Hallo! On 17 Aug 2004 at 14:17 +0200, Patrick Petermair wrote:
> Ich habe hier einen neuen Debian Rechner, den ich gerne mal von allen
> unn�tigen Prozessen und Diensten befreien m�chte.
> Da fiel mir inetd mit folgenden Diensten auf:
>
> time
> discard
> daytime
> auth / identd
>
> Kann man diese Dienste gefahrlos deaktivieren
In aller Regel wird man sie nicht ben�tigen. identd kann sinnvoll sein,
aber wohl eher f�r gr��ere LANs als f�r Einzelrechner.
> bzw. inetd gar nicht erst starten lassen, oder sind dann gewisse
> Einschr�nkungen beim Systembetrieb m�glich?
Es kommt ganz darauf an, welche Dienste du auf dem Rechner ben�tigst
bzw. anbieten willst. Ich starte z.B. den MTA und den lokalen Newsserver
via inetd, weil ich diese nicht permanent brauche. Oft kann man bei
Diensten auch w�hlen, ob sie als Standalone-Daemon oder �ber den
(x)inetd gestartet werden sollen.
Was die Sicherheitsaspekte angeht, gilt generell:
1. Lasse nur diejenigen Dienste laufen, die wirklich ben�tigt werden.
Alles andere geh�rt abgeschaltet, denn was nicht l�uft / nicht
installiert ist, kann nicht kompromittiert werden. Der Admin sollte
zu jedem laufenden Dienst genau sagen k�nnen, wozu und warum er da
ist.
2. Binde die ben�tigten Dienste nur an diejenigen Netzwerk-Interfaces,
auf denen sie gebraucht werden. In der Regel muss der MTA oder CUPS
nicht am WAN-Interface laufen, da reicht f�r den Einzelplatzrechner
die Loopback-Schnittstelle oder entsprechend im Netzwerk das
LAN-Interface.
3. Werden Dienste �ber den inetd gestartet, lauscht dieser generell -
das ist leider nicht konfigurierbar - an allen Interfaces
(INADDR_ANY). Wenn man nicht auf den xinetd umstellen will, sollte
man darauf achten, die Zugriffsberechtigungen f�r die via inetd
gestarteten Dienste so restriktiv wie m�glich zu setzen: Wo m�glich
in der Applikation selbst, ansonsten �ber /etc/hosts.{allow,deny},
eventuell den tcpd vorschalten.
4. Als letzten Notnagel kann man auch einen hostbasierten Paketfilter
(z.B. iptables) zur Zugriffsbeschr�nkung verwenden, indem z.B. alle
an den Dienstport gerichtete Pakete, die nicht �ber gew�nschte
Interfaces hereinkommen, mit einem TCP-Reset oder entsprechenden
ICMP-Paketen beantwortet werden.
Gru�,
Elmar
--
[ GnuPG: D8A88C0D / 2407 063C 1C92 90E9 4766 B170 5E95 0D7F D8A8 8C0D ]
�����������������������������������������������������������������������
Sicher ist, dass nichts sicher ist. Selbst das nicht. -- Ringelnatz
pgpe14tUX0XDQ.pgp
Description: PGP signature
