Hi, On 14.Nov 23.09, Meinolf Sander wrote: > seit kurzer Zeit habe ich eine DSL-Flatrate und m�chte mal kurz > fragen, wie man eine einfache Workstation (die zwar nicht immer, > aber oft etliche Stunden online ist) am besten gegen potentielle > Eindringlinge sichern kann. Da wirst Du wohl viele Antworten bekommen was "am Besten ist". Am Besten ist die "Scissors Firewall"-L�sung ;-) http://www.dumbentia.com/pdflib/scissors.pdf
> Ein Backup wichtiger Daten existiert nat�rlich auf einem externen > Medium, ich m�chte aber trotzdem m�glichst verhindern, �gecrackt� > zu werden. Vermutlich reicht es wohl nicht, den telnet- bzw. ssh- > Zugriff von au�en auf den Rechner ganz zu verbieten. > Was b�ten sich da f�r Sicherheitsma�nahmen an, evtl. ein Firewall Hilfreich ist wohl, keine Dienste nach aussen anzubieten. Wo nix lauscht f�llt nix ein. Bei vielen (allen?!) Services kann man den Dienst auf eine bestimmte IP legen, so da� nur von Intern oder von der WS selbst drauf zugegriffen werden kann. Bei den Diensten, die den tcp-wrapper nutzen, zB inetd/xinetd kannst du das mit /etc/hosts.deny verbieten und nur f�r bestimmte in /etc/hosts.allow erlauben. Damit kann man schon recht viel Sicherheit erwirken. Kurze deutsche Beschreibung: http://www.linuxfibel.de/wrapper.htm Letztlich kannst du nat�rlich auch noch ein paar IPTables Regeln definieren die alles von extern nach intern rejecten was du nicht willst und alles von intern nach extern ebenfalls nicht zulassen, was du nicht f�r n�tig h�lst, oder nicht bereits durch andere Massnahmen schliessen konntest. > (oder bin ich etwas paranoid)? > Was mich noch interessieren w�rde: empfiehlt sich die DSL-Einwahl > per �sudo pon $PROVIDER� oder sollte man den pppoe setUID root > machen (# chmod 4755 /usr/sbin/pppoe), sodass sich auch so ein > 'normaler' User der Gruppe dip einw�hlen kann? Ich habe noch von keinem Bug geh�rt der SUID bei pppoe ausnutzen kann, benutze selbst aber DoD, bin also auch nicht drauf angewiesen. Bin aber der Meinung, dass es immer sinnvoller ist, sudo statt SUID einzusetzen, wenn m�glich. Gru� Christoph -- H�ufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)
