Sicherheit unter Linux Workshop

Ähnliche Dokumente
IPTables und Tripwire

Firewalling. Michael Mayer IAV0608 Seite 1 von 6

Firewall Implementierung unter Mac OS X

SSH Authentifizierung über Public Key

Einrichtung des Cisco VPN Clients (IPSEC) in Windows7

Scharl 2010 Dokument ist Urheberrechtlich geschützt. Port Forwarding via PuTTY und SSH. Was ist Port forwarding?

Internet Security 2009W Protokoll Firewall

Anbindung des eibport an das Internet

Netzwerk Teil 2 Linux-Kurs der Unix-AG

How-to: VPN mit L2TP und dem Windows VPN-Client. Securepoint Security System Version 2007nx

How-to: Webserver NAT. Securepoint Security System Version 2007nx

Grundlagen Firewall und NAT

How-to: VPN mit PPTP und dem Windows VPN-Client. Securepoint Security System Version 2007nx

Anleitung: Webspace-Einrichtung

Um über FTP Dateien auf Ihren Public Space Server - Zugang laden zu können benötigen Sie folgende Angaben:

Anleitung zur Konfiguration eines NO-IP DynDNS-Accounts mit der TOOLBOXflex-3.2

Guide DynDNS und Portforwarding

SFTP SCP - Synology Wiki

Proxyeinstellungen für Agenda-Anwendungen

Das Starten von Adami Vista CRM

Installationsanleitung DIALOGMANAGER

Anleitung für die Verwendung des CIP Pools von eigenen Rechner

Installationsanleitung für pcvisit Server (pcvisit 12.0)

Dieses Dokument soll dem Administrator helfen, die ENiQ-Software als Client auf dem Zielrechner zu installieren und zu konfigurieren.

Proxy. Krishna Tateneni Übersetzer: Stefan Winter

FTP Tutorial. Das File Transfer Protocol dient dem Webmaster dazu eigene Dateien wie z.b. die geschriebene Webseite auf den Webserver zu laden.

Benutzerhandbuch. Leitfaden zur Benutzung der Anwendung für sicheren Dateitransfer.

ICS-Addin. Benutzerhandbuch. Version: 1.0

Gibt Daten im erweiterten Format aus. Dies beinhaltet die Angabe von Zugriffsrechten, Besitzer, Länge, Zeitpunkt der letzten Änderung und mehr.

Andy s Hybrides Netzwerk

Anleitung für den Zugriff auf Mitgliederdateien der AG-KiM

Dokumentation FileZilla. Servermanager

Intrusion Prevention mit IPTables. Secure Linux Administration Conference, 6. / 7. Dec Dr. Michael Schwartzkopff. iptables_recent, SLAC 2007 / 1

Installationsanleitung für pcvisit Server (pcvisit 15.0)

Eine Einführung in die Installation und Nutzung von cygwin

Senden von strukturierten Berichten über das SFTP Häufig gestellte Fragen

mit ssh auf Router connecten

Test mit lokaler XAMPP Oxid Installation

Leichte-Sprache-Bilder

Anleitung zum Erstellen und Auspacken eines verschlüsselten Archivs zur Übermittlung personenbezogener Daten per 1

AGROPLUS Buchhaltung. Daten-Server und Sicherheitskopie. Version vom b

Bridgefirewall eine transparente Lösung. Thomas Röhl 08. April 2005

ecaros2 Installer procar informatik AG 1 Stand: FS 09/2012 Eschenweg Weiterstadt

Virtual Private Network

Diese Anleitung enthält Anweisungen, die nur durch erfahrene Anwender durchgeführt werden sollten!

How to install freesshd

Übersicht. Was ist FTP? Übertragungsmodi. Sicherheit. Öffentliche FTP-Server. FTP-Software

FTP-Leitfaden RZ. Benutzerleitfaden

Whitepaper. Produkt: combit Relationship Manager / address manager. Dateiabgleich im Netzwerk über Offlinedateien

ecaros2 - Accountmanager

H A N D B U C H FILEZILLA. World4You Internet Service GmbH. Hafenstrasse 47-51, A-4020 Linz office@world4you.com

Sie müssen sich für diesen Fall mit IHREM Rechner (also zeitgut jk o.ä.) verbinden, nicht mit dem Terminalserver.

Ein Hinweis vorab: Mailkonfiguration am Beispiel von Thunderbird

Daten Sichern mit dem QNAP NetBak Replicator 4.0

Datenbank-Verschlüsselung mit DbDefence und Webanwendungen.

Das Handbuch zu KNetAttach. Orville Bennett Übersetzung: Thomas Bögel

Installation Hardlockserver-Dongle

Verbinden. der Firma

Beschreibung Installation SSH Server für sicher Verbindung oder Bedienung via Proxyserver. (Version 5.x)

Lehrveranstaltung Grundlagen von Datenbanken

1 Mit einem Convision Videoserver über DSL oder ISDN Router ins Internet

Website freiburg-bahai.de

Konfigurationsanleitung Access Control Lists (ACL) Funkwerk. Copyright Stefan Dahler Oktober 2008 Version 1.0.

OP-LOG

Zehn SSH Tricks. Julius Plen z

Mit Putty und SSH Key auf einen Linux Server zugreifen. Vorbereitungen auf dem Client Rechner

How to: VPN mit L2TP und dem Windows VPN-Client Version 2007nx Release 3

Anleitungen zum Publizieren Ihrer Homepage

Kurzanleitung. MEYTON Aufbau einer Internetverbindung. 1 Von 11

KURZANLEITUNG CYBERDUCK MIT CLOUD OBJECT STORAGE

Öffnen Sie den Internet-Browser Ihrer Wahl. Unabhängig von der eingestellten Startseite erscheint die folgende Seite in Ihrem Browserfenster:

TeamSpeak3 Einrichten

1 Einleitung. Lernziele. Symbolleiste für den Schnellzugriff anpassen. Notizenseiten drucken. eine Präsentation abwärtskompatibel speichern

Universal Dashboard auf ewon Alarmübersicht auf ewon eigener HTML Seite.

Computeria Solothurn

mehr funktionen, mehr e-commerce:

Sicherer Datenaustausch zwischen der MPC-Group und anderen Firmen. Möglichkeiten zum Datenaustausch... 2

Geschütztes FTP-Verzeichnis erstellen

Einrichten eines Exchange-Kontos mit Thunderbird

Der Schalter Eigenschaften öffnet die rechts stehende Ansicht. Internetprotokolle aussuchen

Anleitung für Zugriff auf den LEM-FTP-Server

Novell Client. Anleitung. zur Verfügung gestellt durch: ZID Dezentrale Systeme. Februar ZID Dezentrale Systeme

Einrichtungsanleitung Router MX200

Securebox. > Anwenderleitfaden.

PHPNuke Quick & Dirty

Installation eblvd (Fernwartung)

FTP-Server einrichten mit automatischem Datenupload für

Tutorial -

Datenempfang von crossinx

Wie richten Sie Ihr Web Paket bei Netpage24 ein

Benutzeranleitung (nicht für versierte Benutzer) SSH Secure Shell

VERSCHLÜSSELUNG

Wie macht man einen Web- oder FTP-Server im lokalen Netzwerk für das Internet sichtbar?

Verwendung des IDS Backup Systems unter Windows 2000

IMAP und POP. Internet Protokolle WS 12/13 Niklas Teich Seite 1

TechNote. Produkt: TWINFAX 7.0 (ab CD_24), TWINFAX 6.0 Modul: SMTP, T611, R3 Kurzbeschreibung: Briefpapier- und Mailbodyunterstützung

Enigmail Konfiguration

Advoware mit VPN Zugriff lokaler Server / PC auf externe Datenbank

Transkript:

Folie 1 / 20 Sicherheit unter Linux Hergen Harnisch harnisch@rrzn.uni-hannover.de Mark Heisterkamp heisterkamp@rrzn.uni-hannover.de 19. Juni 2006

Folie 2 / 20 -Regeln Speichern und Laden von Filterregeln ist eine Filterfunktion des Kernels unter Linux. Mittels Regeln wird der Verlauf eines TCP/IP-Datenpaketes beeinflusst. Dabei kann eine Datenpaket entweder o verworfen (DROP), o zurückgewiesen (REJECT) oder o angenommen (ACCEPT) werden. Ein Paket durchläuft normalerweise eine von drei möglichen sogenannten Ketten: o FORWARD o INPUT o OUTPUT

Folie 3 / 20 -Regeln Speichern und Laden von Filterregeln FORWARD netfilter (iptables) INPUT localhost OUTPUT

-Regeln Folie 4 / 20 -Regeln Speichern und Laden von Filterregeln Eine -Regel hat den allgemeinen Aufbau: iptables [-t Tabelle] -A <Kette> <Regel> wobei drei Tabellen zur Verfügung stehen: o filter (Standard) o mangle o nat Über entsprechende Abkürzungen werden dann die Regeln aufgebaut. Wird eine Regel eingegeben, so wird sie sofort wirksam.

Regelbeispiel Folie 5 / 20 -Regeln Speichern und Laden von Filterregeln Das folgende Beispiel für einen Satz Filterregeln sollte als Quasi-Standard am RRZN gelten, sobald ein Server aufgesetzt wird noch bevor er endgültig ans Netz geht: iptables -L iptables -P INPUT DROP iptables -P FORWARD DROP iptables -A INPUT -m state --state ESTABLISHED\ -j ACCEPT iptables -A INPUT -p tcp --dport 22 -j ACCEPT iptables -A INPUT -s 130.75.5.0/255.255.255.0\ -p tcp --dport 22 -j ACCEPT iptables -A INPUT -s 127.0.01 -i lo -j ACCEPT

Speichern und Laden von Filterregeln Folie 6 / 20 -Regeln Speichern und Laden von Filterregeln Mittels iptables-save > <DATEI> und iptables-restore < <DATEI> können aktuelle Regeln in DATEI gespeichert werden bzw. daraus gelesen werden.

Folie 7 / 20 -Regeln Speichern und Laden von Filterregeln o Sperren Sie Ihren Rechner für alle Zugriffe von außen. o Verbieten Sie das Surfen im Internet auf unverschlüsselten Seiten. o Erlauben Sie -Zugriff ausschließlich vom Rechner dozpc (192.168.0.13). o Lassen Sie den Zugriff auf ihren Rechner lokal zu.

SSH Folie 8 / 20 Konfigurationsdateien Ports SSH steht für Secure-Shell und ermöglicht die verschlüsselte Verbindung zwischen zwei Rechnern im Netz. Syntax: [OPTIONS] USER@HOST Optionen: -l <USER> -p <PORT> -L <LOCALPORT>:<HOST>:<ZIELPORT> ( ing ) -X

Konfigurationsdateien Folie 9 / 20 Konfigurationsdateien Ports Konfigurationsdateien für SSH: /etc/_config und /etc/d_config oder /etc//_config und /etc//d_config,

Wichtige Optionen in d_config Folie 10 / 20 Konfigurationsdateien Ports o Port 22 o Protocol 2 o PermitRootLogin no o StrictModes yes

Anwendungen und ihre Ports Folie 11 / 20 Konfigurationsdateien Ports FTP (Port 21) 21 FTP- Datenpaket 51 FTP (Port 51) SSH (Port 22) 22 SSH- Datenpaket 35 SSH (Port 35) HTTP (Port 80) 80 HTTP- Datenpaket 99 HTTP (Port 99) Rechner 130.75.5.15 an: 130.75.5.15 an: 130.75.6.209 Rechner 130.75.6.209 Ein Datenpaket enthält o Absenderadresse o Empfängeradresse o Port der Anwendung am Zielrechner Im Falle von SSH geschieht eine vom Standard abweichende Port-Einstellung in der Datei d_config.

Folie 12 / 20 Konfigurationsdateien Ports Ist ein Rechner beispielsweise durch eine Firewall abgeschirmt, es gibt aber einen dezidierten Eingangsrechner, von dem aus auf den eigentlichen abgeschirmten Rechner zugegriffen werden kann, so kann über diesen Zugangsrechner ein verschlüsselter aufgebaut werden: Localhost 1025 22 22 22 Ziel-Host -Host umgelenkter SSH-Port SSH-Standardports

aufbau Folie 13 / 20 Konfigurationsdateien Ports Zunächst wird in einem eigenen Terminalfenster (oder einer separaten Konsole) die Verbindung zu einem Host aufgebaut, der einerseits von mir erreichbar ist, der aber andererseits auch den eigentlichen Zielrechner erreichen kann. Ich erzeuge einen lokalen Port, der tatsächlich auf den -Port des eigentlichen Zielrechners zeigt: -L <LOCALPORT>:<ZIEL-IP>:<ZIELPORT> \ <ID>@<TUNNEL-HOST> Die obige Verbindung lässt man bestehen und baut nun in einem neuen Fenster (einer neuen Konsole) folgende Verbindung auf: -p <LOCALPORT> ZIEL-ID@localhost Nun ist eine verschlüsselter zum eigentlichen Zielrechner aufgebaut.

Folie 14 / 20 Konfigurationsdateien Ports Es gibt die Möglichkeit, eine Verbindung so zu definieren, dass keine Authetifizierung mehr per Nutzername und Passwort notwendig ist. 1 Lokal: -keygen -t dsa 2 Kopieren des Schlüssels auf den Server: scp $HOME/./id_dsa.pub user@server: 3 Login auf den Server: user@server 4 Auf dem Server: mkdir. und chmod 700., falls. noch nicht existiert cat id_dsa.pub >>./authorized_keys rm id_dsa.pub

Folie 15 / 20 Konfigurationsdateien Ports Binden eines Public-Keys an eine bestimmte IP-Adresse: from= foo.bar.de -dss AAAB3NzaC1 [...] kc3 MAAACBALT5QXyWa7WLokEqQi8+t0= mheiste@pc225h Ohne die Option PasswordAuthentication no in d_config nicht sinnvoll.

Folie 16 / 20 Konfigurationsdateien Ports o Verbieten Sie den Root-Login per SSH. o Erzeugen Sie sich ein einen öffentlichen Schlüssel. o Bauen Sie einen zu einem Nachbarrechner auf. o Binden Sie Ihren öffentlichen Schlüssel auf dem Zielrechner an Ihren lokalen Rechner. o Nutzen Sie die Public-Key-Authentifizierung, um bei zukünftigen -Verbindungen weder auf dem -Host, noch auf dem Ziel-Host ein Passwort eingeben zu müssen.

Folie 17 / 20 Umlenkung tar, und Pipes Packen: tar cvzf <archiv.tgz> <Quellverzeichnis> Inhalt auflisten: tar tvzf <archiv.tgz> Entpacken: tar xvzf <archiv.tgz> [-C <Zielverzeichnis>]

Umlenkung mit tar Folie 18 / 20 Umlenkung tar, und Pipes Nach STDOUT packen: tar cvzf - <Quellverzeichnis> Nach STDOUT entpacken: tar xvzf <archiv.tgz> -O Von STDIN entpacken: tar xvzf - [-C <Zielverzeichnis>]

tar,, Umlenkung und Pipes Folie 19 / 20 Umlenkung tar, und Pipes tar und sind für Kommandoverknüpfungen geeignet: <ID>@<HOST> \ tar cf - <Quellverzeichnis> > archiv.tar oder tar cf - <Quellverzeichnis> <ID>@<HOST> \ cat > archiv.tar oder cat archiv.tar <ID>@<HOST> \ tar xf - -C <Zielverzeichnis>

Folie 20 / 20 Umlenkung tar, und Pipes o Packen Sie per Pipe durch das /tmp-verzeichnis des -Host (192.168.0.13) in Ihr Home-Verzeichnis. o Entpacken Sie das soeben erzeugte Archiv durch eine -Pipe in ein /tmp-verzeichnis (das Sie ggf. noch erzeugen müssen) eines anderen Accounts auf Ihrem lokalen Rechner.

2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback