Bastille

hahni

Active Member
#1
Ich habe immer Backup-Kopien von Bastille im "/etc"-Verzeichnis!

---
drwxr-xr-x 2 root root 4096 2008-01-09 23:09 Bastille
drwxr-xr-x 2 root root 4096 2007-10-15 23:14 Bastille.backup_01_09_2008__22_31_06
drwxr-xr-x 2 root root 4096 2008-01-09 22:31 Bastille.backup_01_09_2008__23_09_42
drwxr-xr-x 2 root root 4096 2006-08-12 22:01 Bastille.backup_01_19_2007__00_19_56
drwxr-xr-x 2 root root 4096 2007-01-19 00:20 Bastille.backup_07_20_2007__15_23_21
drwxr-xr-x 2 root root 4096 2007-07-20 15:23 Bastille.backup_07_27_2007__16_19_47
drwxr-xr-x 2 root root 4096 2007-07-27 16:19 Bastille.backup_08_30_2007__20_07_42
drwxr-xr-x 2 root root 4096 2007-08-30 20:07 Bastille.backup_09_28_2007__17_31_39
drwxr-xr-x 2 root root 4096 2007-09-28 17:31 Bastille.backup_10_15_2007__23_14_47
---

Können die gelöscht werden? Ich meine natürlich bis auf das Verzeichnis "/etc/Bastille"?
 

hahni

Active Member
#4
Wenn ich allerdings "iptables -L" eingebe, komme ich auf folgendes Ergebnis:

---
Chain INPUT (policy DROP)
target prot opt source destination
DROP tcp -- anywhere 127.0.0.0/8
ACCEPT all -- anywhere anywhere state RELATED,ESTABLISHED
ACCEPT all -- anywhere anywhere
DROP all -- BASE-ADDRESS.MCAST.NET/4 anywhere
PUB_IN all -- anywhere anywhere
PUB_IN all -- anywhere anywhere
PUB_IN all -- anywhere anywhere
PUB_IN all -- anywhere anywhere
DROP all -- anywhere anywhere
blockhosts all -- anywhere anywhere

Chain FORWARD (policy DROP)
target prot opt source destination
ACCEPT all -- anywhere anywhere state RELATED,ESTABLISHED
DROP all -- anywhere anywhere

Chain INT_IN (0 references)
target prot opt source destination
ACCEPT icmp -- anywhere anywhere
DROP all -- anywhere anywhere

Chain INT_OUT (0 references)
target prot opt source destination
ACCEPT icmp -- anywhere anywhere
ACCEPT all -- anywhere anywhere

Chain OUTPUT (policy ACCEPT)
target prot opt source destination
PUB_OUT all -- anywhere anywhere
PUB_OUT all -- anywhere anywhere
PUB_OUT all -- anywhere anywhere
PUB_OUT all -- anywhere anywhere

Chain PAROLE (11 references)
target prot opt source destination
ACCEPT all -- anywhere anywhere

Chain PUB_IN (4 references)
target prot opt source destination
ACCEPT icmp -- anywhere anywhere icmp destination-unreachable
ACCEPT icmp -- anywhere anywhere icmp echo-reply
ACCEPT icmp -- anywhere anywhere icmp time-exceeded
ACCEPT icmp -- anywhere anywhere icmp echo-request
PAROLE tcp -- anywhere anywhere tcp dpt:ftp
PAROLE tcp -- anywhere anywhere tcp dpt:ssh
PAROLE tcp -- anywhere anywhere tcp dpt:smtp
PAROLE tcp -- anywhere anywhere tcp dpt:domain
PAROLE tcp -- anywhere anywhere tcp dpt:www
PAROLE tcp -- anywhere anywhere tcp dpt:81
PAROLE tcp -- anywhere anywhere tcp dpt:pop3
PAROLE tcp -- anywhere anywhere tcp dpt:https
PAROLE tcp -- anywhere anywhere tcp dpt:10000
PAROLE tcp -- anywhere anywhere tcp dpt:mysql
ACCEPT udp -- anywhere anywhere udp dpt:domain
DROP icmp -- anywhere anywhere
DROP all -- anywhere anywhere

Chain PUB_OUT (4 references)
target prot opt source destination
ACCEPT all -- anywhere anywhere

Chain blockhosts (1 references)
target prot opt source destination
DROP all -- e179092128.adsl.alicedsl.de anywhere
---

Sind da viele Regeln möglicherweise nicht erforderlich? Abgesehen davon funktioniert die BlockHosts-Regel nicht. Wird dies evtl. von BlockHosts gestört?
 

Till

Administrator
#5
Schalte mal die ISPConfig Firewall aus und versuche dann nochmal, ob blockhosts geht. Wenn Dein Server richtig konfiguriert ist, dann sollten da sowieso nur die nach außen zugänglichen Services laufen.
 

hahni

Active Member
#6
Das mit der abgeschalteten Firewall probiere ich mal eben aus! Aber die Dienste, auf die zugegriffen werden kann, sehe ich doch ohnehin in den Firewall-Einstellungen, oder siehst du in der Ausgabe Auffälligkeiten?
 

hahni

Active Member
#7
Mit ausgeschalteter Firewall sieht die Ausgabe dann wie folgt aus:

---
Chain INPUT (policy ACCEPT)
target prot opt source destination
blockhosts all -- anywhere anywhere

Chain FORWARD (policy ACCEPT)
target prot opt source destination

Chain OUTPUT (policy ACCEPT)
target prot opt source destination

Chain blockhosts (1 references)
target prot opt source destination
DROP all -- e179092128.adsl.alicedsl.de anywhere
---
 

hahni

Active Member
#8
Hallo Till,

mit abgeschalteter Bastille-Firewall funktioniert BlockHosts! Wenn ich die Firewall allerdings wieder einschalte, scheint BlockHosts von Bastille "überstimmt" zu werden... Was ist nun zu tun?

Viele Grüße

Hahni
 

Till

Administrator
#12
Wenn Du auf dem Server nur Dienste laufen hast, die nach außen zugänglich sind, brauchst Du die Firewall nicht, oder zumindest keine Regeln, die sowieso jeden aktuell laufenden Dienst nach außen öffnen. Dend die Linux IPTables Firewall läuft ja weiter und z.B. Blockhosts nutzt sie, es sind halt nur weniger Regeln drin. Eine Firewall ist z.B. fast immer auf einem Desktop nötig, auf dem Dienste laufen die kein externer nutzen können soll oder aber um ein ganzes Netzwerk zu schützen.
 

hahni

Active Member
#14
"netstat -tap" probiere ich aus, sobald ich wieder auf den Rechner zugreifen kann ;) Der Restart meines DSL-Routers hat leider nix gebracht :rolleyes:

Aber noch einmal zur Firewall: gibt es also mehr ISPConfig-Geräte, die ohne eingeschaltete Firewall funktionieren und betrieben werden? Dachte eher, dass dies zwingend ratsam ist!
 

hahni

Active Member
#15
Über den (aus meiner Sicht übersichtlicheren) Portscan erhalte ich folgendes Ergebnis:

---
Port 21 (tcp) is open (ftp)!
Port 25 (tcp) is open (smtp)!
Port 53 (tcp) is open (domain)!
Port 80 (tcp) is open (www)!
Port 81 (tcp) is open (ISPConfig)!
Port 110 (tcp) is open (pop3)!
Port 143 (tcp) is open (imap2)!
Port 443 (tcp) is open (https)!
Port 953 (tcp) is open (unknown)!
Port 993 (tcp) is open (imaps)!
Port 995 (tcp) is open (pop3s)!
Port 3306 (tcp) is open (mysql)!
Port 60000 (tcp) is open (unknown)!
---

Bei Port 60000 handelt es sich um "greylist"! Sonst kann ich keine Auffälligkeiten feststellen! Kannst du dies auch bestätigen, Till?

Viele Grüße

Hahni
 

Till

Administrator
#16
Ja, das sieht soweit ok aus. Der Portscan scannt auf der IP 127.0.0.1, so dass der Greylist selbst wenn er dort gelistet ist nicht von außen angreifbar ist. Du kannst es ja sicherheitshalber nochmal mit netstat nachprüfen, wenn dort bei port 60000 localhost oder 127.0.0.1 steht, dann ist es ok.
 

hahni

Active Member
#17
Mahlzeit Till,

überall bei "3799/postgrey.pid" steht auch immer "localhost" davor! Gemäß deiner Erklärung müsste dann wirklich alles passen!

Viele Grüße

Hahni
 

Werbung

Top