hi leute,

bin auf der suche nach tipps und erfahrungen für mein vorhaben.
folgendes ist geplant: ein suse8.0 server mit einer datenbank (mysql) samt webserver apache (und php4), worauf man in erster linie vom internen lan zugreifen soll. ok alles kein problem. weiterhin sitzt in der suse eine isdn und modemkarte worüber man sich von außen auf den server einwählen können soll und um mit der datenbank zu arbeiten. bis dahin sehe ich noch keine großen gefahren, wie unbefugte sich zugang zur datenbank verschaffen können.
doch jetzt wäre es ja auch ganz praktisch, wenn die eigenbaute isdn-karte gleichzeit für das lan als portal zum internet genutzt werden könnte (dial on deman) ...
jedoch kommen mir hier gewissen sicherheitsbedenken. in wieweit würdet ihr das risiko abschätzen, dass sich jemand in der zeit wo die isdn-karte im internet ist, unbefugt zugang auf den server (mit der datenbank) verschaft und eventuell schaden anrichtet ...
ok ok, eine firewall ist klar , doch kommen selbst da ja schon ein paar offene ports zustande ... http, pop3 ... (eventuell) ...
sicherlich ist es eine nicht zu empfehlende art und weise , seinen firewallrechner auf mit wichtigen datenbanken zu bepflastern ...

wie denkt ihr über das problem der sicherheit in diesem fall? oder was würdest ihr mir raten (im moment kann ich keinen anderen rechner als router noch davor setzen) ..???????

bin für alle tipps und meinung sehr dankbar

tschau

Hi

Ich würde erstens alles kritischen Dienste in einer chroot-Umgebung lauffen lassen. Desweiteren sendmail killen und postfix verwenden. Dann ist eine gute Firewall wichtig und eine saubere Apache Konfiguration. Achte darauf, dass du sämliche Patches eingespielt hast. Mehrer Partitionen wären nicht schlecht. Für die Datenbank würde eine eigene Partition vorsehen. Alle anderen Partition nur read only mounten. Die Logfiles werden an einen anderen Rechner geschickt (z.B. Windowsrechner.)
Dann könntest du noch snort oder ein anderes IDS drauf tun. Nätürlich musst du SuSE ohne X und nur mit der minimum Instalation verwenden. Mit Tripware könntest du Signaturen des Systems erstellen, um eventuelle Trojaner und Rootkits aufzuspüren.;) Auf der SuSE Securityseite von Marc Heuse gibt es das HardenSuSE-Script. Dies sicher dein SuSE System ab ( Dienste deaktivieren, sichere SSHD Konfig.,...)

MFG: Linuxexplorer

mmh, danke erstmal für deine meinung ... andere trauen sich scheinbar nicht ;)
erste frage: warum postfix und nicht sendmail??? habe in einem anderen beitrag hier gelesen, dass die ehemaligen sicherheitslücken beseitigt wurden, aber es auf eine saubere konfiguration ankäme. das mit den log-files wer ich wohl eher auf eine seperate partition machen, da es sonst nur windows client von "computerdummen" leuten gibt und die sicher eher alles löschen ;)
weiter fehlt mir gegenwärtig irgendwie der begriff IDS nicht ein??? und was ist so gut an diesem snort???...
was macht tipware eigentlich genau, signaturen? erstellen? .. ich sehe das mit den signaturen sicher in einem anderen zusammenhang ...

ach und könntest du mir einen link zur seite von diesem Marc Heuser geben??? würde da dann mal durchschnüffeln ...

danke
tschau

sendmail stammt aus einer zeit wo die sicherheitsproblematik noch nicht so akut war wie heute.
sendmail läuft teilweise als root, was nicht unbedenklich ist.

ich würde dir als MTA qmail empfehlen, es gibt keine bekannten sicherheitslücken seit jahren,
gibt einen preis von 500$ oder so für den der eine findet, aber den hat noch niemand gekriegt hihi

IDS = Intrusion Detection System

grob gesagt: anhand abgleich mit einer datenbank, werden versuche in dein system einzudringen, erkannt.

pudding

hi,
tripwire = gehört eigentlich auf jeden rechner der im netz haengt.
cheers tim

Das wichtigste:

Besorg dir einen zweiten Rechner.

Firewall und zu schützende Datenbank auf einem System ist wie ein Tresor, bei dem der Schlüssel daneben hängt....

Ein 5€-Flohmarkt-486er als FW reicht dicke aus...

Die Programme mit gesetztem SUID Bit sind handverlesen, für telnet, ftp-Client und finger ist die Firewall Sperrgebiet. Das gesamte System wird installiert, readonly gemaountent und zum schluß auf eine CD gegrillt, bootfähig gemacht und damit der Rechner betrieben. Logfiles laufena auf einen anderen Rechner, das append-flag für die Logfiles wird gesetzt (damit fällt ein Windoof-Logger flach...). Altenativ und bei Paranoia-Neigung Logilfes auf ein WORM oder besser noch auf einen Teletype umleiten.

So, und jetzt kannst du dich in Ruhe mit der demilitarisierten Zone beschäftigen.

Meine FW ist so konfiguriert. Meine kleine Festplatte auf dem Rechnerchen und das CD-ROM laufen alternativ. Wird die Konfig verändert, wird das mit der Platte erledigt und gestestet. Läuft alles, wird die Platte auf die CD gegrillt und das CD-ROM anstatt der Platte angeschlossen. Mein einziger RW-Rohling hat so als überschreibbare FW-CD eine sinnvolle Aufgabe gefunden...

Ano

ok, ok .... das mit dem zweiten rechner werd ich wohl oder übel doch machen müssen ... sonst plagt mich nachts nur mein schlechtes gewissen ;)

ist es sinnvoll bzw. überhaupt umsetzbar, wenn ich sage, dass der firewallrechner durch mac-adressfilter auf dem datenbankserver nicht zugreifen kann??? ...
wenn ich mir das so überlege, könnten denn dann eventuelle clients welche an dem datenbankserver hängen (wlan) auf den firewallrouter zugreifen??? würde dann ja quasi zweimal routen ... einmal vom wlan (clients-server) zum lan (server-firewallrouter) und dann nochmal ins wan (firewallrouter-internet) .... ?
wenn ich aber dem server sage, dass er den firewallrouter nicht auf sich zugreifen lassen darf (mac-filter), können dann auch die clients , die hinter dem server hängen , ins internet , oder nicht??? (denke das es nicht geht .....was sagt ihr?)

für den firewallrouter dachte ich an eine fli4l (auf cd ...ok) .... müsste mal schauen, ob der schon wlan unterstützt, dann wäre es sicher kein problem , dann könnt ich mir dan lan sparen ...

bin über weitere gedanken und meinungen sehr dankbar .... (oder irgendwelche quellen)

danke
tschau

Hi!

Hier ist der Link zur aktuellen Version von Harden_SuSE.

http://www.suse.de/~marc/harden_suse-3.5.tar.gz

MFG: Linuxexplorer