[linux-l] Ubuntu "abdichten"

Norman Steinbach alles-ist-wahr at meine-wahrheit-deine-wahrheit.de
Do Okt 19 16:20:59 CEST 2006


Hallo %Liste,

hier ein kurzer  Auszug aus einer Mail zwischen Volker Grabsch und mir,
welcher hier in der Liste besser passt, als in einer privaten E-Mail.

>> Was muss ich bei einem Unixoiden System tun, um es wirklich "dicht"
>> zu bekommen?
> Normalerweise ist es im Ausleiferungs-Zustand schon "dicht". Wieviel
> standardmäßig aktiviert ist oder deaktiviert ist, hängt von der
> Distribution ab.
Wer kennt Ubuntu diesbezüglich, bzw. die Unterschiede zu Debian (und
Debian als Basis)?

> Grundsätzlich gibt es zwei Wege:
> 1. Du kannst alle Netzwerk-Systemdienste runterfahren (SSH, Apache,
>    ... was eben bei dir läuft, siehst du mit "netstat -l" als root)
Das ist interessant: Weshalb wird bei mir auf localhost auf ner ganzen
Menge Ports gelauscht? Viele der Ausgaben kann ich jedoch nicht richtig
interpretieren: Warum läuft bei mir Netbios, was ist sunrpc und weshalb
lauscht auch noch ein Dienst namens "microsoft-ds"?
Ich pipe die ausgabe von netstat -l daher mal in ein File und kleb das
hier dran - kann mir evtl. jemand von Euch anhand dessen sagen, welche
Löcher hier alle zu stopfen sind?

> 2. Du kannst eine Firewall verwenden (iptables).
> Punkt 2. ist für Privat-Rechner sinnvoller, weil sie die Dienste ja
> lokal noch nutzen möchten, nur eben nicht im Netz anbieten wollen.
> Bei einer guten Distribution ist selbst ein Apache erstmal nicht von
> außen zugänglich, sondern nur vom lokalen Rechner aus.
Was sind "gute Distributionen"? Ubuntu basiert ja erstmal auf Debian,
aber ich weiß eben nicht, wie viel die da an der Sicherheit geändert
haben (außer sudo statt root, was sich ja nicht direkt auf offene löcher
auswirkt).

> In unserem öffentlichen Firmen-Wiki (das NJH-Wiki) ...
>     http://wiki.njh.eu/Hauptseite
> ... habe ich zu dem Thema zwei Artikel verfasst:
>     http://wiki.njh.eu/Mit_Windows_ins_Internet
>     http://wiki.njh.eu/Firewall_zu_Hause
> Weitere derartige Fragen stell bitte an die BeLUG-Liste. Vielleicht
> kann dir dort jemand sogar gute Einführungen zu dem Thema nennen.
Okay, hiermit getan!

Habe das IPtables-Beispielscript einmal eingebunden, aber noch immer
wird auf einigen Ports gelauscht. Die Ausgabe von netstat im Anhang ist
übrigens nach der Aktivierung des Scripts...wobei ich jetzt noch nicht
so ganz verstanden habe, ob die IPtables das dann trotzdem abblocken
oder nicht...

Danke & viele Grüße,

Norman
-------------- nächster Teil --------------
Ein eingebundener Text mit undefiniertem Zeichensatz wurde abgetrennt.
Name: netstat-l.txt
URL: <https://mlists.in-berlin.de/pipermail/linux-l-mlists.in-berlin.de/attachments/20061019/6bd5d581/attachment.txt>


Mehr Informationen über die Mailingliste linux-l