hallo zusammen,

ich stelle vielleicht eine dumme Frage aber mich würde interessieren, ob ein laufender Apache der nicht verwendet wird ein Sicherheitsproblem darstellt?

soweit ich weiss sind der apache, mail, ftp automatisch bei meinem linux aktiv...

kann mir da wer weiterhelfen?

danke
toto

totomoto, ein Netzwerkservice der nicht verwendet wird sollte grundsätzlich deaktiviert werden. Und der Apache gehört zu den am meisten angegriffenen Services auf einem Unix/Linux System (was nicht heissen soll, das Apache mehr Sicherheitslöcher hat als z.B. sendmail). Wenn du den Mailserver auch nicht benötigst rate ich dir diesen auch zu deaktivieren. Jetzt müsste ich nur deine Distribution kennen um dir zu sagen wie du die Services dauerhaft abschaltest.

MFG Flow

Hier noch ein Link wo du dir mal anschauen kannst welche Services auf einem Linux System am kritischsten sind: http://www.sans.org/top20/

Is ja ein toller Link, aber wenn SSH da an zweiter Stelle bei den Most Vulnerable Unix Services steht, dann kann man ja jeden Linux/Unix Server der Welt dicht machen... irgendwie schon komisch, dass ausgerechnet eines der sichersten verschlüsselten Protokolle sooooooo unsicher ist!:D
Bellerophon

danke,

ich hab eine suse Server Version, bin aber noch Newbie, und eigentlich möchte ich einfach mal das Ding so richtig erlernen, deshalb hab ich wohl auch dumme Fragen.

laufen tut er soweit, aber wie gesagt bin voll am ausprobieren. Mir gehts primär vor allem mal um Sicherheit so möchte ich diesen gerne als Firewall und Proxi einsetzen und alles andere soll mal inaktiv sein.


thanks,
toto

Du hast da was nicht richtig verstanden Bellerophon. SSH ist in dem Punkt sicher als dass es den kompletten Datenverkehr verschlüsselt. Auf der SANS Seite wird aber dargestellt, wie oft und erfolgreich Bugs in Services ausgenutzt werden. Also die Serversoftware angegriffen wird oder Bugs darin gefunden werden.

@Flow:
Schon gut schon gut... Wollte ja nur mal darauf hinweisen, dass SSH im Serverbetrieb unersetzbar ist. Es sollte bei Newbies (zu denen ich mich meist auch zähle, zumindest was Server angeht) nicht der eindruck entstehen, als sei SSH unsicher. Solange man sich alle Sicherheitspatches holt, kann da eingentlich nicht allzuviel passieren.

@totomoto:
Wenn du den Rechner nur als Proxy, Firewallrechner und Router aufsetzten willst, würde ich dir Zwei Sachen empfehlen...
1) Die Distribution IPsec [IPcop, geändert jetzt] ist genau auf solche Rechner ausgelegt. Sehr klein, sehr gut zu administrieren, nicht gerade einfach, aber effektiv.
[hier] (http://www.ipcop.org/)

2) Wenn du auf dem selben Rechner auch arbeiten willst, bzw. ihn als Server einsetzen willst, solltest du dir mal Hogwash ansehen. Das ist ein IDS mit Firewall, hat sich bei mir sehr gut bewährt!
[hier] (http://hogwash.sourceforge.net/)

Viel Spass damit!

@totomoto:
Wenn du den Rechner nur als Proxy, Firewallrechner und Router aufsetzten willst, würde ich dir Zwei Sachen empfehlen...
1) Die Distribution IPsec ist genau auf solche Rechner ausgelegt. Sehr klein, sehr gut zu administrieren, nicht gerade einfach, aber effektiv.
[hier] (http://www.ipcop.org/)


hei,
ja möchte ich eigentlich, er sollte einfach den ganzen Tag laufen, müsste ich da auf was spezielles achten? ich hatte mir gedacht einen alten Pentium zu verwenden...

IPsec ist doch ein Protokoll?
ist das ganze inkl. Linux oder einfach der security Teil?

danke
toto

Also... Wenn er wirklich 24/7 laufen soll, dann solltest du darüber nachdenken ihm:

1) ne verdammt leise und gute Kühlung zu verpassen (evtl. noch 1 bis 2 Lüfter mehr als nur Netzteil und Prozzikühlung)
2) SCSI-Platten zu geben. Ich hab die Erfahrung gemacht, dass IDE Platten bei Dauerbetrieb ziemlich schnell schlapp machen (in 1-1/12 Jahren gibts da schonmal die ersten kaputen Sektoren und so weiter). Die neueren IDE Platten von Markenfirmen (Maxtor, Seagate, IBM usw.) sollen da schon besser sein. Mein Server läuft jetzt seit 3 Jahren 24/7 (abgesehen von gelegentlichem Ausschlaten wg. Umbau bzw. Absturz) und hat SCSI Platten... Läuft alles wie geschmiert.
Wenn du aber damit leben kannst, alle 2-3 Jahre dein System neu aufzusetzten und ne neue Platte zu holen und auf dem Server keine wichtigen Daten liegen, nimm ne IDE Platte. Die is wesentlich günstiger, schneller und wenn du die nächste kaufen musst (so in etwa 2006) werden die wahrscheinlich schon technisch wesentlich besser sein!

Aber bevor du Geld ausgibts (du willst ja nen alten Rechner den du schon hast benutzen, oder?) setzt das System erstmal auf und teste alles. Wenn dich dann die Lust verliert (was immer mal passiert) hast du wenigstens kein Geld rausgeworfen.

IPsec ist in der Tat ein Protokoll... Ich hab mich nur verschrieben (der link ist aber der richtige). Die Distribution heisst IPcop... nicht IPsec... und es ist ne richtige Linux/GNU Distribution. Wenn du dich mit Linux schon ein wenig auskennst, ist die mit Hilfe der Dokumentation auf der Seite die ich dir gezeigt hab nicht wirklich schwer zu installieren und zu administrieren. Ist halt ne reine Security Distribution.

Alle Klarheiten beseitigt???

kuuuuuul danke,
ist glaub ich genau was ich gesucht habe, ich brauche möglichst wenig Ballast - sondern nur Security!

danke, ich werds mal mit einer einer kleinen SCSI Karte ausprobieren.

eine Frage noch, hast du ein ADSL Modem oder Router...
Sicherheit?

ein Modem bietet ja keine Sicherheit, oder ist das bei einem Ipcop "egal"...

toto

So wie ich das verstehe, willst du den kleinen, alten Computer mit IPcop benutzen und einen anderen dahinter hängen, welcher dann der eigentliche Arbeitscomputer ist, oder nicht?

Wenn du das so machst, ist der IPcop-Computer dein Router. Wieso also noch einen davor hängen. Fertige Router zum kaufen sind in einem Punkt gut... sie sind einfach zu installieren und einigermassen sicher. Wenn du aber selbst nen Router aufsetzt, hast du viel mehr Handlungsspielraum und kannst die Sicherheit viel besser deinen bedürfnissen anpasst. Um das ganze noch optimal zu machen:

Installier auf dem IPcop-Computer noch Hogwash... Dann machst du die Kiste richtig dicht. Dann holst du dir noch einen zweiten Computer mit der selben Configuration wie der IPcop und benutzt den als Honeypott für Hogwash. Dann kann sich der eventuelle hacker auf dem Honeypott austoben, du kannst ihn beobachten und er macht nix kaput. Das wäre die beste lösung (die ich kenne. Wahrscheinlich gibt es noch 1000 andere gleichgute bzw. bessere Lösungen).
Du solltest das also so aufbauen:


+-----------------------+
| Internet |
+-----------------------+
|
|
+----------------------+
| IPcop-Router |
+----------------------+
|
|
+----------------------+
| Arbeitsplatzrechner |
+----------------------+

Dann fungiert der IPcop als Router und deinem Arbeitsplatz rechner kann eigentlich nicht mehr viel passieren, wenn du IPcop richtig configuriert hast und immer die aktuellsten Sicherheitspatches aus dem Netz ziehst.

So... Viel Spass damit

danke,

ich denke du hast mir mal einige Fragen gelöst,
ich probiers einfach mal mit einer alten Kiste.

danke
toto