• This forum has a zero tolerance policy regarding spam. If you register here to publish advertising, your user account will be deleted without further questions.

debootstrappen oder nicht?

BlueScreen

Registered User
Hallo,

ich möchte:

- Auf meinem Server wirklich nur das laufen haben, was für den zuverlässigen, sicheren Betrieb und die geforderten Funktionalitäten absolut notwendig ist.
- Genau wissen, was ich alles installiert habe.
- Das OS so schlank wie möglich halten.

Daher die Frage: Sollte ich auf dem RootServer debootstrappen (nach einem lokalen Test)? Bzw. evtl. eine andere Methode benutzen?

Momentan habe ich dort ein minimal Sarge Image installiert, das aber doch recht viel enthält, was man nicht benötigt. Ich habe zwar schon so einiges runtergeschmissen, aber 100%ig stellt micht das noch nicht zufrieden.

Also, was tun? :)
 
Hallo!
Gegenfrage: Was stört dich konkret an deinem momentanen System?

mfG
Thorsten
 
Das halt unnötig viel Ballast vorhanden ist und ich nicht 100%ig darüber Bescheid weiß, was nun alles installiert ist (/ sein muss).


Grüße
Martin
 
Hallo!
Sorry, aber wer debootstrappen kann, kann auch apt-get remove --purge zuverlässig. Und spätestens nach dem ersten apt-get install wird auch Ballast mitinstalliert.

mfG
Thorsten
 
Achso, da hast du natürlich auch recht. Also bleibt mir im Grunde nur übrig, das manuell zu machen.
BTW: Ich kann (noch) nicht bootstrappen... ich habe es neulich nach einem sehr guten Tutorial versucht, leider gab es Probleme mit (virtuellem) Speicher...


Jetzt gleich nochmal zwei Fragen:
Auf meinen Rooty bezogen:
1. Es sind 29 Threads "geladen" (?), wovon einer aktiv ist (sshd) und 28 schlafen... ist das so ok?

2. Ich habe neulich erst einmal alle mitinstallierten Mailer, MTAs etc. per aptitude purged und dann rebooted, über telnet kann ich mich auch nicht mehr verbinden zu diesen Ports... ein Freeware-Portscanner sowie der LanGuard unter Windows zeigen mir an, dass Port 25 und 110 offen seien, was definitiv nicht sein kann :confused: nmap bei einem Kumpel unter Linux zeigt den Status "filtered" an, bei mir zeigt nmap unter Linux für alle Ports (außer meinem SSH-Port) von 0 - 65535 an, sie seien "closed", wie es auch sein sollte. Wie kann ich nun sichergehen?

Falls ihr es überprüfen wollt / könntet (ich erlaube es hiermit ausdrücklich):
IP ist 84.16.235.14

3. Sollte man nun per iptables eine FW aufsetzen oder nicht? Und sollte man z.B. den ICMP Echo Request unterbinden und wenn ja, dann per DROP oder per REJECT? Habe beide Varianten gefunden (es soll da Unterschiede geben, als was die Ports durch einen Portscanner erkannt werden).

Danke!


Edit://
BTW: Jetzt gerade bringt es nichts, wenn ihr den Scan versuchen solltet, da ich mich an IPTables versucht habe und gerade selbst ausgesperrt und ich erst auf eine Authorisierungsmöglichkeit in meinem Kundencenter warten muss.
 
Last edited by a moderator:
Hallo!
Kein SMTP, kein POP3 von außen. Portscan sieht sauber aus.
Zur Firewallfrage: Was ist wohl effektiver? Ein Paket abzulehnen (reject) oder einfach verfallen (drop) zu lassen :).

mfG
Thorsten
 
Hi Thorsten,

Scan ist gerade nur bedingt aussagekräftig. Ich habe gerade IPTables aktiviert und mich selbst ausgesperrt... komme erst in ca. 15-30 Minuten wieder auf den Server. Würde dich bitten, dann nochmal zu scannen (kann dir ja dann ne PM schicken, wenn es soweit ist und es dir Recht ist?).

Zum DROP / REJECT:
Genau das dachte ich natürlich auch, dass es sinnvoller ist, das Paket verfallen zu lassen. Allerdings hast du in einem IPTables-Thread mal diesen Link zu einem HowTo gepostet, wo relativ weit unten im zweiten Shellscript steht
(Link: http://linuxfaqs.de/howto/iptableshowto.php):


HTML:
# Antworten zulassen #
######################
iptables -A sperre -m state --state ESTABLISHED,RELATED -j ACCEPT

# Alles andere abweisen (RFC-konform) #
# folgende Zeilen garantieren RFC-konforme Antworten. (Port geschlossen), aber Antworten sind Antworten. Jedes Paket kann Informationen beinhalten, also ist ein DROP an dieser Stelle sicherer, allerdings wird ein DROP von Portscannern als gefiltert erkannt und macht den rechner interessanter, REJECT, wie es unten angeführt ist, als geschlossen. Jeder möge selbst entscheiden..
#######################################
iptables -A sperre -p tcp -j REJECT --reject-with tcp-reset
iptables -A sperre -p udp -j REJECT --reject-with icmp-port-unreachable

Grüße
Martin
 
Hallo!
BlueScreen said:
..., wenn es soweit ist und es dir Recht ist?).
Kein Problem. Neberher läuft The Fog :)
BlueScreen said:
Jeder möge selbst entscheiden..
Genu so sehe ich das auch! Grundsätzlich sollte eine Firewall nur das erlauben, was wirklich notwendig ist. Ein-und ausgehend.

mfG
Thorsten
 
D.h., jeder sollte selbst entscheiden ob DROP oder REJECT? Obwohl DROP eigentlich noch sinnvoller ist? Naja, nicht unbedingt, aber generell doch schon irgendwie?!

Was sagst du denn generell:
- Ist eine Firewall auf einem einfachen Rootserver sinnvoll?
- Intrusion Detection System wie Snort?
- Weitergehendes?

=> Viel Spaß beim "The Fog" schauen :) <=

Edit:// Rechner ist wieder on, kann wieder gescanned werden :)

@Thorsten:
Is nu gerade eh egal geworden, da ich nun exim / courier konfiguriere, besten Dank für alles!
 
Last edited by a moderator:
zu der Frage, ob man icmp sperren soll oder nicht: ich habs früher immer gesperrt. Manchmal nervt es aber, wenn man dann selber den Server nicht pingen kann :(

meine Lösung dafür: rate-limit von iptables. Damit erlaubst du "normales" Anpingen im Sekundenabstand, aber verbietest z.B. flood-pings... Die Zeile für iptables lautet:
Code:
iptables -A INPUT -p icmp -m icmp --icmp-type 8 -m limit --limit 1/sec -j ACCEPT

Außerdem lasse ich noch zu:
type 0,3,5,11 = echo-reply, dest-unreachable, redirect, time-exceeded

EDIT:
Ah, nochwas. Auf welchen Ports bei dir was "läuft", kriegst du raus mit "netstat -na | grep LISTEN"
 
Last edited by a moderator:
Hallo!
Ich war noch einen Portscan schuldig :)
Code:
login as: notyourbusiness
root@ns.microsoft.com's password:xxxxxxxxxxxxxxxxxxx
Last login: Sun Jan 15 13:10:45 2006 from root.t-ipconnect.de
ns:~ # nmap -sS -v -P0 84.16.235.14

Starting nmap V. 3.00 ( www.insecure.org/nmap/ )
Host (84.16.235.14) appears to be up ... good.
Initiating SYN Stealth Scan against (84.16.235.14)
The SYN Stealth Scan took 4 seconds to scan 1601 ports.
Interesting ports on (84.16.235.14):
(The 1598 ports scanned but not shown below are in state: closed)
Port       State       Service
135/tcp    filtered    loc-srv
139/tcp    filtered    netbios-ssn
445/tcp    filtered    microsoft-ds

Nmap run completed -- 1 IP address (1 host up) scanned in 4 seconds
ns:~ #
mfG
Thorsten
 
Danke Thorsten :)

Im Übrigen habe ich jetzt ein von mir angepasstes Portfilter-Script aufgesetzt (hier im Forum als firewall.sh von Elegantly für S4Y bekannt). Im Moment laufen nur der SSH-Daemon und das vorinstallierte Exim. Wer noch mal versuchen möchte, gerne :)
 
Hi, ich denke schon das man zur Abwehr der groben Sachen (SSH Angriffe, DDos) sich mit IPtables behelfen kann.

Habe das ganze mit firehol eingerichtet, da kann man in einem Testmodus schauen ob man sich ncith selber ausgesperrt hat... ;-)

Ansonsten must Du eben schauen was für Prozesse, Daemons etc. laufen und schauen was Du brauchst. Axo, könnte ganz Sinnvoll sein den SSH(d) Port zu verlegen, damit die Kiddies mit ihren Tools keine vollen logs erzeugen...

Cya JPsy
 
Back
Top