HI...
Ich habe gestern mit einem guten Freund die einrichtung meines WEBMIN getestet. Da ich einen Router habe und die Sache mit den Posts mal einstellen wollte, habe ich alles konfiguriert und ihm dann gesagt: mach mal. :-)

Hat auch prima geklappt, er konnte siche bei mir einloggen und hat mir nun die Funktionalität des Servers bestätigt.

ABER: Wie bekommt man in so einem Moment am einfachsten raus, dass sich jemand eingeloggt hat. Also Intruder-Alram oder so....

UND: Wie kickt man denjenigen raus, ohne die Verbindung zu kappen? Immerhin war er als root drin.

Ich hatte es so gemacht, dass ich dann selbst in Webmin rein bin, und seine IP, die ich in den LOGS fand, gesperrt habe .

Aber das hat zu lange gedauert.

Wie gehts eleganter? Da gibts bestimmt gute Befehle.:-)

Gruss
Armin

massnahmenkatalog:

1. webmin-kofiguration:

IP-Zugriffskontrolle-> Nur das interene Netz zulassen.
Protokollierung->Ereignisse protokollieren
SSL-Verschlüsselung

2. webmin-benutzer:

root löschen und neuen webmin-user anlegen.

3. webmin stoppen und neu starten.

4. root passwort ändern.


warum sollte alarm ausgelöst werden, wenn eine vertrauenswürdige person zugang zum rechner erlangt?? :confused:

Danke erstmal für die Massnahmen....

Das mit dem Alarm war nur einfach schon weitergedacht. Es könnte ja mal jemand anderes schaffen reinzukommne, oder sich sonstwo einloggen. vnc z.B. oder ähnliches.

Ich weiss, man kann ja alles so dicht machen, dass es nur intern laufen soll, aber wenn mal ein Dienst nach draussen darf, dann würde ich gerne Bescheid bekommen, wenn jemand es versucht oder schafft, sich über irgendeinen port anzumelden. Welche Software auch immer....
Oder denke ich da so grundlegend in falschen Bahnen?

Und eben so wie gestern. Ich wollte ihn dann nach dem Test "EINFACH" rauswerfen. Habs ja geschafft, aber irgendwie gehts bestimmt eleganter...:-)

Gibts sowas wie ienen tcp-Monitor? Der die portaktivitäten anzeigt? Nicht nur Netzwerkaktivität, die hab ich ja, sondern speziell ports? Dann würde ich ja sehen, wenn plötzlich port 10000 benutzt wird.

thx
Armin

PS: Sicherheit ist noch neuland. Ausser den standardprogrammen der Distri ist mit Grundwissen noch nicht viel:-) Fange jetzt an....... ( PPS: Mandrake 9)

moin moin


sieh dir mal portsentry an

http://www.linuxfocus.org/Deutsch/September2001/article214.shtml#214lfindex2
http://www.pl-forum.de/work/firewall/fire4.html


Gruß HangLoose

Danke, sowas meinte ich:-)

PS. in der neusten Linux-User ist ein bericht, oder eine Anleitung, wie man sich so behelfen kann, dass man ein logfile ausliest, nach Begriffen filtert und dann mit einem frei programmierten "beep" darauf aufmerksam macht, das da was los ist....

auch nicht schlecht:-)


nochmals thx

Armin

hi

für sowas ist snort optimal => www.snort.org

ps: wenn dich snort interessiert mach mal *beep* ;), dann stell ich noch ein paar links rein

Gruß HangLoose

beep...

aber wenns geht in deutsch:-) dann versteh ich es vielleicht auch...
Und das ist ja das Ziel der Sache....

:-)
Armin

hi

bitte schön

http://www.3d-crew.com/eigenes/snort.htm
http://www.linux-magazin.de/Artikel/ausgabe/2000/12/SnortNmap/SnortNmap.html
http://www.vnunet.de/internet-pro/workshops2/detail.asp?ArticleID=1983
http://ds.ccc.de/077/snort


ps: ich bin grade dabei ein kleines howto zu snort&acid zu schreiben, das kann aber noch ein wenig dauern, bis ich das fertig habe ;)


Gruß HangLoose

Original geschrieben von HangLoose
[Bps: ich bin grade dabei ein kleines howto zu snort&acid zu schreiben, das kann aber noch ein wenig dauern, bis ich das fertig habe ;)[/B]
Ich freu' mich schon drauf, weil ich Dein HOWTO dann unbedingt mal bei mir mit Snort&Acid testen werde :D

Harry

hi harry

das ist sehr gut. da ich sowas noch nie gemacht habe (howto schreiben) kann ich einen beta-tester gut gebrauchen ;). eventuell übersehene abhängigkeiten etc.
das problem ist nämlich das ich kein *jungfräuliches* system mehr habe, bei mir ist ja schon alles mit snort und acid verseucht :D, und das ganze mit gentoo testen macht ja wenig sinn.


ps: ich stell übrigens grade meinen router auf gentoo um und hab mir schon mein(dein :D) firewallscript von deinem generator abgeholt. das kann allerdings noch ne weile dauern bis es zum einsatz kommt, ist ein p133 und ich bin noch nicht mal bei stage 2 *grins*


Gruß HangLoose