Suse richtig absichern

G

g0t0

Hi,
Ich möchte mein Linux gerne richtig gut gegen alle Arten von Angriffen etc, Sichern (nur mein home Linux).
Gibt es einen Tutorial um Suse richtig Paranoid sicher zu machen?
 
Das ist doch garnicht nötig - welche Angriffe stellst Du Dir denn vor? Brute-Force? :D

...wir reden hier doch von einem stinknormalen Desktop-Rechner, oder?
 
so richtig "paraniod sicher" ??

ist ganz einfach, vom internet trennen.
 
Ja, wir reden von einem Desktop Rechner, aber ich möchte z.B. das mein Browser so wenig Informationen wie möglich senden (schon erledigt), dass z.B. Portscans geblockt werden und auf bestimmte Paketadressen überhaupt nicht geantwortet / reagiert wird.
Es sollte auch nicht möglich sein sich direkt als root am System azumelden sondern lediglich mit su oder sudo über die console, und das in allen Runleveln.

mfG g0t0.
 
Also fail2ban und Portknocker habe ich.
Was mir wichtig ist, ist das man sich nicht direkt als root anmelden kann sondern nur über die Konsole.
Ist das möglich?

Danke schonmal für die Antworten :P , mfG g0t0.
 
Also für einen destoprechner reicht es doch völlig aus alle Dienste welche auf irgendeinem port hören zu stoppen, komfortabel geht das mit rcconf. von fail2ban würd ich dir abraten, weil wenn da ein spassvogel seine IPspooft und deinen Nameserver als IP benutzt, dann geht nämlich kaum noch was. Und wenn dir dass dann nicht reicht, dann kannst du dich immer noch mit IPtables beschäftigen, das geht aber nicht von einem Tag auf den anderen.
 
Also fail2ban und Portknocker habe ich.
Was mir wichtig ist, ist das man sich nicht direkt als root anmelden kann sondern nur über die Konsole.
Wie jetzt? Daß "root" nicht mal an der Tastatur am Rechner geht? Über SSH kannst du es verbieten, telnet als Server hat man ja nicht, oder?

Wer soll sich von wo aus nicht anmelden dürfen?

@fail2ban: Das ist aber sehr wirkungsvoll gegen brute force und das von Uschi angedeutete Szenario eher selten.
 
Snort installieren und die Regeln entsprechend der Bedürfnisse anpassen. Dann mit iptables alles dicht machen nach aussen und schon sollte das mehr als sicher genug für einen Desktop sein.
Code:
iptables -P INPUT DROP
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
Schon werden nur noch Verbindungen akzeptiert, die der Rechner angefordert hat.
 
Danke theton, genau das hab ich gesucht.

@Uschi: In solchen fällen kann man fail2ban ja einfach beenden, oder die IP wechseln durch ne neue Verbindung.

mfG g0t0
 
Snort installieren und die Regeln entsprechend der Bedürfnisse anpassen
Ja.

Aber es gibt die Situation, wo man auf einem Port einen Dienst hat und der soll auch online sein, aber wenn ein BF-Script auf ihn los gelassen wird, will man davon nicht genervt werden. Bei nem DNS-Server ist fail2ban blöde, weil hinter der geblockten IP ein wichtges Netz hängen könnte, aber hier geht es um einen Desktop. Der läßt eine bestimmte Person rein oder sie stört, dann halt nicht.
 
Dann gibt man den Port halt frei:
Code:
iptables -A INPUT -m state --state NEW -p tcp --dport [hier-die-port-nummer] -j ACCEPT

bzw für UDP:
iptables -A INPUT -m state --state NEW -p udp --dport [hier-die-port-nummer] -j ACCEPT
Und die Wahrscheinlichkeit, dass man heutzutage einem Bruteforce-Angriff zum Opfer fällt, ist mittlerweile extrem gering. Nach max. 200 Versuchen geben die meisten auf, was einem Zeitraum von ca. einer Minute entspricht, in der die Leitung mal etwas langsamer wird. Selbst die Skript-Kiddies haben mittlerweile gerafft, dass das gerade bei Rechnern mit wechselnder IP nichts bringt. Ich hab in meinen IDS-Logs im Durchschnitt alle 3 Monate mal solche Bruteforce-Versuche und die sind nach max. 200 Versuchen grundsätzlich vorbei.
 
Ich hab in meinen IDS-Logs im Durchschnitt alle 3 Monate mal solche Bruteforce-Versuche und die sind nach max. 200 Versuchen grundsätzlich vorbei.

Kann ich bestätigen, weshalb ich Überlegungen in dieser Richtung für ziemlich verschwendet halte. Einen echten Mehrwert bringen derlei Absicherungen nicht.
 
Sind Bruteforce Angriffe eigentlich auch mit ausgeschaltetem sshd Dienst möglich?
 
Kann ich bestätigen
Ich leider nicht, ok. Vielleicht war's ja gezielt, aber wieso eigentlich. Oder ich war nem Bot-Netz im Weg.

Mein privater Rechner ist mit so einem Konzept angegriffen worden, wenn das inzwischen aus der Mode kommt, ist das nur gut. Natürlich habe ich enorm komische Paßwörter, wo man mit Wörterbüchern nicht rein kommt, da wären Hash-Tabellen besser...

Es war ja nur *ein* Szenario, und mir ist das halt wirklich passiert. Ich benutze fail2ban, um nach 5 komischen SSH-Versuchen die IP für 10 Minuten zu droppen.
 
Sind Bruteforce Angriffe eigentlich auch mit ausgeschaltetem sshd Dienst möglich?

Bruteforces sind natürlich prinzipiell nur dann möglich, wenn irgendwas da ist, worauf man sich einloggen kann. In dem Moment wo kein Service nach aussen erreichbar ist (z.b. die 2 von mir geposteten iptables-Befehle verwendet werden), ist da nichts, was man Bruteforcen kann.
 
Sind Bruteforce Angriffe eigentlich auch mit ausgeschaltetem sshd Dienst möglich?
Ja, aber SSH ist natürlich besonders interessant, vor allem wenn man das Paßwort von Root erraten kann.

Wenn man aber per BF einen gültigen FTP-Login errät und dann hat z.B. der verwendete ftpd ein Leck, für das es einen Exploit gibt, dann hast du Besuch.
 
Du solltest Dich intensiv mit SELinux und der Novell-eigenen Lösung AppArmor beschäftigen.
 
Bruteforces sind natürlich prinzipiell nur dann möglich, wenn irgendwas da ist, worauf man sich einloggen kann.
Yepp.

Also du rätst, daß man super sogrfältig Dienste auswählen soll und in IP-Tables dann, was davon nach außen auf zu sein hat.

Was Theton sagt, ist definitv das 1x1.

Tools können da helfen, aber an dem Satz da oben ist nix zu rütteln.
 

Ähnliche Themen

Warum gibt es keine Moderne Email Client auf Linux?

Software-Entwickler C/C++, embedded, automotive (m,w,d) in München gesucht

Kernel Kaltstart / reboot?

Script pausieren bis Bedingung erfüllt ist

Samba 3.6.25 - OpenLDAP Setup

Zurück
Oben