[linux-l] Erfahrungsbericht: Firewall-Tools

Steffen Dettmer steffen at dett.de
Mo Jan 7 00:00:36 CET 2008 

* Olaf Radicke wrote on Sun, Jan 06, 2008 at 20:13 +0100:
> Desweiteren klackert meine HD in regelmäsigen 1/2 minütlichen Takt. Das ist 
> der Intervall den sshd zulässt bei gescheiterten logins. 
> 
> Na, wie auch immer. Mit "ALL:ALL" in hosts.deny müsste ja eigendlich alles 
> dicht sein - oder?

erstmal hängt das natürlich von hosts.allow ab (nicht, dass da auch
ALL:ALL drinsteht :)) und dann benutzt SSH u.U. libwrap gar nicht (kann
man zur Kompilezeit einstellen), weil man das über sshd_config
wohl detailierter konfigurieren kann. Das gilt auch für den Apache und
bestimmt viele andere.

da wir auch gerade NFS hatten, mein portmapper linkt nicht gegen libwrap
aber laut manpage wird hosts_access(5) trozdem unterstützt, vielleicht
ist es statisch gelinkt oder ähnlichen Code, der die gleichen Files
verwendet?

> localhost:/home/or# nmap localhost
> 
> Starting Nmap 4.20 ( http://insecure.org ) at 2008-01-06 20:11 CET
> Warning: Hostname localhost resolves to 2 IPs. Using 127.0.0.1.
> Interesting ports on localhost (127.0.0.1):
> Not shown: 1692 closed ports
> PORT     STATE SERVICE
> 22/tcp   open  ssh
> 111/tcp  open  rpcbind
> 113/tcp  open  auth
> 631/tcp  open  ipp
> 5432/tcp open  postgres
> 
> ...Oder doch nicht.

das hat nichts zu sagen; LOCAL ist oft in hosts.allow, dass ist ja auch
meistens OK und zweitens würde nmap den Port auch angeben, wenn der
tcpwrapper die Verbindung ablehnt. Der tcpwrapper muss nämlich erstmal
die Verbindung annehmen (bzw wurde die Verbindung schon angenommen, wenn
libwrap gerufen wird), dann gucken, wer auf der anderen Seite dran ist
(z.B. u.U. auch, in dem an den remote-ident eine Anfrage geschickt
wird), dann nach hosts_access(5) u.U. `ablehnen', in dem gleich ein
shutdown gemacht wird (TCP Verbindung geschlossen wird). Nützt dem
Angreifer ja nichts, weil gar keine Daten ausgetauscht werden.

nmap guckt aber nur, ob die Verbinung geht, nicht ob auch Daten
ausgetauscht werden können (geht ja auch gar nicht, wenn man das
Protokoll nicht kennt, weil die Daten ja jeweils anders sind).

oki,

Steffen

-- 
Dieses Schreiben wurde maschinell erstellt,
es trägt daher weder Unterschrift noch Siegel.

Mehr Informationen über die Mailingliste linux-l