Hejsa,
> Under opsætning af firewall'en, kan man vælge imellem et antal forskellige
> sikkerhedsniveauer, fra "Welcome crackers" til "Paranoid".
Det er ikke opsætning af firewall'en, tværtimod. Det er opsætningen af
sikkerheden på maskinen, når du er ved den fysisk.
> Jeg har en router, hvor jeg har tænkt mig at lukke op for port 25 til FTP
og port 21
> (vist nok) til telnet (muligvis også port 80 til http).
Du skal så lige sørge for at routeren ikke lukker af for udgående trafik på
porte over 1024.
Du holder ganske vist nogle porte (FTP er port 23, port 25 er SMTP) åbne på
serveren for at give adgang til disse services. Dog etableres selve
kommunikationen på en anden port (>1024).
>Adgangen til login mener jeg kan styres vha. hosts.allow, da jeg har regnet
med at skulle kunne
> logge ind fra arbejde.
Jeg vil ikke anbefale at bruge hosts.allow eller hosts.deny til
adgangs-kontrol. Det er alt for langsomt og derved kan din maskine bringes i
knæ ved Denial-Of-Service attacks. Sæt derimod tilsvarende regler op med
ipchains (the firewall).
> Med kun de udvalgte "huller" i routeren, hvad skal firewall'en sættes op
til ?
Generelt set ... luk af for _alt_ der ikke er nødvendigt. Du kan dog også
komme langt ved lige at undersøge hvilke services, der kører på din maskine
(en standard installation er som en si på det punkt). Prøv 'netstat -a |
more ' og se hvor stor en liste af åbne porte du har. Luk af for en del i
"/etc/inetd.conf" og undlad af starte de unødvendige services op i
"/etc/rc.d/rc3.d". Jo færre du har åbne, jo bedre kan man nok sige.
> Tillægsspørgsmål: Er det fuldstændigt idiotisk at tillade telnet login ?
At have telnet åben er _altid_ en sikkerhedsrisiko. Du kunne vælge Secure
Shell i stedet. OpenSSH er en mulighed. Den kører ganske vist på port 22.
Men al kommunikation foregår krypteret. Og er derfor en hel del mere
sikkert.
> Til at styre sikkerheden, har jeg en plan om at rename ls, således at en
> eventuel "gæst" ud udførelse af ls i virkeligheden vil gennemføre en
> shutdown.
Du må ikke fjerne/rename ls, da din ftp så ikke vil virke. Og gæsten vil som
hovedregel også være ligeglad med hvad der ligger på din maskine. Men
derimod være interesseret i at komme videre ved at udnytte sikkerhedshuller
i din maskine.
Hvad angår ftp bør du ikke bruge den wu-ftp der følger med installationen.
Skift i stedet til ProFTP, der er mere sikker.
>Er det noget som vil virke, eller betyder hacking af en computer
> ikke at folk logger ind, men at de bringer den i knæ ? Hvad præcis er det
> man skal beskytte sig imod.
Uønsket adgang
... nogle siger følgende: "Det kan altid svare sig at
være en smule paranoid, når det gælder sikkerhed" ... andre "Ååårgh pjat ...
jeg har ingen vigtige data alligevel ..."
Først nævnte gruppe sover elendigt om natten fordi de ikke ved om deres
sikkerhed er stor nok. Den nederste gruppe risikerer måske at blive vækket
af nogle sort-klædte gutter
... Nåh ... spøg til side. Land et sted midt
i mellem. Find et fornuftigt niveau af sikkerhed. Hvis det viser sig at du
får angreb, så undersøg hvad der gjorde det. Det er _altid_ en åben port på
din maskine ... hvad det præcist er der har gjort det er ikke så let at
hitte ud af. Men kommer angrebet en dag, så flyt din firewall-funktion over
på en maskine for sig. Det er alt andet lige et godt sted at starte.
Så vil jeg lade det op til resten af de kloge hoveder i denne newsgroup at
korigere mig eller tilføje andre go'e detaljer.
Mvh.
Flemming