Hi, On 14.Nov 23.09, Meinolf Sander wrote: > seit kurzer Zeit habe ich eine DSL-Flatrate und möchte mal kurz > fragen, wie man eine einfache Workstation (die zwar nicht immer, > aber oft etliche Stunden online ist) am besten gegen potentielle > Eindringlinge sichern kann. Da wirst Du wohl viele Antworten bekommen was "am Besten ist". Am Besten ist die "Scissors Firewall"-Lösung ;-) http://www.dumbentia.com/pdflib/scissors.pdf
> Ein Backup wichtiger Daten existiert natürlich auf einem externen > Medium, ich möchte aber trotzdem möglichst verhindern, »gecrackt« > zu werden. Vermutlich reicht es wohl nicht, den telnet- bzw. ssh- > Zugriff von außen auf den Rechner ganz zu verbieten. > Was böten sich da für Sicherheitsmaßnahmen an, evtl. ein Firewall Hilfreich ist wohl, keine Dienste nach aussen anzubieten. Wo nix lauscht fällt nix ein. Bei vielen (allen?!) Services kann man den Dienst auf eine bestimmte IP legen, so daß nur von Intern oder von der WS selbst drauf zugegriffen werden kann. Bei den Diensten, die den tcp-wrapper nutzen, zB inetd/xinetd kannst du das mit /etc/hosts.deny verbieten und nur für bestimmte in /etc/hosts.allow erlauben. Damit kann man schon recht viel Sicherheit erwirken. Kurze deutsche Beschreibung: http://www.linuxfibel.de/wrapper.htm Letztlich kannst du natürlich auch noch ein paar IPTables Regeln definieren die alles von extern nach intern rejecten was du nicht willst und alles von intern nach extern ebenfalls nicht zulassen, was du nicht für nötig hälst, oder nicht bereits durch andere Massnahmen schliessen konntest. > (oder bin ich etwas paranoid)? > Was mich noch interessieren würde: empfiehlt sich die DSL-Einwahl > per »sudo pon $PROVIDER« oder sollte man den pppoe setUID root > machen (# chmod 4755 /usr/sbin/pppoe), sodass sich auch so ein > 'normaler' User der Gruppe dip einwählen kann? Ich habe noch von keinem Bug gehört der SUID bei pppoe ausnutzen kann, benutze selbst aber DoD, bin also auch nicht drauf angewiesen. Bin aber der Meinung, dass es immer sinnvoller ist, sudo statt SUID einzusetzen, wenn möglich. Gruß Christoph -- Häufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)
