau einfach mal in die /etc/services rein.

Updaten solltest Du in JEDEM Fall, die Services, die von aussen erreichbar sind.
Das heisst in Deinem Falle den Apache und PHP updaten und zwar mit den aktuellen Versionen.
Apache= 1.3.26, 2.x ist noch nicht für den produktiven Betrieb zu empfehlen und die aktuelle PHP Version ist 4.2.3

Merken, dass Du verwurmt bist, geschieht meistens zu Spät...

Mit welchem Befehl genau beende ich denn nun Dienste so, dass sie auch nach dem Neustart nicht mehr laufen?

Original geschrieben von BLUESCREEN3D
Mit welchem Befehl genau beende ich denn nun Dienste so, dass sie auch nach dem Neustart nicht mehr laufen?

In Deinem Fall würde ich Port 21 und 80 auf der Firewall wieder dicht machen, Apache und PHP updaten und dann die Ports wieder aufmachen.

Ach, ja eine "Deny from any any service to internal network" Regel, sollte es in jedem Fall geben.
Was ist denn das für eine Box?

In Deinem Fall würde ich Port 21 und 80 auf der Firewall wieder dicht machen, Apache und PHP updaten und dann die Ports wieder aufmachen.
Was hat das mit meiner Frage, die du zitiert hast zu tun?


Ach, ja eine "Deny from any any service to internal network" Regel, sollte es in jedem Fall geben.
Wo soll es so eine Regel geben?


Was ist denn das für eine Box?
:confused: Was für eine Box? :confused:

Ich dachte, dass Du nicht mehr "Wurmschleuder" spielen wolltest ;)

Wenn Du bei SuSE die grafische Oberfläche verwendest, gibt es sicherlich soetwas wie einen Run-Level Editor, wo Du die einzelnen Services stoppen/starten und auch enablen/disablen kannst.

Eine sogenannte "Clean-Up" rule ist dafür da, dass nachdem keine Regel der Firewall gezogen hat das eingehende Paket verworfen wird. Diese Regel sollte eingentlich bei JEDER Firewall drin sein.

Mit Box meinte ich Deine Hardwarefirewall/Router

Ich benutze die grafische Oberfläche momentan nicht - kann ich das auch von der Console aus machen?

hi

ich kenne 2 möglichkeiten, um die dienste dauerhaft abzuschalten.

1. wie schon erwähnt yast => runlevel-editor, kannst du auch in der konsole aufrufen. in yast selbst *bewegst* du dich dann mit der tab-taste vorwärts.

2. du suchst dir in /etc/init.d die service/server raus, die nicht mehr gestartet werden sollen.

bsp: portmapper => cp /etc/init.d/portmap /etc/init.d/portmap.nein

durch die endung nein siehst du sofort, was nicht geladen werden soll.


ps: die patche kannst du bequem mit yast => online update einspielen


Gruß HangLoose

SuSE7.3 hat AFAIK noch keinen runlevel Editot (wenn ich mich irre, bitte schreien). Aus der Kommandozeile yast aufrufen und auf Administration gehen. Dort müsste ganz unten rc.config o.ä. stehen. In dieser Datei die nicht gewünschten Dienste auf no setzen.

Wenn du schon am updaten bist: mod_ssl nicht vergessen!

Mit Box meinte er deinen Hardware Router.

Beenden von Diensten rcapache stop beendet z. B. den Apache. Für jeden Dienst gibt es ein extra Skript wie das im Zweifel heisst, sollte dir das Handbuch deiner Distribution verraten (oder zumindest wo die stehen).

HTH & Viel Glück

Der Router ist irgendein billigeres smc-barricade-ähnliches Modell (jedenfalls funzt der ddclient von dyndns mit der smc-barricade-einstellung)

ich kenn mich mit suse nicht so gut aus, aber bluescreen3d braucht doch lediglich die entsprechenden eintraege in /etc/rc3.d/ zu loeschen (unter suse ist das AFAIK /etc/init.d/rc3.d/). wozu soll er fuer solche kleinigkeiten irgendwelche rc.config's bearbeiten oder runlevel-editoren benutzen???? *staun*



warum erklaert ihr bluescreen3d eigentlich nicht gleich, wie und warum er was machen soll? ich meine, er hat doch gleich im ersten Posting geschrieben, dass er ein "anfaenger" ist.

freaks.... *kopfschuettel*
;-)


ri

Genau, red.iceman, so eine einfache Lösung habe ich gesucht! :)

In /etc/init.d/rc3.d/ sind Links zu allem möglichen - afaik auch zu Programmen, die ich garnicht benutze - kann das sein, oder wird alles gestartet, wozu Links in dem Verzeichnis sind?

Irgendwie gibt es bei den meisten Diensten zwei Links, z.B. bei identd: K14identd und S11identd - soll ich beide löschen und warum ist da nicht nur einer?

Soll ich außer identd, nscd und atd auch noch cron und portmapper löschen?

Original geschrieben von BLUESCREEN3D
Genau, red.iceman, so eine einfache Lösung habe ich gesucht! :)

In /etc/init.d/rc3.d/ sind Links zu allem möglichen - afaik auch zu Programmen, die ich garnicht benutze - kann das sein?

wusste nicht dass es Anfänger gibt sie SuSE ohne Yast2 verwenden :)

Da stehen viele Services, die von Linux selbst verwendet werden. Die meinsten werden auch benötigt. Rumspielen würde ich an Deiner Stelle (noch) nicht, da Du Dein System dazu bringen kannst nicht mehr vernünftig zu laufen.

@red.iceman
Das ist IMHO ein dämlicher Tipp von Dir. Du erklärst ihm dann sicherlich wieder wie er was und warum wieder hinbiegt wenns schiefläuft, oder? Die Dienste dier bereits früher gestartet wurden, sind damit auch noch nicht berüksichtigt.
Suse bis einschl. 7.3 verwendet nunmal ein Startkonzept, welches sich auf die rc.config stützt. Warum willst du es auch unbedingt "kaputtkonfigurieren"?

Zudem gibts bei SuSE ein Handbuch, da stehen die von dir gewünschten Erklärungen auch drin.

@BLUESCREEN3D
Du solltest dich entweder an Yast halten, oder die /etc/rc.config editieren (nach dem manuellen editieren SuSEconfig aufrufen).

moin moin


ich kenn mich mit suse nicht so gut aus, aber bluescreen3d braucht doch lediglich die entsprechenden eintraege in /etc/rc3.d/ zu loeschen (unter suse ist das AFAIK /etc/init.d/rc3.d/). wozu soll er fuer solche kleinigkeiten irgendwelche rc.config's bearbeiten oder runlevel-editoren benutzen???? *staun*

löschen kann man sie natürlich auch, gefahrloser dürfte es aber sein, wenn du sie umbenennst. dann wird der entsprechende service auch nicht gestartet und wenn du den service später doch mal benötigst, sind zumindest die startscripte noch vorhanden. einfach wieder die endung .nein entfernen und der service wird beim nächsten start wieder gestartet.
der runlevel-editor ist übrigens mehr als easy ;). aber anscheinend gibt es den bei der suse 7.3 noch nicht.


In /etc/init.d/rc3.d/ sind Links zu allem möglichen - afaik auch zu Programmen, die ich garnicht benutze - kann das sein, oder wird alles gestartet, wozu Links in dem Verzeichnis sind?

alles was hier drin steht, wird auch gestartet.


Irgendwie gibt es bei den meisten Diensten zwei Links, z.B. bei identd: K14identd und S11identd - soll ich beide löschen und warum ist da nicht nur einer?

K => killscript
S => startscript

die nummer hinter s oder k gibt die start/kill reihenfolge an. also zuerst wird S1 gestartet usw.
das ist zum beispiel wichtig, wenn ein prozeß von einem anderen *abhängig* ist.
bsp => ich habe bei mir snort laufen, die ausgaben von snort werden in eine mysql-datenbank geloggt. deshalb muß z.b. mysql vor snort gestartet werden.



Soll ich außer identd, nscd und atd auch noch cron und portmapper löschen?

cron würde ich laufen lassen. über cron werden bei suse z.b. die logfiles geleert und comprimiert, zumindest ist das bei der 8.0 so.
portmapper hab ich oben schonmal erwähnt, wenn dein ftp-server und der apache nicht über den inet.d gestartet werden, kann der imho abgeschaltet werden.


Gruß HangLoose

bei suse 7.3 gibt es keinen runlevel-editor

Ich habe jetzt doch die rc.config geändert und identd, nscd, atd und portmap abgeschaltet (muss man auch erstmal drauf kommen, dass man beim suchen alles groß schreiben muss...)

oder im vi das Kommando


:set ic

verwenden :)

ic steht für ignore case

naja, dass man die links in den /etc/rc*.d nicht loescht, sondern erstmal in ein anderes verzeichnis verschiebt, ist doch klar, oder??? das sollte man ohnehin immer machen, wenn man an irgendwelchen konfigurationsdateien rumspielt und sich seiner sache nicht sicher ist.


@jinto: und zweitens nahm ich einfach mal an, dass bluescreen3d etwas lernen will und das tut er imho nicht, wenn er irgendwelche rc.config-dateien editiert oder einen runlevel-editor benutzt.
wie gesagt kenn ich mich bei suse nicht so aus, aber muss er nicht, wenn er die rc.config editiert, suseconfig laufen lassen?? ist rc.config nicht nur eine konfigurationsdatei fuer das susekonfigurationsprogramm, oder hab ich da was falsch in erinnerung...


ri