|
| Sikkerhed på FreeBSD for semi-newbie Fra : Morten |
Dato : 07-05-03 09:59 |
|
Jeg har gennen nogle år leget lidt med FreeBSD som web- og mailserver og kan
fint sætte det op så det virker, men aldrig noget der har været tilgængeligt
uden for mit LAN. Nu vil jeg dog gerne hoste mine domæner selv i stedet for
at betale andre for at gøre det.
Hvis jeg retter mig efter nedenstående, hvor sikker vil jeg så være mod
ubehagelige oplevelser så som at blive hacket, få læst min private email
eller få mine sider defaced, etc.?
-Jeg deaktiverer telnet og ftp i inetd og ikke tillader at logge direkte på
som root via ssh.
-Jeg kun har åbnet routeren som maskinen står bag for port 22, 25, 80, 110.
-Jeg holder mig up to date med patches og nye stables.
-Bruger fornuftige passwords
-Det generelt kun er mig der har adgang til maskinen gennem SSH og fysisk.
Med andre ord, kan man have en maskine med FreeBSD sikkert på nettet uden at
være FreeBSD-guru?
Morten
| |
Jakob Wolffhechel (07-05-2003)
| Kommentar Fra : Jakob Wolffhechel |
Dato : 07-05-03 10:08 |
|
"Morten" <no@email.invalid> wrote in message
news:3eb8cac6$0$89606$edfadb0f@dread16.news.tele.dk...
> Med andre ord, kan man have en maskine med FreeBSD sikkert på nettet uden
at
> være FreeBSD-guru?
du kan sagtens sætte en freebsd maskine på et netværk uden at den kan
tilgås, hvis det er det, du spørger om. du kan eksempelvis installere ipfw
som en del af kernen... den defaulter til at blokere al trafik... du kan så
åbne for de ting, du har brug for... web, mail, dns, icmp etc.... nå ja..
ipfw er den ene af freebsds indbyggede firewalls (den anden er ipfilter).
jeg synes personligt at denne fremgangsmåde er den bedste... på den måde
lærer du osse, hvilke ipfw kommandoer, der gør hvad for dig...
/j
| |
Alex Holst (07-05-2003)
| Kommentar Fra : Alex Holst |
Dato : 07-05-03 10:21 |
|
Jakob Wolffhechel <themuss@removethis.it.dk> wrote:
> du kan sagtens sætte en freebsd maskine på et netværk uden at den kan
> tilgås, hvis det er det, du spørger om. du kan eksempelvis installere ipfw
> som en del af kernen... den defaulter til at blokere al trafik... du kan så
> åbne for de ting, du har brug for... web, mail, dns, icmp etc.... nå ja..
> ipfw er den ene af freebsds indbyggede firewalls (den anden er ipfilter).
>
> jeg synes personligt at denne fremgangsmåde er den bedste... på den måde
> lærer du osse, hvilke ipfw kommandoer, der gør hvad for dig...
Hvordan hjaelper det ham, naeste gang der er et hul i en af de services
hans firewall tillader forbindelser til?
http://a.area51.dk/sikkerhed/ordforklaring#firewalls
--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.mongers.org
| |
Jakob Wolffhechel (07-05-2003)
| Kommentar Fra : Jakob Wolffhechel |
Dato : 07-05-03 12:26 |
|
"Alex Holst" <a@mongers.org> wrote in message
news:vovmo-ks2.ln1@miracle.mongers.org...
> Jakob Wolffhechel <themuss@removethis.it.dk> wrote:
> > du kan sagtens sætte en freebsd maskine på et netværk uden at den kan
> > tilgås, hvis det er det, du spørger om. du kan eksempelvis installere
ipfw
> > som en del af kernen... den defaulter til at blokere al trafik... du kan
så
> > åbne for de ting, du har brug for... web, mail, dns, icmp etc.... nå
ja..
> > ipfw er den ene af freebsds indbyggede firewalls (den anden er
ipfilter).
> Hvordan hjaelper det ham, naeste gang der er et hul i en af de services
> hans firewall tillader forbindelser til?
Well, nu prøvede jeg ikke lige at dække ALT, hvad der kunne eller burde
gøres for at sikre maskinen... De fleste services kan i kortere eller
længere tid gennem deres udvikling exploites. Det er vel det, du refererer
til? Såvidt jeg forstod, var skriver udmærket klar over, hvad det indebærer
at køre services og holde dem opdateret, eller har jeg misforstået. Såvidt
jeg forstod, ledte han bare efter pointers.. Jvf: area51.
Jeg prøvede såmænd bare at beskrive den bedste (for mig) måde at smide en ny
freebsd maskine på et netværk. At du så hellere ser, han holder de services,
han natter, i chroots/jails er fair nok... Jeg er bare til en solid firewall
istedet. Det er vel et spørgsmål om personlig smag...
Forøvrigt er det meget nemt at spærre af for sine services med ipfw, så
"hele verden" (som du skrev det. (stor og ukendt)) ikke kan nå dem.... Man
kunne evt. sætte sine services til kun at acceptere visse ip-adresser,
ranges, mac-adresser osv, så verden pludselig ikke er så stor alligevel...
Det er et spørgsmål om personlig smag...
/j
| |
Alex Holst (07-05-2003)
| Kommentar Fra : Alex Holst |
Dato : 07-05-03 12:49 |
|
Jakob Wolffhechel <themuss@removethis.it.dk> wrote:
> Jeg prøvede såmænd bare at beskrive den bedste (for mig) måde at smide en ny
> freebsd maskine på et netværk. At du så hellere ser, han holder de services,
> han natter, i chroots/jails er fair nok... Jeg er bare til en solid firewall
> istedet. Det er vel et spørgsmål om personlig smag...
Nej, det er et spoergsmaal om at forstaa problemet. En firewall loeser
et helt andet problem end service konfiguration/jailing goer.
En firewall kan bruges til at naegte adgang til en service, hvorimod det
andet bruges til at give adgang til en service uden at udlevere hele
systemet til en evt. angriber.
I tilfaeldet hvor kun 4 porte bliver forwardet igennem routeren, goer en
firewall ingen positiv forskel.
--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.mongers.org
| |
Jakob Wolffhechel (07-05-2003)
| Kommentar Fra : Jakob Wolffhechel |
Dato : 07-05-03 13:33 |
|
"Alex Holst" <a@mongers.org> wrote in message
news:ld8no-f2a.ln1@miracle.mongers.org...
> Jakob Wolffhechel <themuss@removethis.it.dk> wrote:
> > Jeg prøvede såmænd bare at beskrive den bedste (for mig) måde at smide
en ny
> > freebsd maskine på et netværk. At du så hellere ser, han holder de
services,
> > han natter, i chroots/jails er fair nok... Jeg er bare til en solid
firewall
> > istedet. Det er vel et spørgsmål om personlig smag...
>
> Nej, det er et spoergsmaal om at forstaa problemet. En firewall loeser
> et helt andet problem end service konfiguration/jailing goer.
Ja. Det kan jeg godt se.
> En firewall kan bruges til at naegte adgang til en service, hvorimod det
> andet bruges til at give adgang til en service uden at udlevere hele
> systemet til en evt. angriber.
vi er enige om at det sidste, hvorimod firewallen, som jeg ser den, sorterer
i adgangen til en service... den nægter ikke... i mit tilfælde accepterer
den rent faktisk. Det kan godt være, det er ordgejl, men jeg synes nu, det
er værd at få med, når man taler sikring af sin FreeBSD maskine. IPFW er et
utroligt godt og solidt værktøj, der kan mere end bare allow any og deny
any..
Da jeg selv begyndte med FreeBSD, lukkede jeg min maskine af med ipfw, fordi
jeg ikke var sikker på, hvilke services jeg kørte, eller om jeg var "skarp"
nok til at holde styr på det hele (bla. at holde min apache opdateret)...
Det gav mig en vis ro i sindet... Jeg kunne i ro og mag lege med
"semi"-public services uden at være bekymret for, jeg blev rooted eller på
anden måde exploited ved at køre gamle versioner eller forkerte
konfigurationer af disse.
> I tilfaeldet hvor kun 4 porte bliver forwardet igennem routeren, goer en
> firewall ingen positiv forskel.
Det skal siges, at min firewall er en FreeBSD, så det er imperativt, at der
ikke er lukket op for trafik per default. Det er jo nok derfor, jeg så
sætter min lid til en firewall først og fremmest. Nattingen i en router kan
slet ikke måle sig med ipfws funktionalitet (ved dog ikke med dyre
industri-routere). Netop af de grunde jeg har beskrevet overfor, benytter
jeg IPFW (...til at sikre mine maskiner (først og fremmest)); både firewall
og klienter.
Dernæst er det så et spørgsmål om at konfigurere mine services "rigtigt" /
sikkert og så sørge for at holde mit system og mit ports-træ opdateret.
Burde jeg revidere min opfattelse? Evt. nogle links om sikkerhed?
/j
| |
Alex Holst (07-05-2003)
| Kommentar Fra : Alex Holst |
Dato : 07-05-03 16:11 |
|
Jakob Wolffhechel <themuss@removethis.it.dk> wrote:
> Burde jeg revidere min opfattelse? Evt. nogle links om sikkerhed?
Ja, det burde du. Der er masser af referencer i den foernavnte OSS'en:
http://a.area51.dk/sikkerhed/videre
--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.mongers.org
| |
Jakob Wolffhechel (08-05-2003)
| Kommentar Fra : Jakob Wolffhechel |
Dato : 08-05-03 07:18 |
|
"Alex Holst" <a@mongers.org> wrote in message
news:s9kno-8so.ln1@miracle.mongers.org...
> Jakob Wolffhechel <themuss@removethis.it.dk> wrote:
> > Burde jeg revidere min opfattelse? Evt. nogle links om sikkerhed?
>
> Ja, det burde du. Der er masser af referencer i den foernavnte OSS'en:
freebsd cheat sheets, freebsd diary, onlamp og handbook'en er ellers osse
meget gode.
/j
| |
Alex Holst (07-05-2003)
| Kommentar Fra : Alex Holst |
Dato : 07-05-03 10:18 |
|
Morten <no@email.invalid> wrote:
> Hvis jeg retter mig efter nedenstående, hvor sikker vil jeg så være mod
> ubehagelige oplevelser så som at blive hacket, få læst min private email
> eller få mine sider defaced, etc.?
Der er ikke noget ja/nej svar paa dit spoergsmaal. I stedet boer du
spoerge: "Er min sikkerhedspolitik tilstraekkelig?" og "Overholder jeg
min sikkerhedspolitik?"
Du koerer 4 daemons som alle andre i hele verdenen kan naa. Det
medfoerer en vis risiko. Du kan nedsaette risikoen ved at vaelge dit
software med omhu, disable alle funktioner du ikke bruger, (f.eks.
moduler i din webserver eller authentication metoder i sshd), benytte
chroot/jails eller andre metoder til at begraense en evt. skade ved et
indbrud. Se ogsaa serverafsnittet i OSS'en for dk.edb.sikkerhed:
http://a.area51.dk/sikkerhed/servere
Hvis du ikke har brug for Apache's smarte funktioner kan du maaske
noejes med en lille webserver som publicfile. Vaelg en POP3 server der
er designet og skrevet af en kompetent person. Solar Designer's popa3d
kunne vaere et bud. Brug en anden MTA end sendmail. Hvis du vil koere
OpenSSH saa slaa saa mange funktioner fra som muligt, og benyt privsep.
FreeBSD 5 har en helt anden sikkerhedsmodel end 4.x, som giver en masse
muligheder for opdeling af adgang og roller.
> -Bruger fornuftige passwords
Jeg goer normalt en del for at undgaa statiske passwords. De er for
lette at gaette og man har ikke nogen maade at finde ud af, hvornaar
nogen har gaettet passwordet. Kig paa SSH keys.
--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.mongers.org
| |
Socketd (07-05-2003)
| Kommentar Fra : Socketd |
Dato : 07-05-03 11:14 |
|
On Wed, 7 May 2003 10:58:39 +0200
"Morten" <no@email.invalid> wrote:
> -Jeg deaktiverer telnet og ftp i inetd og ikke tillader at logge
> direkte på som root via ssh.
> -Jeg kun har åbnet routeren som maskinen står bag for port 22, 25, 80,
> 110.-Jeg holder mig up to date med patches og nye stables.
> -Bruger fornuftige passwords
> -Det generelt kun er mig der har adgang til maskinen gennem SSH og
> fysisk.
Når FreeBSD 5.2 engang udkommer skriver jeg nok en "how to make FreeBSD
secure guide", men indtil da så luk/disable alt og "luk op"/installere
kun det du skal bruge.
Læs "man security" og benyt dig af securelevel, mounting med nosuid
eller noexec og diverse flags på dine logfiler. Egentlig bør du lave en
logserver, som kun kører syslogd. Men ellers som Alex siger, så er
sendmail nok ikke et godt valg, jeg kører selv med den nu, men det er
også snart slut.....tror jeg skifter til postfix.
mvh
socketd
| |
|
|