Überlegungen zu chkrootkit und Automatisierung
Stefan Ulrich Hegner
stefan at hegner-online.de
Fri Feb 6 13:03:05 CET 2004
Hi Töns,
Am Fr, den 06.02.2004 schrieb Toens Bueker um 12:30:
> Ich würde erstmal die klassischen Sicherheitsmassnahmen
> ergreifen:
>
> 1.) lokale iptables-Regeln mit incoming- und vor allem auch
> outgoing-Regeln. Alles, was nicht offen sein muss, wird
> geblockt. Also idealerweise auch Port 80 nur auf die Hosts
> freigeben, die man auf Port 80 erreichen will.
... bei mir ist alles bis auf einen ssh-Port dicht
> 2.) Tripwire bzw. AIDE für wichtige Dateien, damit man
> mitbekommt, wenn zusätzliche Accounts angelegt werden.
Tripwire war für mich unter SuSE OK. Aber seit ich Gentoo nutze ändern
sich so oft irgendwelche binaries etc., dass das in meinen Augen nicht
wirklich effizient ist. - AIDE kenn' ich nicht.
> 3.) Möglichst keinen modularen Kernel verwenden.
... nicht so ganz mein Geschmack. Gut, es verhindert, dass ein Angreifer
Module einschleust ... Aber ist das nicht ein hoher Preis? Meine Kiste
ist immer noch eine private 24/7 Maschine ... und sind Module eigentlich
schon nett.
> 4.) Möglichst alle Dienste, die von aussen sichtbar sind,
> soweit anonymisieren, dass sie keine Hinweise auf das
> verwendete Betriebssystem bzw. dessen Distribution oder
> Version herausgeben (also Apache ServerTokens auf Prod
> setzen, etc.). Das ist zwar Security by Obscurity - aber
> es verhindert zunächst einmal, dass man auf die Liste der
> Einbruchskandidaten kommt.
ACK
Danke erstmal für die Hinweise. Die gingen zwar in eine ganz andere
Richtung ... aber zumindest sind das Dinge, an die ich auch schon mal
gedacht hatte.
Gruß
Stefan.
--
/ Stefan Ulrich Hegner aka "Hegi" - Loehne/ Westfalen - Germany \
| stefan at hegner-online.de, my Cyberhome http://www.hegner-web.de|
\ GPG-Fprint D9DB 51BD 2DA6 9B3A 41CB 0287 05A1 8D11 38BA CE91 /
-------------- next part --------------
A non-text attachment was scrubbed...
Name: signature.asc
Type: application/pgp-signature
Size: 189 bytes
Desc: Dies ist ein digital signierter Nachrichtenteil
URL: <http://lug-owl.de/pipermail/linux/attachments/20040206/a64743b7/attachment.sig>
More information about the Linux
mailing list