---

Yello

Hvordan sætte jeg lettest min linux box op, så ingen kan få adgang til mit
system. Som det er nu kan man bare indtaste mit host name og så svare Apache.

Dette kan vel blokkes alt adgang i apaches config filer men
hvordan sikre jeg mig at der ikke er andre huller. Jeg har ingen ftp
eller. lig. services installeret.

Jeg har installeret:
Bastille firewall
ipchains
iptables

iptables-Howto giver ikke nogen mening, og dokumentatioen til Bastille er
heller ikke god.

Jeg kan godt poste min Bastille config fil, men den fylder lidt.

På forhånd tak, en letter paranoid bruger ;)
--
Mvh. / Kind regards
Henrik Farre (enrique@obel.auc.dk)      

Webpage: http://Welcome.to/Webbench
-If I where God, I would recompile the penguin with --enable-flying.

---

Den Sun, 10 Jun 2001 19:29:27 -0400 skrev Henrik Farre:
>Yello
>
>Hvordan sætte jeg lettest min linux box op, så ingen kan få adgang til mit
>system. Som det er nu kan man bare indtaste mit host name og så svare Apache.
>
>Dette kan vel blokkes alt adgang i apaches config filer men
>hvordan sikre jeg mig at der ikke er andre huller. Jeg har ingen ftp
>eller. lig. services installeret.
>
>Jeg har installeret:
>Bastille firewall
>ipchains
>iptables

Er det linux-2.2 eller 2.4? Og hvilken distribution?

Har du brug for en firewall? Ofte er det nemmere bare at stoppe
alle services (apache, sshd, inetd, portmap, nfsd).

Mvh
Kent
--
http://www.celebrityshine.com/~kfr/

---

Yello

I artikel <9g0hl5$orc$2@sunsite.dk>, skrev "Kent Friis"
<kfr@fleggaard.dk>:

> Er det linux-2.2 eller 2.4? Og hvilken distribution?

2.4.3 med iptables, og Mandrake 8.0

> Har du brug for en firewall? Ofte er det nemmere bare at stoppe alle
> services (apache, sshd, inetd, portmap, nfsd).

Jeg er vel bare lidt paranoid, normalt køre jeg heller ikke nogle af de
services. Dvet vil måske sige at jeg er helt ok sikker?

--
Mvh. / Kind regards
Henrik Farre (enrique@obel.auc.dk)      

Webpage: http://Welcome.to/Webbench
-If I where God, I would recompile the penguin with --enable-flying.

---

Henrik Farre wrote:

> Hvordan sætte jeg lettest min linux box op, så ingen kan få adgang til mit
> system. Som det er nu kan man bare indtaste mit host name og så svare
> Apache.

Hiver stikket ud.
Eller hvis det skal være med software

# iptables -A INPUT -j DROP

> Dette kan vel blokkes alt adgang i apaches config filer men
> hvordan sikre jeg mig at der ikke er andre huller. Jeg har ingen ftp
> eller. lig. services installeret.

Beskriv lidt nærmere hvad du vil.
Er det bare en maskine på nettet? Hvordan?
Hvilken kerne er det?
Hvad skal du kunne?

> Jeg har installeret:
> Bastille firewall

Er det en program/pakke eller en distro?

--
Jesper

---

Yello

I artikel <9g0kd8$1fun$1@news.cybercity.dk>, skrev "Jesper FA"
<news@skydiver.dk>:

> Hiver stikket ud.

:)

> Eller hvis det skal være med software
>
> # iptables -A INPUT -j DROP

> Beskriv lidt nærmere hvad du vil.
> Er det bare en maskine på nettet? Hvordan? Hvilken kerne er det?
> Hvad skal du kunne?

Det er min egen maskine på et lan. Kernel 2.4.3

Jeg bruger bare Apache til at udvikle noget PHP lokalt, og ønsker ikke at
folk kan se det på lan'et

>> Jeg har installeret:
>> Bastille firewall
>
> Er det en program/pakke eller en distro?

Den er en pakke: http://rpmfind.net/linux/RPM/sourceforge//bastille-linux//Bastille-1.2.0.rc6-0.1mdk.noarch.html

--
Mvh. / Kind regards
Henrik Farre (enrique@obel.auc.dk)      

Webpage: http://Welcome.to/Webbench
-If I where God, I would recompile the penguin with --enable-flying.

---

Den Sun, 10 Jun 2001 22:18:20 -0400 skrev Henrik Farre:
>Yello
>
>I artikel <9g0kd8$1fun$1@news.cybercity.dk>, skrev "Jesper FA"
><news@skydiver.dk>:
>
>> Hiver stikket ud.
>
>:)
>
>> Eller hvis det skal være med software
>>
>> # iptables -A INPUT -j DROP
>
>> Beskriv lidt nærmere hvad du vil.
>> Er det bare en maskine på nettet? Hvordan? Hvilken kerne er det?
>> Hvad skal du kunne?
>
>Det er min egen maskine på et lan. Kernel 2.4.3
>
>Jeg bruger bare Apache til at udvikle noget PHP lokalt, og ønsker ikke at
>folk kan se det på lan'et

Hvis det bare er det det drejer sig om, så burde det være nok at rette
"BindAddress *" til "BindAddress 127.0.0.1" i httpd.conf (og fjerne
en evt. # foran linien).

Så slipper du også for problemer med at finde ud af hvorfor et eller
andet dumt netværksprogram ikke virker (som dengang min Unreal ikke
kunne finde serveren, fordi broadcast UDP-pakker (eller også var det
svaret på dem) blev afvist af firewall'en...

Mvh
Kent
--
http://www.celebrityshine.com/~kfr/

---

Yello

I artikel <9g0lru$670$1@sunsite.dk>, skrev "Kent Friis"
<kfr@fleggaard.dk>:

> Hvis det bare er det det drejer sig om, så burde det være nok at rette
> "BindAddress *" til "BindAddress 127.0.0.1" i httpd.conf (og fjerne en
> evt. # foran linien).

Jeg tænkte bare, at hvis jeg nu lavede et eller andet "dumt" i f.eks. php
og der med åbnede for alle på lan'et, var det nok ikke så fedt.

> Så slipper du også for problemer med at finde ud af hvorfor et eller
> andet dumt netværksprogram ikke virker (som dengang min Unreal ikke
> kunne finde serveren, fordi broadcast UDP-pakker (eller også var det
> svaret på dem) blev afvist af firewall'en...

Jeg kan kun sige tak.

--
Mvh. / Kind regards
Henrik Farre (enrique@obel.auc.dk)      

Webpage: http://Welcome.to/Webbench
-If I where God, I would recompile the penguin with --enable-flying.

---

> Hvordan sætte jeg lettest min linux box op, så ingen kan få adgang til mit
> system. Som det er nu kan man bare indtaste mit host name og så svare Apache.
>
> Jeg har installeret:
> Bastille firewall
> ipchains
> iptables

En fejl konfigureret firewall vil ikke hjælpe dig .. måske skulle du hellere
kigge her -> http://www.attrition.org/security/newbie/security/rh-sec.txt .. en
sikker maskine behøver slet ikke have en firewall

og ipchains vil heller ikke kunne hjælpe dig hvis du kører udp ting inden
bagved. Ipchains er en stateless firewall som man "nemt" kan gå udenom ved ikke
at sætte SYN bitten i udp pakken. Dvs. at man kan få fat i din dns, rpc osv.
udefra

/Kim

--
"NetBSD -- Runs on 27 different platforms. Microsoft can barely make theris run
on one."
- Alex Holst.

---

Yello

I artikel <3B23D90E.67D9C446@deepblue.adsl.dk>, skrev "Kim Nielsen"
<kn@deepblue.adsl.dk>:

> En fejl konfigureret firewall vil ikke hjælpe dig .. måske skulle du
> hellere kigge her ->
> http://www.attrition.org/security/newbie/security/rh-sec.txt .. en
> sikker maskine behøver slet ikke have en firewall

Tak for det.

> og ipchains vil heller ikke kunne hjælpe dig hvis du kører udp ting
> inden bagved. Ipchains er en stateless firewall som man "nemt" kan gå
> udenom ved ikke at sætte SYN bitten i udp pakken. Dvs. at man kan få fat
> i din dns, rpc osv. udefra

Ok. Jeg trode bare at når Bastille brugte det så svingede det bare. ;)

--
Mvh. / Kind regards
Henrik Farre (enrique@obel.auc.dk)      

Webpage: http://Welcome.to/Webbench
-If I where God, I would recompile the penguin with --enable-flying.

---

"Henrik Farre" <look@my.signature.txt> wrote:

>>Ipchains er en stateless firewall som man "nemt" kan gå
>>udenom ved ikke at sætte SYN bitten i udp pakken.

"Sætte SYN bitten i udp pakken"?

Hvad dælen laver en SYN-bit dog i en udp-pakke?

Derudover vil man - af samme årsag - med ipchains normalt vælge at
lukke for alt udp og derefter specifikt åbne for den smule, man har
brug for, f.eks. trafik fra port 53 på nogle få betroede dns-servere.
Selv om sådan noget måske kan spoofes, skal de betroede ip-adresser
stadig gættes, og det gør i hvert fald ikke tingene nemmere for de
ubudne gæster.

Det er da fint nok at lukke for diverse deamons, men jeg har
efterhånden hørt om så mange eksempler, hvor man liiige havde glemt en
enkelt, eller ikke liiige været klar over, at ikke alle deamons
respekterer hosts.deny. Den slags fejltagelser kan undgås ved at
supplere med en gang fascistoid ip-filtrering.


--
Allan Olesen, Lunderskov

"UNIX er overflødigt." - Lars P. Fischer

---

Den Sun, 10 Jun 2001 22:57:11 +0200 skrev Allan Olesen:
>"Henrik Farre" <look@my.signature.txt> wrote:
>
>>>Ipchains er en stateless firewall som man "nemt" kan gå
>>>udenom ved ikke at sætte SYN bitten i udp pakken.
>
>"Sætte SYN bitten i udp pakken"?
>
>Hvad dælen laver en SYN-bit dog i en udp-pakke?
>
>Derudover vil man - af samme årsag - med ipchains normalt vælge at
>lukke for alt udp og derefter specifikt åbne for den smule, man har
>brug for, f.eks. trafik fra port 53 på nogle få betroede dns-servere.
>Selv om sådan noget måske kan spoofes, skal de betroede ip-adresser
>stadig gættes, og det gør i hvert fald ikke tingene nemmere for de
>ubudne gæster.

Og hvis udbyderes routere har ingres/egres (sp?) filter, så er det ved
at være ret håbløst. (Og hvis ikke, så burde man måske finde en
udbyder der tager sikkerhed lidt mere alvorligt).

>Det er da fint nok at lukke for diverse deamons, men jeg har
>efterhånden hørt om så mange eksempler, hvor man liiige havde glemt en
>enkelt,

Man checker naturligvis med "ps" og "netstat"...

>eller ikke liiige været klar over, at ikke alle deamons
>respekterer hosts.deny. Den slags fejltagelser kan undgås ved at
>supplere med en gang fascistoid ip-filtrering.

Ja, men for begyndere er det nemmere at lave huller i ip-filtret end
at kvæle alle daemons.

Mvh
Kent
--
http://www.celebrityshine.com/~kfr/

---

Kent Friis wrote:

> >
> >"Sætte SYN bitten i udp pakken"?
> >

damn .. jeg må have røget et eller andet .. men det var egenligt heller
ikke min pointe .. men jeg undskylder for fejlen.

/Kim
--
"NetBSD -- Runs on 27 different platforms. Microsoft can barely make
theris run on one."
- Alex Holst.

---

Den Sun, 10 Jun 2001 22:31:10 +0200 skrev Kim Nielsen:
>> Hvordan sætte jeg lettest min linux box op, så ingen kan få adgang til mit
>> system. Som det er nu kan man bare indtaste mit host name og så svare Apache.
>>
>> Jeg har installeret:
>> Bastille firewall
>> ipchains
>> iptables
>
>En fejl konfigureret firewall vil ikke hjælpe dig .. måske skulle du hellere
>kigge her -> http://www.attrition.org/security/newbie/security/rh-sec.txt .. en
>sikker maskine behøver slet ikke have en firewall
>
>og ipchains vil heller ikke kunne hjælpe dig hvis du kører udp ting inden
>bagved. Ipchains er en stateless firewall som man "nemt" kan gå udenom ved ikke
>at sætte SYN bitten i udp pakken. Dvs. at man kan få fat i din dns, rpc osv.
>udefra

"SYN bitten i udp pakken"? Hvad har du spist/røget?

Mvh
Kent
--
http://www.celebrityshine.com/~kfr/