|
| sikkerhed på debian spand (lang) Fra : Thomas Damgaard |
Dato : 17-01-02 19:07 |
|
Hej gruppe,
Jeg har lige installeret en ny server med debian.
Nu kører det hele som jeg gerne vil have det til.
Jeg vil bare gerne have sat den nogenlunde sikkert op. Jeg er dog ikke den
store sikkerhedshaj. Her håber jeg at kunne få lidt hjælp af jer
Stort set det hele på den er konfigureret default.
Services som den kører og skal blive ved med at køre:
- ssh/scp
- apache med php
- MySQL
- proftpd
- postfix smtp
Lad nu være med at smide ting efter mig fordi jeg kører ftp. Det er jeg
desværre nødt til. Jeg ved godt det ikke er krypteret, men jeg har et par
brugere som skal kunne uploade til deres public_html, og dem kan jeg ikke få
til at bruge scp.
Jeg er som sagt ikke en haj til sikkerhed og der er da osse en masse der
kører som sikkert ikke er nødvendigt at have kørende.
Jeg kan lige smide en nmap:
Port State Service
9/tcp open discard
13/tcp open daytime
21/tcp open ftp
22/tcp open ssh
25/tcp open smtp
37/tcp open time
53/tcp open domain
79/tcp open finger
80/tcp open http
113/tcp open auth
143/tcp open imap2
Nu siger I jo helt sikkert at der er en masse services jeg skal lukke. Men
jeg er ikke helt klar over hvordan.
Jeg har også gerne villet have noget pop3/imap til at køre, men har (som I
sikkert kan se) ikke helt fået det til at køre. imap2 porten er dog åben,
men det virker vist ikke helt. Jeg ville sådan set osse hellere fjerne imap2
og installere noget pop3 i stedet for.
Jeg håber I vil hjælpe mig med råd/vejledninger til hvad jeg skal gøre.
Jeg vil også gerne hvis I kunne fortælle mig hvilke docs jeg skal læse om
sikkerhed på en debian box.
Mvh
Thomas
| |
Allan Olesen (17-01-2002)
| Kommentar Fra : Allan Olesen |
Dato : 17-01-02 23:36 |
|
"Thomas Damgaard" <foo@fjerritslev-gym.dk> wrote:
>- ssh/scp
Jeg tror nok, at defaultkonfigurationen i Debian er at tillade SSH1.
Eller rettere, jeg kører en Debian-afart (Progeny), hvor jeg vistnok
blev spurgt under en opgradering, men med "Tillad SSH1" som anbefalet
svar.
Men du har forhåbentlig lukket for SSH1?
Hvordan man tester det, så man er sikker? Aner det ikke. Min egen test
går ud på at forsøge at koble op til maskinen med en ny og en gammel
PuTTY. Hvis jeg kan koble op med den nye, men ikke med den gamle, er
det nok i orden, men der eksisterer forhåbentlig en mere autoriseret
metode.
(Jeg har kun SSH-adgang udefra fra een bestemt IP, som jeg selv er
herre over, så det har ikke haft høj prioritet at finde en sikker
testmetode.)
--
Allan Olesen, Lunderskov.
Danske musikere tjener penge ved ulovlig softwarekopiering.
| |
Thomas Damgaard (18-01-2002)
| Kommentar Fra : Thomas Damgaard |
Dato : 18-01-02 00:01 |
|
>
> >- ssh/scp
>
> Jeg tror nok, at defaultkonfigurationen i Debian er at tillade SSH1.
> Eller rettere, jeg kører en Debian-afart (Progeny), hvor jeg vistnok
> blev spurgt under en opgradering, men med "Tillad SSH1" som anbefalet
> svar.
>
> Men du har forhåbentlig lukket for SSH1?
Jeg kører svjh ssh2, men hvor tjekker jeg det for at være helt sikker?
> Hvordan man tester det, så man er sikker? Aner det ikke. Min egen test
> går ud på at forsøge at koble op til maskinen med en ny og en gammel
> PuTTY. Hvis jeg kan koble op med den nye, men ikke med den gamle, er
> det nok i orden, men der eksisterer forhåbentlig en mere autoriseret
> metode.
>
Jeg kan kun med den nye devsnapshot
> (Jeg har kun SSH-adgang udefra fra een bestemt IP, som jeg selv er
> herre over, så det har ikke haft høj prioritet at finde en sikker
> testmetode.)
>
Jeg har dog brug for at kunne connecte til min spand fra flere IP'er plus
jeg har en række brugere som har brug for at kunne conencte til den.
| |
Michael Knudsen (18-01-2002)
| Kommentar Fra : Michael Knudsen |
Dato : 18-01-02 11:55 |
|
Hej Thomas
> > Men du har forhåbentlig lukket for SSH1?
>
> Jeg kører svjh ssh2, men hvor tjekker jeg det for at være helt sikker?
Hvis du bruger OpenSSH, så er det typisk /etc/sshd_config. Kig efter en
linie, hvor der står:
Protocol 1,2
Fjern 1, hvis du kun vil køre ssh2.
Hvis du ikke kan finde den, så prøv:
$ find / -type f -name sshd_config
Så skulle den gerne dukke op.
Mvh. Michael
--
Rumour is information distilled so finely that it can filter through
anything.
-- (Terry Pratchett, Feet of Clay)
| |
Allan Olesen (18-01-2002)
| Kommentar Fra : Allan Olesen |
Dato : 18-01-02 19:14 |
|
Michael Knudsen <mk267673@but.auc.dk> wrote:
>Hvis du bruger OpenSSH, så er det typisk /etc/sshd_config. Kig efter en
>linie, hvor der står:
>
> Protocol 1,2
Ja, det er der, man konfigurerer det, men jeg har en ide om, at man
også bør teste. Det ville jo være ærgerligt at finde ud af, at sshd
bruger en helt anden konfigurationsfil end den, man har rettet i.
Til det bruger jeg som sagt Windows-SSH-klienten PuTTY i en gammel
udgave, som ikke kan snakke SSH2. Hvis man kan komme til at bruge en
anden linuxmaskine som klient, kan man selvfølgelig bare forsøge at
oprette en SSH-forbindelse med parameteren -1, som fremtvinger SSH1.
Det skulle gerne mislykkes.
--
Allan Olesen, Lunderskov.
Danske musikere tjener penge ved ulovlig softwarekopiering.
| |
Michael Knudsen (18-01-2002)
| Kommentar Fra : Michael Knudsen |
Dato : 18-01-02 22:28 |
|
Hej Allan
> >Hvis du bruger OpenSSH, så er det typisk /etc/sshd_config. Kig efter en
> >linie, hvor der står:
> >
> > Protocol 1,2
>
> Ja, det er der, man konfigurerer det, men jeg har en ide om, at man
> også bør teste. Det ville jo være ærgerligt at finde ud af, at sshd
> bruger en helt anden konfigurationsfil end den, man har rettet i.
Ah. Nu antog jeg, at man selvfølgelig kender sit system godt nok.
> Til det bruger jeg som sagt Windows-SSH-klienten PuTTY i en gammel
> udgave, som ikke kan snakke SSH2. Hvis man kan komme til at bruge en
> anden linuxmaskine som klient, kan man selvfølgelig bare forsøge at
> oprette en SSH-forbindelse med parameteren -1, som fremtvinger SSH1.
> Det skulle gerne mislykkes.
Man kan (selvfølgelig) også bruge netcat:
> nc -vv localhost 22
< localhost [127.0.0.1] 22 (?) open
< SSH-1.99-OpenSSH_2.9.9p2
> SSH-1.00-ClosedSSH_1.0.0
'>' angiver, hvad du skal skrive.
Mvh. Michael
--
Rumour is information distilled so finely that it can filter through
anything.
-- (Terry Pratchett, Feet of Clay)
| |
Allan Olesen (22-01-2002)
| Kommentar Fra : Allan Olesen |
Dato : 22-01-02 22:42 |
|
Michael Knudsen <mk267673@but.auc.dk> wrote:
>Ah. Nu antog jeg, at man selvfølgelig kender sit system godt nok.
Verden er fyldt med ofre, der troede, de kendte deres system.
>Man kan (selvfølgelig) også bruge netcat:
Åh, så let? Takker.
--
Allan Olesen, Lunderskov.
Danske musikere tjener penge ved ulovlig softwarekopiering.
| |
Jesper Dybdal (18-01-2002)
| Kommentar Fra : Jesper Dybdal |
Dato : 18-01-02 18:51 |
|
Allan Olesen <aolesen@post3.tele.dk> wrote:
>Men du har forhåbentlig lukket for SSH1?
Hvad er problemet med ssh1?
Jeg bruger ssh1 fordi jeg tilfældigvis har vænnet mig til en
Windows-klient - TTSSH - som kun understøtter ssh1. Jeg ved godt
at ssh1 er mindre sikker end ssh2, men jeg har - uden at sætte
mig ind i hvad det egentlig handler om, og måske fejlagtigt -
fået det indtryk at forskellen i praksis er ligegyldig medmindre
man er et så attraktivt mål at nogen vil ofre _rigtig_ meget
besvær på at bryde krypteringen.
Har du evt. et link til en beskrivelse af ulemperne ved ssh1?
>Hvordan man tester det, så man er sikker? Aner det ikke. Min egen test
>går ud på at forsøge at koble op til maskinen med en ny og en gammel
>PuTTY. Hvis jeg kan koble op med den nye, men ikke med den gamle, er
>det nok i orden, men der eksisterer forhåbentlig en mere autoriseret
>metode.
Man kan prøve at koble op med "ssh -1 ..." og "ssh -2 ...". Det
kan openssh i hvert fald, og det er vel lidt nærmere på
"autoriseret" end putty-versioner.
--
Jesper Dybdal, Denmark.
http://www.dybdal.dk (in Danish).
| |
Klaus Ellegaard (18-01-2002)
| Kommentar Fra : Klaus Ellegaard |
Dato : 18-01-02 18:58 |
| | |
Jesper Dybdal (18-01-2002)
| Kommentar Fra : Jesper Dybdal |
Dato : 18-01-02 20:26 |
|
Klaus Ellegaard <klaus@ellegaard.dk> wrote:
>Jesper Dybdal <jdunet@u7.dybdal.dk> writes:
>
>>Allan Olesen <aolesen@post3.tele.dk> wrote:
>
>>>Men du har forhåbentlig lukket for SSH1?
>
>>Hvad er problemet med ssh1?
>
>Se http://www.cert.org/advisories/CA-2001-35.html#references
Tak.
Jeg synes ikke jeg i den liste kan finde et eneste ssh1-specifikt
problem som en nogenlunde ny openssh er sårbar overfor. Så
medmindre jeg har overset noget væsentligt, vil jeg roligt
fortsætte med ssh1.
--
Jesper Dybdal, Denmark.
http://www.dybdal.dk (in Danish).
| |
Allan Olesen (18-01-2002)
| Kommentar Fra : Allan Olesen |
Dato : 18-01-02 21:10 |
|
Jesper Dybdal <jdunet@u7.dybdal.dk> wrote:
>Jeg synes ikke jeg i den liste kan finde et eneste ssh1-specifikt
>problem som en nogenlunde ny openssh er sårbar overfor. Så
>medmindre jeg har overset noget væsentligt, vil jeg roligt
>fortsætte med ssh1.
For et par måneders tid siden var der store mængder tilfældige
SSH1-angreb rundt omkring. Jeg er næsten sikker på, at jeg i en af
dk-grupperne så en beretning vedr. en ny openssh med SSH1-adgang, som
var blevet ramt. Men jeg kan da huske forkert.
--
Allan Olesen, Lunderskov.
Danske musikere tjener penge ved ulovlig softwarekopiering.
| |
Jesper Dybdal (18-01-2002)
| Kommentar Fra : Jesper Dybdal |
Dato : 18-01-02 21:45 |
|
Allan Olesen <aolesen@post3.tele.dk> wrote:
>For et par måneders tid siden var der store mængder tilfældige
>SSH1-angreb rundt omkring. Jeg er næsten sikker på, at jeg i en af
>dk-grupperne så en beretning vedr. en ny openssh med SSH1-adgang, som
>var blevet ramt. Men jeg kan da huske forkert.
Måske tænker du på den tråd som begyndte med:
Subject: hacked sshd crc32 compensation attack
Date: Fri, 2 Nov 2001 16:50:36 +0000 (UTC)
Message-ID: <9ruiss$en0$1@news.net.uni-c.dk>
Den udmærkede sig ved tilsyneladende at handle om openssh 2.9p2
(som ikke er specielt gammel), men senere i tråden fandt han ud
af at det kun var klienten han havde fået opgraderet til 2.9p2,
mens serveren var en gammel sag. Så hvis det er den tråd du
tænker på, så var det en fejl som er rettet for længe siden (i
openssh 2.3.0).
Men det er naturligvis en god påmindelse om at opgradere sin
ssh-server når der findes fejl.
--
Jesper Dybdal, Denmark.
http://www.dybdal.dk (in Danish).
| |
Allan Olesen (18-01-2002)
| Kommentar Fra : Allan Olesen |
Dato : 18-01-02 21:45 |
|
Jesper Dybdal <jdunet@u7.dybdal.dk> wrote:
>Måske tænker du på den tråd som begyndte med:
> Subject: hacked sshd crc32 compensation attack
> Date: Fri, 2 Nov 2001 16:50:36 +0000 (UTC)
> Message-ID: <9ruiss$en0$1@news.net.uni-c.dk>
Du har ret.
--
Allan Olesen, Lunderskov.
Danske musikere tjener penge ved ulovlig softwarekopiering.
| |
Michael Knudsen (18-01-2002)
| Kommentar Fra : Michael Knudsen |
Dato : 18-01-02 12:08 |
|
Hej Thomas
> Services som den kører og skal blive ved med at køre:
>
> - ssh/scp
> - apache med php
> - MySQL
Jeg ville ikke bruge MySQL for det første. Du har sikret dig, at den
ikke kører som root, at dine brugere ikke har overflødige privilegier og
at den ikke lytter på en port (med mindre du har brug for dette), ikke
sandt? Sørg for, at dine brugere benytter ordentlige passphrases. Undlad
at bruge dens 'root' bruger. Apache.org blev rooted på denne måde[1].
> - proftpd
Hvis du absolut skal bruge ftp, burde du måske overveje at bruge en
anden. OpenBSDs (evt. pureftpd) skulle være 'god'.
> - postfix smtp
Du kunne evt. bruge qmail istedet, men det er ikke kritisk.
> Lad nu være med at smide ting efter mig fordi jeg kører ftp. Det er jeg
> desværre nødt til. Jeg ved godt det ikke er krypteret, men jeg har et par
> brugere som skal kunne uploade til deres public_html, og dem kan jeg ikke få
> til at bruge scp.
Jeg formoder, at det er nogle stakkels windowsbrugere? Har du overvejet
at få dem til at bruge PuTTYs scp? Der findes svjv. en fin frontend til
dette.
> Jeg er som sagt ikke en haj til sikkerhed og der er da osse en masse der
> kører som sikkert ikke er nødvendigt at have kørende.
> Jeg kan lige smide en nmap:
>
> Port State Service
> 9/tcp open discard
> 13/tcp open daytime
> 21/tcp open ftp
> 22/tcp open ssh
> 25/tcp open smtp
> 37/tcp open time
> 53/tcp open domain
> 79/tcp open finger
> 80/tcp open http
> 113/tcp open auth
> 143/tcp open imap2
>
> Nu siger I jo helt sikkert at der er en masse services jeg skal lukke. Men
> jeg er ikke helt klar over hvordan.
$ $EDITOR /etc/inetd.conf
Fjern i hvert fald finger. Jeg vil dog anbefale, at du fjerner alt, du
ikke ved, at du skal bruge. Domain er formodentlig en BIND. Den skal du
fjerne fra /etc/rcx.d. x er din default runlevel. Find den i :
/etc/inittab
> Jeg har også gerne villet have noget pop3/imap til at køre, men har (som I
> sikkert kan se) ikke helt fået det til at køre. imap2 porten er dog åben,
> men det virker vist ikke helt. Jeg ville sådan set osse hellere fjerne imap2
> og installere noget pop3 i stedet for.
Jeg har selv brugt solar designers popa3d. Den virker ret godt, men det
er stadig cleartext..
http://www.openwall.com/
Mht. læsning, så prøv google.
[1]
http://packetstorm.decepticons.org/papers/general/how.defaced.apache.org.txt
Mvh. Michael
--
Rumour is information distilled so finely that it can filter through
anything.
-- (Terry Pratchett, Feet of Clay)
| |
Bo Simonsen (21-01-2002)
| Kommentar Fra : Bo Simonsen |
Dato : 21-01-02 15:58 |
|
On Thu, 17 Jan 2002 19:07:04 +0100, Thomas Damgaard wrote:
Jeg synes lige jeg ville komme med mine kommentare.
> - ssh/scp
Fint nok så længe det er med protocol 2 (som tidligere nævnt)
> - apache med php
Fint nok
> - MySQL
Hvis du kører den som debians standart installation dvs. via en UNIX
socket er det sikkert nok (så længe du ikke udgiver gratis shell
acconuts). Prøv evt. telnet localhost 3306, det skulle meget gerne givet
tcp-reset. (connection refused)
> - proftpd
En god og sikker ftpd.
> - postfix smtp
Den er også ok sikker.
Men bare du sørger for at holde pakkerne opdateret med
'apt-get update && apt-get upgrade' og du selvføglelig har
tilføjet noget i stil med i /etc/apt/source.list :
deb http://security.debian.org stable/updates main contrib non-free
--
Med venlig hilsen
Bo Simonsen
Join the GNU generation
| |
Alex Holst (22-01-2002)
| Kommentar Fra : Alex Holst |
Dato : 22-01-02 21:30 |
|
Jeg vaekker en lidt gammel traad, men jeg synes der manglede et par ting i
de andre svar du fik.
Thomas Damgaard <foo@fjerritslev-gym.dk> wrote:
> Services som den kører og skal blive ved med at køre:
>
> - ssh/scp
> - apache med php
> - MySQL
> - proftpd
> - postfix smtp
Spoergsmaalet er faktisk ikke hvilke services du koerer, men hvordan du
koerer dem. SSH kan vaere et bedre valg end telnetd, men hvis du har et par
uheldige linier i din sshd_config har du skudt dig selv i foden.
Mange maskiner som ellers virker "sikre" naar man ser paa outputtet fra nmap
eller netstat har ofte forskellige huller i PHP kode, konfigurationsfejl i
et Apache modul, osv.
Vi skal vide meget mere foer vi virkeligt kan hjaelpe dig.
http://a.area51.dk/sikkerhed/indledning#bedste
> Lad nu være med at smide ting efter mig fordi jeg kører ftp. Det er jeg
> desværre nødt til. Jeg ved godt det ikke er krypteret, men jeg har et par
> brugere som skal kunne uploade til deres public_html, og dem kan jeg ikke
> få til at bruge scp.
Hvis du mener at sikkerhed er vigtigt og det er -din- maskine kan du faa
brugerne til hvad som helst -- eller bede dem gaa et andet sted hen. Jeg kan
simpelthen ikke tro, at folk som kan bruge en FTP klient ikke kan bruge 10
minutter paa at laere WinSCP eller lignende.
> Jeg vil også gerne hvis I kunne fortælle mig hvilke docs jeg skal læse om
> sikkerhed på en debian box.
Der er en bog om UNIX sikkerhed paa listen over videre laesning.
http://a.area51.dk/sikkerhed/videre
--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.area51.dk/
| |
|
|