Bastille

Dieses Thema im Forum "Server Administration" wurde erstellt von hahni, 10. Jan. 2008.

  1. hahni

    hahni Active Member

    Ich habe immer Backup-Kopien von Bastille im "/etc"-Verzeichnis!

    ---
    drwxr-xr-x 2 root root 4096 2008-01-09 23:09 Bastille
    drwxr-xr-x 2 root root 4096 2007-10-15 23:14 Bastille.backup_01_09_2008__22_31_06
    drwxr-xr-x 2 root root 4096 2008-01-09 22:31 Bastille.backup_01_09_2008__23_09_42
    drwxr-xr-x 2 root root 4096 2006-08-12 22:01 Bastille.backup_01_19_2007__00_19_56
    drwxr-xr-x 2 root root 4096 2007-01-19 00:20 Bastille.backup_07_20_2007__15_23_21
    drwxr-xr-x 2 root root 4096 2007-07-20 15:23 Bastille.backup_07_27_2007__16_19_47
    drwxr-xr-x 2 root root 4096 2007-07-27 16:19 Bastille.backup_08_30_2007__20_07_42
    drwxr-xr-x 2 root root 4096 2007-08-30 20:07 Bastille.backup_09_28_2007__17_31_39
    drwxr-xr-x 2 root root 4096 2007-09-28 17:31 Bastille.backup_10_15_2007__23_14_47
    ---

    Können die gelöscht werden? Ich meine natürlich bis auf das Verzeichnis "/etc/Bastille"?
     
  2. Till

    Till Administrator

    Die Kopien werden beim ISPConfig Update angelegt und können danach gelöscht werden.
     
  3. hahni

    hahni Active Member

    Wunderbar! Wieder etwas gelernt ;)
     
  4. hahni

    hahni Active Member

    Wenn ich allerdings "iptables -L" eingebe, komme ich auf folgendes Ergebnis:

    ---
    Chain INPUT (policy DROP)
    target prot opt source destination
    DROP tcp -- anywhere 127.0.0.0/8
    ACCEPT all -- anywhere anywhere state RELATED,ESTABLISHED
    ACCEPT all -- anywhere anywhere
    DROP all -- BASE-ADDRESS.MCAST.NET/4 anywhere
    PUB_IN all -- anywhere anywhere
    PUB_IN all -- anywhere anywhere
    PUB_IN all -- anywhere anywhere
    PUB_IN all -- anywhere anywhere
    DROP all -- anywhere anywhere
    blockhosts all -- anywhere anywhere

    Chain FORWARD (policy DROP)
    target prot opt source destination
    ACCEPT all -- anywhere anywhere state RELATED,ESTABLISHED
    DROP all -- anywhere anywhere

    Chain INT_IN (0 references)
    target prot opt source destination
    ACCEPT icmp -- anywhere anywhere
    DROP all -- anywhere anywhere

    Chain INT_OUT (0 references)
    target prot opt source destination
    ACCEPT icmp -- anywhere anywhere
    ACCEPT all -- anywhere anywhere

    Chain OUTPUT (policy ACCEPT)
    target prot opt source destination
    PUB_OUT all -- anywhere anywhere
    PUB_OUT all -- anywhere anywhere
    PUB_OUT all -- anywhere anywhere
    PUB_OUT all -- anywhere anywhere

    Chain PAROLE (11 references)
    target prot opt source destination
    ACCEPT all -- anywhere anywhere

    Chain PUB_IN (4 references)
    target prot opt source destination
    ACCEPT icmp -- anywhere anywhere icmp destination-unreachable
    ACCEPT icmp -- anywhere anywhere icmp echo-reply
    ACCEPT icmp -- anywhere anywhere icmp time-exceeded
    ACCEPT icmp -- anywhere anywhere icmp echo-request
    PAROLE tcp -- anywhere anywhere tcp dpt:ftp
    PAROLE tcp -- anywhere anywhere tcp dpt:ssh
    PAROLE tcp -- anywhere anywhere tcp dpt:smtp
    PAROLE tcp -- anywhere anywhere tcp dpt:domain
    PAROLE tcp -- anywhere anywhere tcp dpt:www
    PAROLE tcp -- anywhere anywhere tcp dpt:81
    PAROLE tcp -- anywhere anywhere tcp dpt:pop3
    PAROLE tcp -- anywhere anywhere tcp dpt:https
    PAROLE tcp -- anywhere anywhere tcp dpt:10000
    PAROLE tcp -- anywhere anywhere tcp dpt:mysql
    ACCEPT udp -- anywhere anywhere udp dpt:domain
    DROP icmp -- anywhere anywhere
    DROP all -- anywhere anywhere

    Chain PUB_OUT (4 references)
    target prot opt source destination
    ACCEPT all -- anywhere anywhere

    Chain blockhosts (1 references)
    target prot opt source destination
    DROP all -- e179092128.adsl.alicedsl.de anywhere
    ---

    Sind da viele Regeln möglicherweise nicht erforderlich? Abgesehen davon funktioniert die BlockHosts-Regel nicht. Wird dies evtl. von BlockHosts gestört?
     
  5. Till

    Till Administrator

    Schalte mal die ISPConfig Firewall aus und versuche dann nochmal, ob blockhosts geht. Wenn Dein Server richtig konfiguriert ist, dann sollten da sowieso nur die nach außen zugänglichen Services laufen.
     
  6. hahni

    hahni Active Member

    Das mit der abgeschalteten Firewall probiere ich mal eben aus! Aber die Dienste, auf die zugegriffen werden kann, sehe ich doch ohnehin in den Firewall-Einstellungen, oder siehst du in der Ausgabe Auffälligkeiten?
     
  7. hahni

    hahni Active Member

    Mit ausgeschalteter Firewall sieht die Ausgabe dann wie folgt aus:

    ---
    Chain INPUT (policy ACCEPT)
    target prot opt source destination
    blockhosts all -- anywhere anywhere

    Chain FORWARD (policy ACCEPT)
    target prot opt source destination

    Chain OUTPUT (policy ACCEPT)
    target prot opt source destination

    Chain blockhosts (1 references)
    target prot opt source destination
    DROP all -- e179092128.adsl.alicedsl.de anywhere
    ---
     
  8. hahni

    hahni Active Member

    Hallo Till,

    mit abgeschalteter Bastille-Firewall funktioniert BlockHosts! Wenn ich die Firewall allerdings wieder einschalte, scheint BlockHosts von Bastille "überstimmt" zu werden... Was ist nun zu tun?

    Viele Grüße

    Hahni
     
  9. Till

    Till Administrator

    Lass die Firewall aus.
     
  10. hahni

    hahni Active Member

    Und wieso brauch ich die denn plötzlich nicht mehr? Gibt es keinen Weg, Firewall und BlockHosts zu vereinen?
     
  11. hahni

    hahni Active Member

    Und wie kann ich das sicherheitshalber noch einmal prüfen?
     
  12. Till

    Till Administrator

    Wenn Du auf dem Server nur Dienste laufen hast, die nach außen zugänglich sind, brauchst Du die Firewall nicht, oder zumindest keine Regeln, die sowieso jeden aktuell laufenden Dienst nach außen öffnen. Dend die Linux IPTables Firewall läuft ja weiter und z.B. Blockhosts nutzt sie, es sind halt nur weniger Regeln drin. Eine Firewall ist z.B. fast immer auf einem Desktop nötig, auf dem Dienste laufen die kein externer nutzen können soll oder aber um ein ganzes Netzwerk zu schützen.
     
  13. Till

    Till Administrator

    netstat -tap

    oder Du machst einen Portscan.
     
  14. hahni

    hahni Active Member

    "netstat -tap" probiere ich aus, sobald ich wieder auf den Rechner zugreifen kann ;) Der Restart meines DSL-Routers hat leider nix gebracht :rolleyes:

    Aber noch einmal zur Firewall: gibt es also mehr ISPConfig-Geräte, die ohne eingeschaltete Firewall funktionieren und betrieben werden? Dachte eher, dass dies zwingend ratsam ist!
     
  15. hahni

    hahni Active Member

    Über den (aus meiner Sicht übersichtlicheren) Portscan erhalte ich folgendes Ergebnis:

    ---
    Port 21 (tcp) is open (ftp)!
    Port 25 (tcp) is open (smtp)!
    Port 53 (tcp) is open (domain)!
    Port 80 (tcp) is open (www)!
    Port 81 (tcp) is open (ISPConfig)!
    Port 110 (tcp) is open (pop3)!
    Port 143 (tcp) is open (imap2)!
    Port 443 (tcp) is open (https)!
    Port 953 (tcp) is open (unknown)!
    Port 993 (tcp) is open (imaps)!
    Port 995 (tcp) is open (pop3s)!
    Port 3306 (tcp) is open (mysql)!
    Port 60000 (tcp) is open (unknown)!
    ---

    Bei Port 60000 handelt es sich um "greylist"! Sonst kann ich keine Auffälligkeiten feststellen! Kannst du dies auch bestätigen, Till?

    Viele Grüße

    Hahni
     
  16. Till

    Till Administrator

    Ja, das sieht soweit ok aus. Der Portscan scannt auf der IP 127.0.0.1, so dass der Greylist selbst wenn er dort gelistet ist nicht von außen angreifbar ist. Du kannst es ja sicherheitshalber nochmal mit netstat nachprüfen, wenn dort bei port 60000 localhost oder 127.0.0.1 steht, dann ist es ok.
     
  17. hahni

    hahni Active Member

    Mahlzeit Till,

    überall bei "3799/postgrey.pid" steht auch immer "localhost" davor! Gemäß deiner Erklärung müsste dann wirklich alles passen!

    Viele Grüße

    Hahni
     

Diese Seite empfehlen