Linux 15.071 Themen, 107.545 Beiträge

Verfolgung starten Optionen

Sicherheitskonzept - ok?

higgl / 4 Antworten / Baumansicht Nickles

Moin zusammen,

meine Frage würde wohl besser aufs Hacker, Viren, Datenschutz-Board passen, aber aus euch sicher bekannten Gründen setze ich mein Post besser hier ab.

Nun zu meiner Frage:

Mein Route ist so aufgesetzt:

Kernel 2.4.20-8
ip-forwarding, masquerading an
kleines firewall script
gestartete Dienste: syslog, network, random, rawdevices, keytable, iptables, sshd
per tcp-wrapper sind alle hosts verboten, nur für ssh die vom lokalen netz erlaubt

Als Client betreibe ich einen Rechner mit Suse Linux 9.0, um den ich mir weniger Sorgen machen.
Aber unter anderem sind noch 3 andere Clients im Netz:
2x mit WinXP und 1x Win2000
Auf diesen Clients läuft jeweils AntiVir mit Scheduler, Ad-Aware und Spybot-S&D; als Browser Firebird und Mailer Thunderbird. Die Benutzer von den Clients sind keine Greenhörner mehr, dass sie E-mail Anhänge öffnen kann ich ausschließen.

Hättet ihr vielleicht noch ein paar Verbesserungsvorschläge? (besonders für den Router)

Ist der Dienst rawdevice eigentlich notwendig?

Never argue with an idiot. They drag you down to their level and then beat you with experience.
bei Antwort benachrichtigen
XPectIT higgl „Sicherheitskonzept - ok?“
Optionen

Bietet der Router irgendwelche Dienste nach aussen an? z.B. auf scan.sygate.com kannst du schauen ob deine Ports dicht sind (einfach ignorieren, das die ein Firewallprodukt verkaufen wollen *g*),
Ich lasse auf meinem Router regelmäßig die md5summen von /bin /sbin /usr/bin /usr/sbin ... eben alles was einem so in den Sinn kommt prüfen und achte auch darauf, das sich die $PATH Variable nicht ändert. (Das ist ein einfaches Script)
Hast du die Logfile-Rotation an? Sonst kann es evtl. sein, das ein Dienst dir die Partition voll schreibt weil er alles mögliche loggt, ober einfach aus dem Ruder läuft.
Ist masq nur für die 3 Clients erlaubt (deren IP-Adresse) oder für komplette Netz?

Kannst du z.B. verhindern das man Module nachläd? (Da bin ich doch schon zulange von Linux weg)

Mehr fällt mir so auf die Schnelle nicht ein.

bei Antwort benachrichtigen
higgl XPectIT „Bietet der Router irgendwelche Dienste nach aussen an? z.B. auf scan.sygate.com...“
Optionen

Hab zig Port-Scanner drüber laufen lassen, außer ssh bietet er keine Dienste an. Und ssh sollte durch den tcp-wrapper genügend abgesichert sein.
Die Prüfsummen sind eine gute Idee. Könntest du das Script vielleicht posten?
Logfile-Rotation ist an und masquerading ist nur für die Clients erlaubt.
Um das Nachladen von Modulen zu verhindern, müsste ich einen monolithischen Kernel erstellen. Jetzt stellt sich die Frage, ob es mir das Wert ist ;) Mal schaun, wenn ich Zeit hab...

Auf jeden Fall danke für die guten Tips!

Never argue with an idiot. They drag you down to their level and then beat you with experience.
bei Antwort benachrichtigen
XPectIT higgl „Hab zig Port-Scanner drüber laufen lassen, außer ssh bietet er keine Dienste...“
Optionen

Das Script ist aber mit extremer Vorsicht zu geniesen. Es ist auf meine Umgebung hier angepasst und ich fahre fast ausschließlich FreeBSD. Deshalb kann es durchaus sein, das z.b. die Befehle anders heißen oder woanders liegen. Ausserdem gäbe es mit Sicherheit noch diverse Verbesserungsmöglichkeiten, aber da es mir genügt sehe ich keine Veranlassung dazu. Also ist es für andere mehr ein Konzept-Vorschlag. Überarbeitet werden muss es sicherlich, "out-of-the-box" läuft es wohl nicht.
Trotzdem hier das script:



#! /bin/sh


verzeichnisse="/sbin /bin /usr/sbin /usr/bin /usr/games /usr/local/sbin /usr/local/bin /usr/X11R6/bin /root/bin"


cmd='/sbin/md5 -r'


outfile='/var/log/md5sumcheck'


reffile='/root/md5.ref'


pwd_before="`pwd`"


 


cd /


if [ "$1" = "-update" ]; then


  echo "UDATING Referenzdatei l?uft"


  cp ${outfile} ${reffile}


  echo "Update der Referenzdatei erfolgreich"


  exit 0


fi


 


mv ${outfile} /var/log/sumcheck.priv


echo "`date`" > ${outfile}


echo $PATH >> ${outfile}


 


for i in $verzeichnisse; do


    $cmd ${i}/* >> ${outfile} 2>> ${outfile}


done


 


diff ${reffile} ${outfile}


 


cd ${pwd_before}


exit 0


Nochmal die Warung: Es muss angepasst werden! zB. Gibts bei meinem RedHat hier kein Befehl "/sbin/md5" der heißt "/usr/bin/md5sum" und kennt keine Option "-r" (um erst die Prüfsumme und dann den Dateinamen anzuzeigen).
Falls es durch den Post verfälscht wird, kannst du mir ja ne Mail schreiben (VK).
Gruß
bei Antwort benachrichtigen
higgl XPectIT „Das Script ist aber mit extremer Vorsicht zu geniesen. Es ist auf meine Umgebung...“
Optionen

Vielen Dank, auch wenn ich es nicht 1:1 verwenden kann, es ist auf jeden Fall eine Anregung, wie ich das umsetzen kann.

Danke!

gruß
higgl

Never argue with an idiot. They drag you down to their level and then beat you with experience.
bei Antwort benachrichtigen