[PINGUIN] Fehlersuche - Absturz
Christian Gerhardt
Christian_Gerhardt at t-online.de
Sa Mai 19 14:21:38 CEST 2007
Hi Sebastian,
* Sebastian Dellit <sebo at blindzeln.de> schrieb:
> > Patches für die Version bereits bezogen?
>
> Öhm, bekommt man die normal über aptitude bei einem upgrade oder
> meinst du eher einen neueren kernel 2.6.18 zu installieren?
Gute Frage... da ich ungefähr nie die mit Debian mitgelieferten Kernel
verwende, kann ich gar nicht sagen, was nach einem apt-get upgrade mit den
installierten Kernelpaketen geschieht, ob die aktualisiert werden, der
Kernel entsprechend verschoben, gleiches mit den zugehörigen Modulen
geschieht und automatisch Änderungen in der menu.lst für den grub
vorgenommen werden *grübel*
> > Wie schützt Du das Biest? Welche Dienste bietest Du nach Aussen an?
>
> Direkte Schutzmaßnahmen wie ipchanges/iptables habe ich derzeit noch
> nicht installiert. Vor dem Server hängt noch eine Fritzbox mit
> verschiedenen Portfreigaben, welche für http, ssh, ftp, ftp data
> die Anfragen durchlässt.
>
> Ansonsten ist kein root Login per SSH möglich, falls das noch als
> "Schutz" gilt. ;-)
Ich für meinen Teil behaupte plump. Das ist kein Schutz :-)
Wie wäre es denn, wenn Du den Zugang nur über public key authentication
gestattest?
> > Versuche es doch mit tripwire. Das ist hübsch einfach zu verwenden.
> > Allerdings ist das nur dann sinnvoll, wenn Du vorher das System frisch
> > aufsetzt, weil Du einen derzeit möglicherweise komporomitierten
> > Systemzustand als unkompromitiert festlegst womit Du ungefähr nichts
> > gewonnen hast. Insgesamt sind die Hinweise zum Hardening von Debian
> > Systemen interessant zu lesen.
>
> OK, soweit verstanden, wobei ich es ja irgendwie lieber sehen würde,
> wenn man im Nachhinein evtl. etwas feststellen könnte. :-)
Im Nachhinein etwas feststellen ist wohl möglich, allerdings ist die Frage,
wie gut ein potentieller Einbrecher seine Spuren verwischen konnte und wie
geübt Du darin bist, Spuren zu finden. So oder so wird wohl so ziemlich
jeder halbwegs paranoide Systemadministrator sein System nach einem
Einbruch frisch aufsetzen und aus dem Vorfall lernen.
> Denn erneut das System aufsetzen war vorerst nicht mein Ziel. :-/
Tut mir Leid, aber entweder Du willst von einem sauberen System ausgehen
können oder nicht. Wenn Du nicht von einem sauberen System ausgehen willst,
kannst Du auch tripwire links liegen lassen :-)
> Meinst du:
>
> www.debian.org/doc/manuals/securing-debian-howto/ap-harden-step.de.html
Da sollte doch was dabei sein :-)
Klingt aber aufwendig, richtig?
Gruß,
/christian