[linux-l] Ubuntu "abdichten"

Volker Grabsch vog at notjusthosting.com
Do Okt 19 22:25:46 CEST 2006 

On Thu, Oct 19, 2006 at 04:20:59PM +0200, Norman Steinbach wrote:
> > Grundsätzlich gibt es zwei Wege:
> > 1. Du kannst alle Netzwerk-Systemdienste runterfahren (SSH, Apache,
> >    ... was eben bei dir läuft, siehst du mit "netstat -l" als root)
> Das ist interessant: Weshalb wird bei mir auf localhost auf ner ganzen
> Menge Ports gelauscht?

Die Dienste, die auf "localhost" lauschen, sind nur von deinem eigenen
Rechner aus zugänglich. Sie werden nicht im Netzwerk "nach außen"
angeboten und stellen daher - zunächst - keine Gefahr dar.

> > In unserem öffentlichen Firmen-Wiki (das NJH-Wiki) ...
> >     http://wiki.njh.eu/Hauptseite
> > ... habe ich zu dem Thema zwei Artikel verfasst:
> >     http://wiki.njh.eu/Mit_Windows_ins_Internet
> >     http://wiki.njh.eu/Firewall_zu_Hause
> > Weitere derartige Fragen stell bitte an die BeLUG-Liste. Vielleicht
> > kann dir dort jemand sogar gute Einführungen zu dem Thema nennen.
> Okay, hiermit getan!
> 
> Habe das IPtables-Beispielscript einmal eingebunden, aber noch immer
> wird auf einigen Ports gelauscht.

Die Firewall verhindert das auch nicht. "netstat -l" wird von Iptables
nicht beeinflusst. Außerdem sind meine Beispiel-Firewall-Regeln auch
so gebaut, dass alles über "localhost" freigeschaltet ist.

Den Unterschied wirst du erst merken, wenn du *tatsächlich* versuchst,
auf die entsprecheden Ports zuzugreifen. Das ist aber ein Thema für
sich. Entweder lässt du es dir von jemanden persönlich zeigen, oder
du vertraust meinen empfohlenen Firewall-Regeln erstmal.

Grundsätzlich ist eine Firewall ne gute Idee, aber ein einfaches System
sollte auch ohne Firewall "dicht" sein. Die Firewall ist nur eine
zusätzliche Barriere, falls man sich ausversehen Sicherheitslöcher
reinkonfiguriert, oder falls sich einige Software "von sich aus" einfach
nicht abdichten lässt. Sieh die Firewall als Burggraben an, obwohl deine
Burg schon eine große Mauer hat.


So, mein Teil ist getan. Den Rest dürfen andere erklären. ;-)


Viele Grüße,

    Volker

-- 
Volker Grabsch
---<<(())>>---
Administrator
NotJustHosting GbR

Mehr Informationen über die Mailingliste linux-l