Hi,

ich hätte mal ein paar Fragen zur Sicherheit in Linux, bzw. generelle Sicherheit!

1. Ist die SuSEfirewall2 eigendlich ein eigenständiges Programm, oder baut es auch nur auf iptables auf?

2. Wenn ich meinen Rechner übers Internet überprüfen lasse, dann meldet er mir ja "closed" und "blocked" zurück (open ist nix)! Aber bei jedem neuen Durchlauf sind andere Ports "blocked" oder "closed" (so 2 oder 3 z.B. POP3 mal "blocked" und mal "closed")! Ist das normal?

3. Mit nmap <IP> kann man ja die Ports checken! Bei mir ist dabei nur ein Port offen und zwar X! Muss der immer offen sein, oder kann man den auch schließen (aber trotzdem grafische Oberfläche behalten)! Ich denke mal nicht, oder?

4. Ist es eigendlich möglich geschlossene Ports von außen zu öffnen?

5. Kann man unter Linux ein Programm mit einem Passwort versehen um es zu starten? Also d.h. wenn User soundso das Programm starten will dann muss er erst dasunddas eingeben! Geht das vielleicht mit einem geändertem Startscript? Wie würde das dann aussehen? (ich meine jetzt nicht die "su"-Passwortabfrage, sondern was eigenes)
Also wenn z.B. klein Fritz Quake3 starten will, dann soll er erst ein Passwort eingeben!

6. Kann man in einem Shellscript ein Passwort übergeben? Also wenn ich in einem Script "su" benutzte das er auch automatisch das Passwort mit übergibt? Oder geht das auch anderes?

Das wärs erstmal!

Im vorraus danke!

moin moin

zu 1.

die susefirewall baut auf iptables auf. sie wandelt deine angaben praktisch in iptables regeln um.

zu 2.

wenn du ein und denselben (online?)portscanner benutzt, sollten die ergebnisse eigentlich gleich sein. wenn mich nicht alles täuscht, ist die default policy bei der susefirewall auf Drop, d.h. alles was nicht erlaubt ist, wird (stillschweigend) fallengelassen. von daher sollte ein onlinescanner, jedenfalls die die ich kenne, ein *blocked* liefern.

zu 3.

den port für den x-server kannst du schließen, solltest du sogar. wie du das bei suse machst, weiß ich nicht genau. bei meinem gentoo erreiche ich das ganze mit einem eintrag in der /etc/X11/xdm/Xservers

:0 local /usr/X11R6/bin/X -nolisten tcp

zu 4.

kommt drauf an, was du darunter verstehst. wenn du dir ein root-kit einfängst, dann schon. kommt natürlich auch auf deine iptables rules an.

zu 5.

du kannst doch mittels der rechte vergabe unter linux bestimmen, wer welches proggi benutzen darf. womit wir dann wieder bei su wären


(ich meine jetzt nicht die "su"-Passwortabfrage, sondern was eigenes) Also wenn z.B. klein Fritz Quake3 starten will, dann soll er erst ein Passwort eingeben!

wo ist der unterschied?

zu 6.

keine ahnung ;)


Gruß HL

> 6. Kann man in einem Shellscript ein Passwort übergeben? Also wenn ich in einem Script "su" benutzte das er auch automatisch das Passwort mit übergibt? Oder geht das auch anderes?

Ich denke schon, dass das gehen wird, aber somit steht das Passwort ja im Klartext in dem Skript. Schau dir mal sudo an. Ich glaube, dass dir das helfen koennte ; )

Original geschrieben von HangLoose
moin moin

zu 1.

die susefirewall baut auf iptables auf. sie wandelt deine angaben praktisch in iptables regeln um.

zu 2.

wenn du ein und denselben (online?)portscanner benutzt, sollten die ergebnisse eigentlich gleich sein. wenn mich nicht alles täuscht, ist die default policy bei der susefirewall auf Drop, d.h. alles was nicht erlaubt ist, wird (stillschweigend) fallengelassen. von daher sollte ein onlinescanner, jedenfalls die die ich kenne, ein *blocked* liefern.

zu 3.

den port für den x-server kannst du schließen, solltest du sogar. wie du das bei suse machst, weiß ich nicht genau. bei meinem gentoo erreiche ich das ganze mit einem eintrag in der /etc/X11/xdm/Xservers

:0 local /usr/X11R6/bin/X -nolisten tcp

zu 4.

kommt drauf an, was du darunter verstehst. wenn du dir ein root-kit einfängst, dann schon. kommt natürlich auch auf deine iptables rules an.

zu 5.

du kannst doch mittels der rechte vergabe unter linux bestimmen, wer welches proggi benutzen darf. womit wir dann wieder bei su wären



wo ist der unterschied?

zu 6.

keine ahnung ;)


Gruß HL

1. Danke!

2. Ja, Online-Portscanner ( http://scan.sygate.com/ )! Er meldet mal closed und mal Blocked! Mal ist alles Blocked und mal nur einige! Ich hänge mal ein Bild an (ist das erste)!

3. OK! Ich werd es mal probieren! Denke mal nicht das es anders ist!

4. Nein, ich meine nur von Außen! Keine internen Programme!

5. Nein! So meine ich das nicht! Ich will das nicht mit Benutzerrechten machen (was ist wenn klein Fritz sich mit meinem Account anmeldet?)
Egal wer vor dem Rechner sitzt (ob root oder user)! Bevor das Startscript weitergeht muss ein Passwort eingegeben werden (ich dachte mir das das mit einer Abfrage im Script geht (egal ob Klartextpasswort, oder nicht)! So wie das mit dem Start von Yast2 geht, nur halt nicht das root-Passwort, sondern ein von mir festgelegtes (z.B. im Script)! Aber ist nicht so wichtig!

6. Macht nichts!

@feuerwand

Im Manual klingt das alles sehr kompilziert! Aber ist jetzt egal! Ich mache es anders (ich wollte nur das root-Passwort nicht verraten)! Ich log mich einfach im anderen System als root ein!

Jetzt nochmal das zweite!

edit:

zu 3.

Ich hab das jetzt in die Datei eingetragen aber laut nmap ist der Port immernoch offen!

Die Datei sah so aus:

# $XConsortium: Xserv.ws.cpp,v 1.3 93/09/28 14:30:30 gildea Exp $
#
#
# $XFree86: xc/programs/xdm/config/Xserv.ws.cpp,v 1.1.1.1.12.2 1998/10/04 15:23:14 hohndel Exp $
#
# Xservers file, workstation prototype
#
# This file should contain an entry to start the server on the
# local display; if you have more than one display (not screen),
# you can add entries to the list (one per line). If you also
# have some X terminals connected which do not support XDMCP,
# you can add them here as well. Each X terminal line should
# look like:
#
# XTerminalName:0 foreign
#
# Note: The vt07 is required to start the local X server on the virtual
# console 7. This avoids conflicts with gettys of /etc/inittab.
#
:0 local /usr/X11R6/bin/X :0 vt07


Ich hatte die Zeile einfach unten angefügt! Ist das richtig?

hi


5. Nein! So meine ich das nicht! Ich will das nicht mit Benutzerrechten machen (was ist wenn klein Fritz sich mit meinem Account anmeldet?) Egal wer vor dem Rechner sitzt (ob root oder user)! Bevor das Startscript weitergeht muss ein Passwort eingegeben werden (ich dachte mir das das mit einer Abfrage im Script geht (egal ob Klartextpasswort, oder nicht)! So wie das mit dem Start von Yast2 geht, nur halt nicht das root-Passwort, sondern ein von mir festgelegtes (z.B. im Script)! Aber ist nicht so wichtig!

was ist wenn das kleine clevere fritzchen, das im klartext hinterlegte passwort, findet? sollte leichter gehen, als dein account pw zu knacken ;)

worum es dir geht, ist aber wohl eher so'n schickes popup für die passwordabfrage. allerdings hab ich keine ahnung wie man sowas bewerkstelligt.




Ich hab das jetzt in die Datei eingetragen aber laut nmap ist der Port immernoch offen!

hast du den x-server neugestartet?


Gruß HL

Original geschrieben von HangLoose
hi

hast du den x-server neugestartet?

Gruß HL

Ja hab ich! Wirkt nicht! Hast du schon ne Lösung für 2.?

hi

scheint so, das suse das ganze doch woanders versteckt hat. nur wo kann ich dir leider auch nicht sagen.

zu punkt 2 => hm, erklären kann ich mir das ehrlich gesagt im moment auch nicht. lass dich doch mal von 'nem kumpel von aussen mit nmap scannen.


Gruß HL

Hi,

3. also zum offenen Port von X:

http://www.linuxforen.de/forums/showthread.phps=&threadid=47815&highlight=suse+nolisten

Aber naja, das du die suchfunktion benutzen sollst weisst du ja ;)

5. wie wäre es wenn du einen neuen user anlegst. Nur dieser user darf bz. Q3A starten. Dann startest du das game aus deinem account zb. unter kde mit dem befehl kdesu q3a. Dort kann man irgendwo einstellen das man das proggie als anderer user ausführen will. Dort fügst du den Q3A user und das passwort ein und fertig. Genauso kannst du das mit su machen. du baust ein script das mit su q3auser das passwort abfragt und danach q3a startet. vorher nicht vergessen den Xserver freizugeben, da su sonst nicht lüppt, dazu findest du warscheinlichwas wenn du mal nach xhost suchst.

Scriptfragen wie immer nach httP://mrunix.de :D

MfG Robert

Original geschrieben von HangLoose
hi

scheint so, das suse das ganze doch woanders versteckt hat. nur wo kann ich dir leider auch nicht sagen.

zu punkt 2 => hm, erklären kann ich mir das ehrlich gesagt im moment auch nicht. lass dich doch mal von 'nem kumpel von aussen mit nmap scannen.


Gruß HL

1. Naja! Ich werd mal suchen!

2. OK! Nur jetzt nicht mehr! Ist schon ein bisschen spät! Morgen!
Aber die Ports sind ja eh alle geschlossen (OK, bis auf X)! Und der Online-Scanner meldet ja auch nur "blocked" oder "closed"! Reinkommen kann da ja eh keiner! Nur wäre mir ein kompletter Block lieber!

Ich häng mal die FireWall-Config ran! Vielleicht erkennst du da ja was!

hi

sieht gut aus das script. bei mir steht übrigens überall close, wenn ich mich da scannen lasse, da mein paketfilter ein reject zurück schickt ;)


Gruß HL

Original geschrieben von HangLoose
hi

sieht gut aus das script. bei mir steht übrigens überall close, wenn ich mich da scannen lasse, da mein paketfilter ein reject zurück schickt ;)


Gruß HL

Ach sowas geht auch? Na dann wirds wohl das sein!

OK! Danke für die Hilfe!

Original geschrieben von BSM
Hi,

3. also zum offenen Port von X:

http://www.linuxforen.de/forums/showthread.phps=&threadid=47815&highlight=suse+nolisten

Aber naja, das du die suchfunktion benutzen sollst weisst du ja ;)

MfG Robert

Der Link funzt wohl nicht richtig ( oder was soll der machen? )! Naja! Ich hab die Suchfunktion benutzt aber geholfen hat es nicht richtig! Ich benutze KDM! Mal sehen! Ich probiere noch ein bisschen!

hm, komisch... eigentlich habe ich nicht mehr gemacht als den link zu kopieren :ugly:

nochmal: http://linuxforen.de/forums/showthread.php?threadid=47815

MfG Robert

Sir, Alle Lücken geschlossen, Sir!

Endlich ist das Ding dicht! In die /etc/X11/xinit/xserverrc unter args (2. Befehlszeile) einfach -nolisten tcp eintragen! Danach XServer+KDM neustarten und dicht ist das Ding!

Morgen lass ich mich dann mal scannen! Wenn dort was gefunden wird melde ich mich nochmal!:D;)

edit:
Hi,
es gibt ein Prob.! Ich weiß nicht 100%ig genau wo ich das Eingeben muss! Ich habs jetzt in folgenden Dateien eingetragen (weiß nicht welche es wirklich macht, hab auch keine Zeit mehr es zu testen):

/etc/X11/xinit/xserverrc (siehe oben)
/etc/X11/xdm/Xservers (einfach hinter die Einträge)
/etc/opt/kde3/share/config/kdm/Xservers (einfach hinter die Einträge)
/usr/X11R6/bin/startx (dort unter serverargs)

Aber jetzt sollte es zu sein!

Hi,

ich hab mich jetzt scannen lassen, oder auch nicht, wie man es nimmt! Er konnte mich nicht anpingen und nmap hat mich auch nicht gefunden! Die IP stimmte aber!

Ist das nun gut, oder schlecht?

du kannst eine passwort geschützte gruppe erstellen z.B. namen Quake in der er nicht mit glied ist ! Wenn er dann quake spielen will muß er die gruppe wechseln und wird nach dem passwort gefragt.

@Linuxschrotter


z.B. namen Quake in der er nicht mit glied ist !

wie willst du das denn kontrollieren ;) du meinst sicher mitglied :)


ps: nicht böse sein, konnte ich mir nicht verkneifen ;)


Gruß HL

Original geschrieben von Linuxschrotter
du kannst eine passwort geschützte gruppe erstellen z.B. namen Quake in der er nicht mit glied ist ! Wenn er dann quake spielen will muß er die gruppe wechseln und wird nach dem passwort gefragt.

Hmm, klingt logisch! Ich werd es nachher nochmal probieren!

@Nuke


ich hab mich jetzt scannen lassen, oder auch nicht, wie man es nimmt! Er konnte mich nicht anpingen und nmap hat mich auch nicht gefunden! Die IP stimmte aber!


es kommt drauf an mit welchen optionen dein kumpel gescannt hat. wenn er nur mit nmap <ip> gescannt hat und alle ports dicht sind, kommt da auch nichts zurück, da die susefirewall alle anfragen sang und klanglos fallen läßt. dein rechner ist auf den ersten blick *unsichtbar* ;). allerdings gibt es scanmethoden mit nmap, die feststellen können, das dort ne firewall läuft. das ganze mit dem *steahlt* ist mehr ein maketing-gag . ;)




Hmm, klingt logisch! Ich werd es nachher nochmal probieren!


den vorschlag hab ich dir oben aber auch schon gemacht



Gruß HL

Hi,

sorry, aber funzt irgendwie nicht!?! Oder hab ich irgendwas nicht kapiert?

Ich hab jetzt eine neue Gruppe angelegt (quake3)! Dieser Gruppe habe ich ein Passwort gegeben! Danach habe ich das Verzeichnis /usr/local/games/quake3 die Rechte root:quake3 gegeben!

Will ich jetzt als Benutzer quake3 starten dann startet es auch, oder was muss ich denn noch alles machen? Der Benutzer ist nicht in der Gruppe quake3!

P.S. Er hat nur mit nmap <IP> gescannt! Reicht mir aber! Hauptsache ich bin nicht zu erreichen!

hi

poste mal die ausgabe von ls -al /usr/local/games/quake3

drwxr-xr-x 4 root quake3 368 Sep 13 22:59 .
drwxr-xr-x 7 root quake3 176 Nov 18 18:15 ..
drwxr-xr-x 2 root quake3 80 Sep 13 19:06 Help
-rw-r--r-- 1 root quake3 2217 Sep 13 19:06 INSTALL
-rw-r--r-- 1 root quake3 9958 Sep 13 19:06 Q3A_EULA.txt
-rw-r--r-- 1 root quake3 15619 Sep 13 19:06 README-Id-7-26-01.html
-rw-r--r-- 1 root quake3 11950 Sep 13 19:06 README-linux.txt
drwxr-xr-x 2 root quake3 240 Sep 13 19:06 baseq3
-rw-r--r-- 1 root quake3 4784 Jan 5 11:51 botlib.log
-rwxr-xr-x 1 root quake3 152 Sep 13 19:06 quake3
-rwxr-xr-x 1 root quake3 1162876 Sep 13 19:06 quake3.x86
-rw-r--r-- 1 root quake3 4276 Sep 13 19:06 quake3.xpm
-rw-r--r-- 1 root quake3 115 Sep 13 19:07 quake3:

hi

entzieh mal other bei folgenden dateien die ausführungsrechte

-rwxr-xr-x 1 root quake3 152 Sep 13 19:06 quake3
-rwxr-xr-x 1 root quake3 1162876 Sep 13 19:06 quake3.x86

mit


chmod o-x /usr/local/games/quake3/quake3
chmod o-x /usr/local/games/quake3/quake3.x86

dann müßte es eigentlich funzen.


Gruß HL