Linux 15.036 Themen, 107.107 Beiträge

Verfolgung starten Optionen

Sicherheitskonzept - ok?

higgl / 4 Antworten / Flachansicht Nickles

Moin zusammen,

meine Frage würde wohl besser aufs Hacker, Viren, Datenschutz-Board passen, aber aus euch sicher bekannten Gründen setze ich mein Post besser hier ab.

Nun zu meiner Frage:

Mein Route ist so aufgesetzt:

Kernel 2.4.20-8
ip-forwarding, masquerading an
kleines firewall script
gestartete Dienste: syslog, network, random, rawdevices, keytable, iptables, sshd
per tcp-wrapper sind alle hosts verboten, nur für ssh die vom lokalen netz erlaubt

Als Client betreibe ich einen Rechner mit Suse Linux 9.0, um den ich mir weniger Sorgen machen.
Aber unter anderem sind noch 3 andere Clients im Netz:
2x mit WinXP und 1x Win2000
Auf diesen Clients läuft jeweils AntiVir mit Scheduler, Ad-Aware und Spybot-S&D; als Browser Firebird und Mailer Thunderbird. Die Benutzer von den Clients sind keine Greenhörner mehr, dass sie E-mail Anhänge öffnen kann ich ausschließen.

Hättet ihr vielleicht noch ein paar Verbesserungsvorschläge? (besonders für den Router)

Ist der Dienst rawdevice eigentlich notwendig?

Never argue with an idiot. They drag you down to their level and then beat you with experience.
bei Antwort benachrichtigen
Bietet der Router irgendwelche Dienste nach aussen an? z.B. auf ... XPectIT
Hab zig Port-Scanner drüber laufen lassen, außer ssh bietet er keine ... higgl
XPectIT higgl „Hab zig Port-Scanner drüber laufen lassen, außer ssh bietet er keine Dienste...“
Optionen

Das Script ist aber mit extremer Vorsicht zu geniesen. Es ist auf meine Umgebung hier angepasst und ich fahre fast ausschließlich FreeBSD. Deshalb kann es durchaus sein, das z.b. die Befehle anders heißen oder woanders liegen. Ausserdem gäbe es mit Sicherheit noch diverse Verbesserungsmöglichkeiten, aber da es mir genügt sehe ich keine Veranlassung dazu. Also ist es für andere mehr ein Konzept-Vorschlag. Überarbeitet werden muss es sicherlich, "out-of-the-box" läuft es wohl nicht.
Trotzdem hier das script:



#! /bin/sh


verzeichnisse="/sbin /bin /usr/sbin /usr/bin /usr/games /usr/local/sbin /usr/local/bin /usr/X11R6/bin /root/bin"


cmd='/sbin/md5 -r'


outfile='/var/log/md5sumcheck'


reffile='/root/md5.ref'


pwd_before="`pwd`"


 


cd /


if [ "$1" = "-update" ]; then


  echo "UDATING Referenzdatei l?uft"


  cp ${outfile} ${reffile}


  echo "Update der Referenzdatei erfolgreich"


  exit 0


fi


 


mv ${outfile} /var/log/sumcheck.priv


echo "`date`" > ${outfile}


echo $PATH >> ${outfile}


 


for i in $verzeichnisse; do


    $cmd ${i}/* >> ${outfile} 2>> ${outfile}


done


 


diff ${reffile} ${outfile}


 


cd ${pwd_before}


exit 0


Nochmal die Warung: Es muss angepasst werden! zB. Gibts bei meinem RedHat hier kein Befehl "/sbin/md5" der heißt "/usr/bin/md5sum" und kennt keine Option "-r" (um erst die Prüfsumme und dann den Dateinamen anzuzeigen).
Falls es durch den Post verfälscht wird, kannst du mir ja ne Mail schreiben (VK).
Gruß
bei Antwort benachrichtigen
Vielen Dank, auch wenn ich es nicht 1:1 verwenden kann, es ist auf jeden ... higgl