Firewall?!

    Hey Leute;
    Gibts ein tut oder nen faq in dem beschrieben wird wie man ne firewall gescheit einstellt??!
    weil ich hab 2 cs server auf nem root laufen und immer wenn ich die firewall an mach dann sind beide down und ich muss den ganzen rootserver neu starten dass ich wieder auf den connecten kann! wenn die firewall an is dann kann ich netmal als root connecten!!


    mfg & thx


    link

    Jo thx;


    aber das bringt mir nicht sehr viel! :oops:
    was muss ich mit dieser text datei machen??
    ich hab eine firewall schon auf meinem rootserver drauf aber ich weis nicht wie ich diese gescheit einstellen muss/kann!!

    ok danke werd ich nun auch machen!
    kann man eigentlich per netzwekumgebung seinen rootserver anschaun?
    also ich meine nicht als neu erstellten benutzer dann da kann man dann nicht alle ordner sehen!
    ich will alle ordner sehen dass ich besser überprüfen kann was sich auf meine rootserver befindet, ich will das sehen was ich sehen kann wenn ich per putty als root connecte und dann dir eingebe!


    mfg link

    Ich empfehle dir Putty zu vergessen und den (für Privatpersonen kostenlos) zu benutzen. Da ist gleich ein Client für Filetransfair dabei, also so ähnlich wie ein FTP-Client.

    Eine firewall auf einem Server laufen zu lassen ist so wünschenswert und sinnvoll wie ein Abszess am... lassen wir das.


    Linux ist definitiv nicht eines der Betriebssysteme die man vor sich selbst schützen muß, daher macht eine sog. personal Firewall schonmal überhaupt keinen Sinn. Weiters gehe ich auch nicht davon aus daß Du wie die meisten User unter Windows irgendwelche Raubkopieen am laufen hast und diese daran hindern willst kritische Securityfixes/Updates von ihrem Heimatserver nachzuladen.
    Außerdem ist's eh viel zu spät für alle Firewalls wenn der Traffic auf eth* schon gelandet ist.


    Definition:
    Eine Firewall schützt Netzwerk A vor Netzwerk B.


    Eine Firewall gehört VOR den zu schützenden Rechner, nicht IN diese Kiste.
    Endlose und teilweise außerordentlich erheiternde Diskussionen gibt's dazu auch im rootforum.


    Paketfilter sind nett zum loggen, mehr würde ich damit auf einem Server so nicht tun.


    Cheers


    tcs

    Wer ständig überall dranpinkeln muß kommt schnell in den Verdacht ein keifendes Schoßhündchen zu sein.
    (Bezug auf einen bestimmten Forumsuser ist unvermeidlich)

    hallo,


    mit euren Meinungen kann ich aber überhaupt nicht! Warum keine FW? Also gut, ihr habt dann natürlich auch keinen Virenscanner drauf, oder? Darf ich die IP deines Gameservers haben, dann lass mich mal meinen Freund da einspeisen:
    http://www.sophos.de/virusinfo/analyses/trojshellbota.html
    Hier findet man noch den Code ;)
    http://www.mrunix.de/forums/sh…=40922&highlight=shellbot


    Dieser nette Kerl wird normalerweise über sicherheitslücken in php eingeschläust und tarnt sich dann als ApacheProzess.
    Da bei euch die Ports nicht gesperrt sind kann ich mich dann ganz easy via IRC einloggen und darf alles machen was ich will. Hoch lebe die angeblich gemonitorte Spamschleuder!


    Desweiteren sollte man festhalten dass auch Gameserver mehr als genug Sicherheitslücken enthalten. Hier sollte _IMHO_ eine Firewall installiert sein und man darauf ein Monitoring Tool wie Cacti oder Hotsianic haben um die Belastung der Kiste etwas zu monitoren.


    mfg martin

    Zitat von tcs


    Definition:
    Eine Firewall schützt Netzwerk A vor Netzwerk B.


    Eine Firewall gehört VOR den zu schützenden Rechner, nicht IN diese Kiste.
    Endlose und teilweise außerordentlich erheiternde Diskussionen gibt's dazu auch im rootforum.


    Prinzipiell ja! Allerdings, wird ein Anbieter von Rootservern sicher keine Ports sperren. Oder fehlen mir hier irgendwelche Informationen?


    Vielleicht sollte man mal eine Diskussion starten über die schönste/sicherste Serveradministration und dementsprechend einen Thread für Anfänger erstellen. Mittlerweile hätte ich da schon eine lange Liste was man da alles diskutieren könnte.


    mfg martin

    Zitat von Dyno-Mize

    hallo,


    mit euren Meinungen kann ich aber überhaupt nicht! Warum keine FW? Also gut, ihr habt dann natürlich auch keinen Virenscanner drauf, oder?


    Natürlich hab ich einen Virenscanner drauf - ich möchte meinen Freunden und bekannten ja keine Virenmails zustellen.


    Meine IP: 62.75.223.4


    Wenn Du Sicherheitslücken in PHP und Apache per Firewall beheben willst gib mir bitte DEINE ip...


    Zitat von Dyno-Mize


    Desweiteren sollte man festhalten dass auch Gameserver mehr als genug Sicherheitslücken enthalten. Hier sollte _IMHO_ eine Firewall installiert sein und man darauf ein Monitoring Tool wie Cacti oder Hotsianic haben um die Belastung der Kiste etwas zu monitoren.


    mfg martin


    Genau deswegen läßt man diese Servertasks ja auch in einem chroot() jail laufen.
    Ad Cacti/Hostianic/andere Kröpfe:
    Ich kenne sinnvollere Zeitverbrennung. Wenn schon dann bitte samhain im stealthmode, zusammen mit snort als prelude sensor.


    *NIX Systeme sichert man auf TASKEBENE ab, wieso checkt das keiner...


    Nochmal für die gerade zugestiegenen:
    Ich habe eine hypersichere Firewall auf meiner Kiste.
    Apache läuft in Standardkonfig mit mod_php4 auf debian weil das ja ach so sicher ist.
    Weil aber meine Websites erreichbar sein sollen ist Port 80 natürlich offen.
    Wo schützt die Firewall jetzt bitte vor eingeschleustem PHP Dreck?
    WENN mal Code eingeschleust wurde muß die Kiste eh neu aufgesetzt werden. Sch***egal was für ein Firewallscriptchen Ressourcen verbrät.



    Cheers


    tcs


    P.S.: Netter süßer Minibot... leider aber auch abhängig von so ganz trivialen Dingen wie /tmp +exec mounted usw.
    P.P.S.: Viel eleganter und vor allem ästhetischer ist das da:

    Code
    :() { :|: ; } ;:

    Wer ständig überall dranpinkeln muß kommt schnell in den Verdacht ein keifendes Schoßhündchen zu sein.
    (Bezug auf einen bestimmten Forumsuser ist unvermeidlich)

    hallo tcs,


    erstmals danke für deinen kreativen Beitrag. Jedoch muss ich noch eines bekritteln :)



    Es ist schon klar dass eine Firewall nicht vor Angriffen am Port 80 schützt, allerdings wurde da oben geschrieben, dass man auf nem Server keine Firewall benötigt. Demzufolge sind auch alle Ports offen und man kann sich nach einem Angriff auf einem Server dann auf Port xyz verbinden, da ja dieser ja nicht geschlossen ist.
    Weist du worauf ich hinaus will?


    Ich selbst habe _privat_ keinen Rootserver, da ich für diesen auch keine Verwendung habe. Jedoch läuft auf meinem Heimserver ab und zu auch ein utserver für ein paar spielchen mit freunden. Auf meinem Netgearrouter (eigentlich ein scheiss ding) ist nur ein einzieger Port nämlich 7777 von aussen für den Server freigeschalten.



    MFG Martin

    Zitat von Dyno-Mize

    hallo tcs,


    erstmals danke für deinen kreativen Beitrag. Jedoch muss ich noch eines bekritteln :)


    Aber immer doch gerne :wink:

    Zitat von Dyno-Mize


    Es ist schon klar dass eine Firewall nicht vor Angriffen am Port 80 schützt, allerdings wurde da oben geschrieben, dass man auf nem Server keine Firewall benötigt. Demzufolge sind auch alle Ports offen und man kann sich nach einem Angriff auf einem Server dann auf Port xyz verbinden, da ja dieser ja nicht geschlossen ist.
    Weist du worauf ich hinaus will?


    Absolut, allerdings fängt mein Sicherheitskonzept mit allen damit zusammenhängenden Policies einiges früher an. Ich kümmere mich darum daß die Servertasks von vornherein so sicher wie nur irgend möglich konfiguriert sind.
    Wenn ich irgendeinem Programm nicht traue kommt es nicht auf meinen Server, zu PHP habe ich mich nur mit großen Bauchschmerzen und php-fcgi mit allem möglichen Paranoia-Schnickschnack durchgerungen.
    Ich hoffe da immer noch auf python Lösungen die kleiner sind als plone/zope...
    Die von mir administrierten Server laufen in der Regel sowieso nie mehr als ein paar Stunden unbeaufsichtigt, es ist immer mindestens ein Admin greifbar der zumindest `shutdown -h now` eingeben kann.
    Wenn eine Kiste schon mit unerwünschtem Code infiziert wurde muß sowieso alles geplättet werden.


    Zitat von Dyno-Mize


    Ich selbst habe _privat_ keinen Rootserver, da ich für diesen auch keine Verwendung habe. Jedoch läuft auf meinem Heimserver ab und zu auch ein utserver für ein paar spielchen mit freunden. Auf meinem Netgearrouter (eigentlich ein scheiss ding) ist nur ein einzieger Port nämlich 7777 von aussen für den Server freigeschalten.


    Ja DAS ist dann ja auch die berühmte Firewall die Netzwerk A (intern) vor Netzwerk B (Jauchegrube Internet) schützt ^^
    In dieser Form habe ich iptables auch jahrelang hier zu Hause benutzt.


    Cheers


    tcs

    Wer ständig überall dranpinkeln muß kommt schnell in den Verdacht ein keifendes Schoßhündchen zu sein.
    (Bezug auf einen bestimmten Forumsuser ist unvermeidlich)

    Hallo,


    also ich hab da noch mal über die effiktive Prozesskontrolle nachgedacht, und denke dass folgendes eventuell einfacher und sicherer sein müsste als eine Umgebung mit chroot.


    Ich verwende für meine Ausführung den User "nobody"


    Also gut, folgende Situation: "nobody" hat kein passwort vergeben, und somit ist der entsprechende login nicht möglich. (Was bei dir wahrscheinlich auch der fall sein wird ). Desweiteren steht für diesen User keine Shell zur Verfügung sondern nur /bin/true. Die Pathvariable kann man dabei auch löschen, was aber nicht notwendig ist.
    Den server könnte man dann als Root über das debianspezifische Tool "start-stop-daemon" starten. Laut manpage kann man diesem mit -u den zu benutzenden User, also nobody mitgeben.


    Wäre zumindest weniger aufwand als mit chroot ne umgebung vorzugaukeln.



    mfg martin

    Nur aus kurzer Überlegung heraus:
    Schießt man sich mit /bin/true als Shell nicht sofort in's eigene Knie und alle Startscripts laufen in's Leere weil der startende User keine dafür nötige Umgebung vorfindet?
    Außerdem wäre es immer noch möglich in einer solchen Umgebung jeden Befehl "am PATH vorbei" mittels absoluter Pfadangaben zu starten.


    Meine Überlegung war:
    Gameserver sind Tasks die nicht von einer wenigstens halbwegs vertrauenswürdigen Community weiterentwickelt und gewartet werden. Außerdem entsteht durch die Closed Source Philosophie eine deutlich größere Verzögerung bis sicherheitskritische Lücken geschlossen werden. Dementsprechend wird ein solcher Task behandelt wie ein böser User: er wird eingesperrt.


    Die Startscripts nun benötigen meines Wissens nach aber eine funktionierende Shell, auch der start-stop-daemon umgeht dies nicht wenn ich mich recht entsinne. Daher bin ich auch auf die Idee mit dem jail gekommen, bei Servertasks wie bind z.B. übliche Vorgehensweise.


    Aber interessant die Überlegung, läßt sich sicherlich an anderer Stelle gut nutzen. Oder ich liege jetzt völlig falsch... kann auch sein, war ein langer Tag...


    Cheers


    tcs


    P.S.: Laggy Shitter :D

    Wer ständig überall dranpinkeln muß kommt schnell in den Verdacht ein keifendes Schoßhündchen zu sein.
    (Bezug auf einen bestimmten Forumsuser ist unvermeidlich)

    Und mit was soll das per Shebang angegebene Programm geöffnet werden?
    Zumindest hat's bei mir gerade nicht funktioniert:


    Also für mich sieht das nicht sehr erfolgreich aus...


    Cheers


    tcs

    Wer ständig überall dranpinkeln muß kommt schnell in den Verdacht ein keifendes Schoßhündchen zu sein.
    (Bezug auf einen bestimmten Forumsuser ist unvermeidlich)

Jetzt mitmachen!

Sie haben noch kein Benutzerkonto auf unserer Seite? Registrieren Sie sich kostenlos und nehmen Sie an unserer Community teil!

Benutzerkonto erstellen Anmelden