Server-Sicherheit (was: Re: Software zur Auswertung von Linux Log files)

Florian Lohoff flo at rfc822.org
Mi Apr 5 09:22:35 CEST 2006 

On Wed, Apr 05, 2006 at 12:47:54AM +0200, Maximilian Wilhelm wrote:
> Hi Flo, *
> 
> [...]
> > Meine faustregeln:
> > 
> > - Lokale Nutzer -> Keine suid programme und aktueller kernel
> > - Regelmaessiger NMAP ueber den eigenen Rechner -> Nicht notwendige
> >   dienste abschalten.
> > - hosts.deny -> ALL: ALL at ALL - Default policy fuer alle tcpwrapper
> >   programme auf deny
> 
> Setzt Du nur auf tcpwrapper oder machst Du Deine Karren auch per
> iptables dicht?

Ich nehme nur tcpwrapper - Es gibt ausnahmefaelle aber da nutze ich
iptables nur fuer temporaere blockingmassnahmen von auffaelligen ip
addressen.
Ich mag iptables nicht weil es wesentlich komplexer als tcpwrapper ist.
Es ist nicht fuer den ottonormaldau ersichtlich warum etwas nicht
funktioniert obwohl es vielleicht sollte. tcpwrapper schreibt dann einen
schoenen logeintrag. Sicher - das kann iptables auch - Ich kann dir aber
mal zeigen was ich an portscans habe dann siehst du im logfile nichts
mehr und tcpwrapper schreibt bei halboffenen connections eben noch
nichts. Problem ist natuerlich wieviele der dienste gegen libwrap (Wenn
sie als daemon laufen) gebaut sind. Bei Debian ist das die ueberwiegende
mehrheit. 

> > - logcheck -> anomalien sofort wegmailen und nicht auf die loeschung
> >   warten.
> > - filewatcher -> mail ueber veraenderungen an config dateien und
> >   gleichzeitig sicherung aller aenderungen in einem rcs.
> 
> Lokal oder remote? 

Lokal - Dadurch schnell und effizient - Heutzutage macht nicht mehr "Mr
Hacker" persoehnlich systeme auf sondern sein root-kit. Das root-kit
findet solche sonderlocken auf den systemen aber nicht daher ist das
nicht weiter relevant. Fuer mich geht es in erster linie auch um das
monitoren von config datei aenderungen um mitzukriegen wenn kollegen und
andere root berechtigte personen da etwas aendern. Dann bekommt sofort
der root-admin personenkreis eine mail mit einem diff. Habe ich bei uns
in der Firma als 4/6/8 Augen prinzip eingefuehrt. D.h. es gibt nicht
mehr den fall "wir haben nichts geaendert". Sollte also jemand einen
user hinzufuegen a la "hax0r" bekomme ich eine mail mit dem passwd und
shadow diff.

"filewatcher" ist perl und braucht rcs - Ich habe mal ein deb dafuer
gebaut um mir die installation zu erleichtern:

http://silicon-verl.de/home/flo/projects/unfinished/filewatcher_2.4.1-2_all.deb

> > - Bei webservern -> Plugins minimieren, kein php oder user supplied cgis
> >   moeglichst im DocumentRoot nur statischen content.
> > - Daemons die chrooted laufen koennen auch im chroot laufen lassen 
> > - Daemons die privilegien droppen koennen dieses auch configurieren
> > - Moeglichst wenig inbound write connections d.h. rsync inbound, scp,
> >   sendfile oder ftp store. Lieber via trigger dann pollen.
> 
> Was nutzt Du dafuer?

ssh als trigger so in etwa in der .ssh/authorized_keys

no-port-forwarding,no-X11-forwarding,no-agent-forwarding,no-pty,command="~/bin/sync-debian-amd64.sh &" ssh-dss AAAAB3NzaC1kc3M[...] AMD64 Push Mirror2

Damit wird bei einem inbound ssh connect nur dieses eine command
ausgefuehrt. Da kann ich dann prima via rsync pollen.

> > Und natuerlich immer - Software aktuell halten. Debian macht dieses
> > wirklich richtig einfach.
> 
> Was haellst Du von Dingen wie GRSecurity und/oder SE-Linux?

Zu komplex fuer mich ... Kriege ich mein Hirn nicht drumgefaltet. Kann
auf einer spielkiste interessant sein aber im ernst - Wer hat ein
solches interesse daran meine kiste auf zu machen ? Es gibt nichts von
Staatstragender bedeutung - Also gehts um die erweiterung der
Drone-Army und die haben einfacherere ziele als mich.

Wenn es dann um "VS - Nur fuer den Dienstgebrauch" oder "Geheim" geht 
kann ich mir durchaus auch noch andere Barrieren vorstellen aber es geht
um dinge die jeder _OHNE_ nachdenken zu hause machen kann und damit
die angreifbarkeit seiner systeme signifikant senken kann.

Frei nach RFC1925:
"It is always possible to add another level of indirection."

Flo
-- 
Florian Lohoff                  flo at rfc822.org             +49-171-2280134
                        Heisenberg may have been here.
-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname   : nicht verfügbar
Dateityp    : application/pgp-signature
Dateigröße  : 189 bytes
Beschreibung: Digital signature
URL         : http://lug-owl.de/pipermail/lugrav/attachments/20060405/0c25e6ed/attachment.pgp