From: Mark Seuffert (Pirates) (captain_at_pirate.de)
Date: 12. Nov 1998
Hai Raphael!
Raphael Becker schrieb am 12 Nov 98, (you wrote):
> Er war natürlich doch falsch, richtig muß es heißen:
> ftp://rhb.swm.uni-mannheim.de/pub/uugrn/firewall (hoffentlich stimmts
> jetzt!)
Das Suse-firewall-Script ist wirklich praktisch, ich erweitert das
gerne (kurze Zusammenfassung):
Je nachdem ob man einen 1- oder 2-stufigen Firewall hat, gibt es noch
einige bis viele restrektivere Regeln die man ohne Probleme dem ipfwadm
hinzufügen kann... am bestem mal mit "firewall list" die Regeln
anschauen und schauen wo man noch Dinge schliessen kann. Schutz gegen
internes Netz fehlt bei Suse völlig, nicht nur was ipfwadm angeht,
never trust any host/user.... Dinge wie "at crontab screen" sind nicht
secure -> trusted users only. Reicht einem passives FTP aus kann man zb
auch den Parameter "-y" bei ipfwadm benutzen usw...
Unnütze Services und Daemons deaktiviere ich schon in der inetd.conf,
bzw ersetze sie durch was sichereres (exim statt sendmail), den Rest
kann man über den TCPWrapper (hosts.allow) einschränken.
Praktisch ist es auch sich ein Remote-Logging auf einen anderen Rechner
zu machen, dynamische Regeln zu vergeben (in der Art: versuchst DU das,
bist Du für 10 Minuten komplett gesperrt), eine tripwire-Datenbank
usw... Paranoia ist grenzenlos. Hope it helps.... :)
Gruss, /\/\ a r k
-- Pirates Communication Kreative Software & Internet Wilhelmstrasse 5 http://www.pirate.de D-69115 Heidelberg fone: 06221/601875 fax: 06221/601876 . . . . . . . . . . . . . _.´(._.´(._.´(._.´(._.´(._.´(._.´(._.´(._.´(._.´(._.´(._.´(._.´(._.Nihil agere delectat. Nichtstun ist angenehm. (Cicero)
Dieses Archiv wurde generiert von hypermail 2.1.2 : 11. Mar 2002 CET