Eckhard Maass wrote: > Deine Linux-Firewall l�sst unbekannte Programme nicht heraus? Wie machst > du das?
Da gibts mehrere M�glichkeiten: 1) (relativ sicher): nur die Ports �ffnen, die das Programm braucht. Ist es ein Port, wo nur ausgehende Verbindungen erwartet werden, kann man zus�tzlich noch eingehende verweigern (! SYN Flag) z.b: #ftp- Verbindungen #control connection $IPTABLES -A OUTPUT -p TCP --sport $p_high --dport ftp -j ACCEPT $IPTABLES -A INPUT -p TCP --dport $p_high --sport ftp ! --syn -j ACCEPT 2) wenn jemanden das nicht reicht, kann man noch explizit Programme erlauben. M�glichkeiten w�ren dazu: a) Beim starten der D�monen schreibt man die PID in eine Datei. Die Firwall wird dann mit --pid-owner processid so initalisiert, dass sie nur Programme rausl�sst, die in der besagten Datei anfordern, ins Internet gehen zu d�rfen. b) Man gibt alle Programme, die ins Internet d�rfen in eine bestimmte Gruppe. Die iptables Option --gid-owner groupid fragt dann ab, ob das Programm diese Gruppenid hat, der Rest wird verweigert. Diese Punkte sind mehr als paranoid, aber wenns jemand so haben will:) Man kann nat�rlich auch alle 3 M�glichkeiten kombinieren. Mutwillig installierte Programme (selbst wenn der Hacker root war) funktionieren dann nicht, wenn er diese Sicherheitsma�nahmen nicht gesehen hat. Aber wenn jemand als root im Computer drinnen war hat man laut Definition sowieso schon verloren. mfg Markus -- Linux, the choice | Gegen Demokraten helfen nur Soldaten. -- of a GNU generation -o) | G. v. Merckel, F�nfte Zunft, 1848 Kernel 2.4.21 /\ | on a i686 _\_v | -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)
