DanielB

Hi, wenn Du das Kennwort nicht extra eingeben willst und Du eine Distribution einsetzt die PAM unterstützt, dann hilft Dir eventuell folgender Link: http://www.flyn.org/projects/pam_mount/

Hallo, das hab ich mal für meine Kiste zu Hause gebastelt. Eventuell hilft es Dir weiter. Den eMail Teil müsstest Du allerdings hinzufügen, sollte aber nicht weiter schwierig sein. Am besten mittels cron alle 24 Stunden neu starten um die Zähler zu resetten. #!/usr/bin/perl $log = "/var/log/messages"; $max_attempts = 5; $max_logins = 5; my %attempts = {}; my %logins = {}; open(LOGFILE,"tail -f $log |") || die "Error : Unable to open $log. ($!)\n"; $i = 0; while($line = <LOGFILE>) { $i++; if($i > 10) { if(($line =~ /(\w+)\s+(\d+)\s+(\d+:\d+:\d+)\s+(\w+)\ssshd.*Failed\spassword\sfor\sroot\sfrom(.*)\sport/) || $line =~ /(\w+)\s+(\d+)\s+(\d+:\d+:\d+)\s+(\w+)\ssshd.*Authentication\sfailure\sfor\sroot\sfrom\s(.*)\s/) { $date = $2 . " " . $1; $time = $3; $host = $4; $remote_host = $5; print "Alert: ($date - $time) Failed root login on $host from $remote_host\n"; $attempts{'$remote_host'} = $attempts{'$remote_host'} + 1; if($attempts{'$remote_host'} > $max_attempts) { print "ALERT!!! : Detected more than $max_attempts failed root login attempts on $host from $remote_host\n"; } } elsif($line =~ /(\w+)\s+(\d+)\s+(\d+:\d+:\d+)\s+(\w+)\ssshd.*for\sroot\sfrom\s(.*)\s/) { $date = $2 . " " . $1; $time = $3; $host = $4; $remote_host = $5; print "Alert: ($date - $time) root login from $remote_host on $host\n"; $logins{'$remote_host'} = $logins{'$remote_host'} + 1; if($logins{'$remote_host'} > $max_logins) { print "ALERT!!! : Detected more than $max_logins root logins on $host from $remote_host\n"; } } } }

Bei Shared Storage Lösung (z.B. SCSI over Fibre, etc.) empfiehlt sich unter Umständen noch ein STONITH Geräte um sicherzustellen das der Datenbestand konsistent bleibt. Der Heartbeat(www.linux-ha.org) zwischen den beiden Knoten sollte ebenfalls redundant sein, d.h. sowohl über eine serielle Leitung, als auch über die Netzwerkverbindung. Wenn Du High Availability erst meinst sind redundante Netzteile und eine RAID Lösung ebenfalls empfehlenswert, ist natürlich kostenintensiver. Wenn eine solche Failover Lösung kostengünstig realisiert werden soll ist es möglich anstatt einer SCSI over Fibre Lösung, bzw. vergleichbaren externen Speicherlösung, z.B. DRBD zu verwenden (www.drbd.org). DRBD ermöglicht eine Art Netzwerk RAID-1. Allerdings sollte hier zwischen den beiden Knoten eine Gigabit Verbindung Point-to-Point Verbindung über ein Crosskabel existieren, um die Daten schnell synchronisieren zu können. Ausser Heartbeat und DRBD + einiger Skripte ist hier eigentlich keine weitere Software nötig. Der Aufwand für eine solche Lösung hängt im wesentlichen davon ab zu welcher Möglichkeit Du tendierst und welche Dienste abgesichert werden sollen. Die Einrichtung einer Failover Lösung für z.B. Apache, MySQL, Samba, DNS, OpenLDAP auf 2 Knoten schätze ich auf ca. 1 - 2 Tag(e), wenn Du weisst was Du tust. Aber wie gesagt, es kommt sehr stark auf die abzusichernde Software an.

Ja, gibt es. z.B. : export PATH=$PATH:/sbin

Hi, mal ne ganz "blöde" Frage ... Du schreibst immer von "puplic_html", das Verzeichnis heisst jedoch "public_html". Kann es sein, dass Dein Problem ein einfacher Tippfehler ist ?

Wenn Du keine öffentlichen Dienste anbieten möchtest, kannst Du den meisten Programme sagen, dass sie sich nur an die interne Netzwerkadresse binden. Zusätzlich dazu kannst Du natürlich eingehende Verbindungen mit Hilfe von IPTables auf dem externen Interface blocken. In diesem Zusammenhang ist eventuell das Stateful Filtering von Netfilter interessant (-m state --state). Viele Programme erlauben es des weiteren Programminterne ACLs zu verwenden, z.B. allow-query bei BIND, hosts allow bei Samba etc. Weiterhin unterstützen viele Programme tcp-wrapper (/etc/hosts.allow, /etc/hosts.deny). Natürlich gibt es hin und wieder Sicherheitsprobleme mit Serverdiensten, dann heisst es Patchen und das Problem ist verschwunden Für die Logfile Analyse gibt es tonnenweise Tools. Angefangen bei simplen Dingen wie z.B. grep oder Skripten, die nach vordefinierten Einträgen in den Logfiles sehen, über Webinterfaces bis hin zu spezielleren Lösungen, die z.B. nur die Firewall Logs auswerten. Schau einfach mal bei www.freshmeat.net vorbei und benutze die dortige Suchfunktion.

Hallo, nein, Du kannst Samba nur als BDC für einen Windows NT 4.0 Server einsetzen, Windows 2000 BDCs für einen Samba PDC funktionieren nicht. Was sehr wohl funktioniert Samba sowohl als PDC, als auch als BDC in Verbindung mit LDAP. Es gibt auch seitens Samba eigentlich nichts zu replizieren, wenn Du LDAP einsetzt, da sämtliche Informationen im LDAP Verzeichnis gespeichert sind. OpenLDAP unterstüzt Replikas. Wenn Dein Ziel Hochverfügbarkeit sein sollte, so kannst Du weitere Schritte einleiten, um z.B. den Datenbestand beider Server synchron zu halten. Möglichkeiten dafür sind z.B. drbd (http://drbd.cubit.at), nbd, Linux-HA Tools (www.linux-ha.org), etc. Hier findest Du mehr Informationen zu Samba (allerdings auf Englisch) : http://ranger.dnsalias.com/samba-ldap-advanced.php

Hi, ja, die gibt es und heisst in der Regel access.log. Ich benutze kein SuSE, von daher kann ich Dir nicht genau sagen wo sich die Datei bei Dir befindet. Eventuell in /var/log/apache. Du kannst auch nach der Datei suchen : find / -name "access.log" Des weiteren gibt es Tools, wie z.B. Webalizer (http://www.webalizer.org), die eine Auswerung dieser Daten ermöglichen.

Wenn die Serverprogramme, die Du einsetzt im allgemeinen leicht zu knacken sind, solltest Du eventuell über den Einsatz alternativer Software nachdenken Sofern Du diese Dienste auch der breiten Öffentlichkeit anbieten möchtest, nutzt Dir iptables für eben diese Dienste relativ wenig. Der beste Schutzt gegen sogenannte "Script Kiddies" sind nicht Firewall Regeln, sondern regelmässige Updates der zwangsläufig nötigen Programme auf dem System. Logfiles lesen ist ein essentieller Bestandteil von Systemsicherheit. Glücklicherweise gibt es einige Tools, um diesen relativ stupiden Job zu vereinfachen. Drum rumkommen wirst Du jedoch nicht, wenn Dir Systemsicherheit und Integrität am Herzen liegt.

Hi, ja, das ist möglich. Samba 3 kann als Member Server in einer AD Domain betrieben werden. Dazu ist es nötig, entweder MIT oder Heimdal Kerberos zu installieren und Samba mit dem Paramter --with-ads zu übersetzen. Über die Paramter "security = ADS" und "realm = your_kerberos_realm" können in der smb.conf die Einstellungen angepasst werden. Den Samba Server musst Du mit folgendem Befehl zur AD Domain hinzufügen "net join ads", eventuell musst Du vorher mittels kinit noch ein Kerberos Ticket für einen Account anfordern, der in Deiner Domain berechtigt ist Computerkonten hinzuzufügen.

Hi, hmm, Du möchtest eine Firewall durch einen Mailserver ersetzen ? Tja, das kommt drauf an, welchen Aufwand Du betreiben möchtest, um das System abzusichern. Möglichkeiten und Software gibt es sehr, sehr viele. Möchtest Du einfach nur einen Paketfilter installieren, so ist, wie Du sicherlich weisst, Netfilter/IPtables empfehlenswert (www.netfilter.org). HowTo's und Skript Generatoren dazu gibt es reichlich. Weitere Software, um ein System abzusichern, bzw. generelle Security Software : TripWire bzw. ein TripWire Clone SE Linux LIDS PaX RSBAC (http://www.rsbac.de) Snort + ACID bzw. Snort-Inline Stack Protector GR Security OpenWall Patches Kerberos Diverse Proxies (HTTP, FTP, SMTP, DNS, etc, siehe www.freshmeat.net) Sebek (siehe www.honeynet.org -> Tools) Portsentry und unzählige andere Tools bzw. Kombinationen aus den o.g. Das "Problem" ist, die Installation all dieser Tools und Absicherungen des Systems sind _sehr_ Zeitintensiv. Wenn Du das wirklich konsequent betreiben willst, kannst Du nämlich anfangen die komplette Distribution z.B. mit Stack Protector neu zu kompilieren, Authentifizierung _komplett_ auf Kerberos umzustellen, RSBAC und damit Rollen und Zugriffsrechte für die einzelnen Programme und Dienste festlegen etc. Natürlich bleibt die Frage, ob dieses für Dein Heimnetzwerk nicht eher ein Overkill ist, aber Du fragtest ja nach Möglichkeiten und Software.Mir ist nur eine einzige Linux Distribution, bzw. Erweiterung zu Debian bekannt, die einem die Arbeit teilweise abnimmt (www.adamantix.org). OpenBSD hat den Vorteil, das es viele dieser Features bereits "on board" hat. Ich habe vor einer Weile angefangen meine eigene, auf Slackware basierende Security Distribution zu bauen, die einen Grossteil dieser Tools enthält. Das Kompilieren eines kompletten Systems ist auf einem AMD Athlon 1.4 GHz jedoch wahrlich keine Freude und irgendwann hatte ich einfach keine Lust mehr, von daher ist das Teil nie fertig geworden :/ Weitere Möglichkeiten sind natürlich jeden laufenden Dienst in ein chroot jail zu verbannen, Dienste zu deaktivieren, soweit möglich keine suid root Dateien, und das System 24x7 zu beobachten Viel Spass

Hi, das sieht soweit ja OK aus. Wie sehen denn die Routen auf dem Proxy Server aus ? Gibt es irgendwelche Firewall Regeln auf dem Router, bzw. dem Proxy Server ?

Hi, NIS (Network Information Service) ermöglicht das zentrale Verwalten von z.B. Benutzern (/etc/passwd) und Gruppen (/etc/group), aber auch z.B. der Hostdateien (/etc/hosts) in einem Netzwerk. NIS ist ein etabliertes, aber auch unter heutigen Gesichtspunkten relativ unsicheres System. Ich würde von dessen Verwendung abraten, da es flexiblere und sicherere Alternativen gibt (LDAP und Kerberos).

Hi, prinzipiell kannst Du das mit allen gängigen Distributionen machen. Einige Distributionen sind für manche Leute besser geignet als für andere. Für nährere Details verwende einmal die Suchfunktion des Forums. Die Frage nach Distributionen und Einsatzgebieten taucht des öfteren auf. Es gibt eine Vielzahl weiterer Serverprogramme für Linux, vermutlich mehr als Du persönlich benutzen möchtest Für die Aufgabengebiete gibt es i.d.R. gleich mehrere Lösungen : Die Benutzer- und Passwortverwaltung kann z.B. über die /etc/passwd, NIS, MySQL, oder LDAP/Kerberos laufen. Einen DHCP Server findest Du z.B. hier : www.isc.org Samba (de.samba.org) kann die Rolle als Domänencontroller in einem Windows Netzwerk übernehmen. Ob Du alles über die Konsole konfigurieren musst hängt maßgeblich davon ab welche Distribution zum Einsatz kommt und für welche Möglichkeit (z.B. Benutzerverwaltung) Du Dich entscheidest. Einige Distributionen bieten grafische Tools für die Konfiguration einiger, aber bei weitem nicht aller Serverprogramme für Linux an. Obwohl ich persönlich keine SuSE Systeme mehr empfehle, so hat SuSE meines Wissens ein Produkt namens SuSE Linux Standard Server, dieser sollte die von Dir gewünschten Dienste in Verbindung mit einer grafischen Oberfläche zur Konfiguration bieten. HTH

Ah, ok Häng mal folgende Einträge an das Ende der main.cf : smtp_sasl_auth_enable= yes smtp_sasl_security_options= noanonymous Die Eintrag "smtpd_sasl_auth_enable= yes" bezieht sich auf die Serverseite und muss dann gesetzt werden, wenn Dein Server SMTP Auth anbieten soll. Danach ein "postfix reload" und ein erneuter Versuch.