Supportnet / Forum / Linux
samba - DAS sicherheitsrisiko?
Frage
auf meinem linux isdn router läuft unter anderem auch samba. letztens hab ich mal ein test der sicherheit auf einer seite durchgeführt. der zeigte mir dan ganz deutlich über netbios meine mit samba freigegebenen shares an, und wer da zugriff hat. da ein ordner mit guest ok = yes angegeben ist konnte die seite auch anzeigen was in dem ordner drinnen ist.. KANN MAN DAS UM GOTTES WILLEN ÄNDERN? muss nicht jeder wissen das ich nen ordner music-mp3 auf meinem linux rechner habe!!!
möglichkeiten den netbios von "außen" zu sperren oder ganz zu deaktivieren (und das trozdem noch alles geht!!) ?
wäre mal nett das zu erfahren... immoment gilt: rcsmb stop
schon mal danke an alle die nem linux anfänger helfen wollen :)
Antwort 1 von mikele
hallo,
ich habe auch auf meinem linuxrouter samba laufen, und mich würde das thema in dieser hinsicht auch sehr interessieren.
ich habe auch auf meinem linuxrouter samba laufen, und mich würde das thema in dieser hinsicht auch sehr interessieren.
Antwort 2 von MichaelSchmidt
Wenn ihr Linux als Router benutzt, was im überigen sehr gut läuft, müsst ihr auch eine Firewall aufsetzten. Sie verhindert u.a. dass bestimmte Ports von aussen erreicht werden können. Am besten sollte auf eínem Router aber so wenig laufen wie möglich. Einen Router und Fileserver in einem zu bauen ist prinzipell nicht vereinbar. Entweder Router ODER Fileserver, sonst bleibt immer das Problem wie man Dienste von innen erlaubt und von aussen verbietet. Lässt sich zwar machen, wenn das euer Ziel ist würde ich mir aber ehr einen Hardwarerouter zulegen.
Viel Spass beim Konfigurieren!
Ciao
Michael
Viel Spass beim Konfigurieren!
Ciao
Michael
Antwort 3 von lala
he! weist du was ein hardware router für dsl kostet? un ein 2ter rechner für filesharing wäre mit persönlich dann auch zu teuer. es loll ja kein hochsicherheitsnetzwerk sein. nur dass man samba shares auch von außerhalb sieht passt mir nicht. das ist alles was wech muss. an sonnsten ist die kiste dich, kein finger kein telnet und nix
Antwort 4 von MichaelSchmidt
Jo weiss ich, etwa 320,- Eier incl. 4 Port-Hub und Printserver! Die Alternative habe ich dir ja gesagt, du musst die Portfreigabe für die interne und externe Verbindung sauber trennen!
Ciao
Michael
PS: Auch bei getrennten Kisten bist du aber von einer Hochsicherheitslösung noch weit entfernt!
Ciao
Michael
PS: Auch bei getrennten Kisten bist du aber von einer Hochsicherheitslösung noch weit entfernt!
Antwort 5 von mikele
@lala,
mich würde mal interessieren auf welcher seite du deine sichherheit denn getestet hast.
könntest du hier mal bitte die url posten??
mich würde mal interessieren auf welcher seite du deine sichherheit denn getestet hast.
könntest du hier mal bitte die url posten??
Antwort 6 von MichaelSchmidt
Du kannst deine "Sicherheit" z.B. unter
http://scan.sygatetech.com oder unter http://www.hackerwatch.org/safetyfirst/default.asp testen!
Ciao
Michael
http://scan.sygatetech.com oder unter http://www.hackerwatch.org/safetyfirst/default.asp testen!
Ciao
Michael
Antwort 7 von kinder-riegel
Ohh Gott!
Freunde, es reicht völlig wenn ihr die blöde range von 137-139 speert (netbios*)
dann ist das problem beseitigt.
mit ipchains würde diese firewall chains so aussehen:
ipchains -A input -i eth0 -p 137:139 -j DENY
Wobei eth0 das externe interface ist (also auch ippp0, ppp0 oder eth1...)
Es wäre einfacher sich bereits eine fertige firewall zu nutzen (spart Zeit).
Die Lösung mit dem router geht auch, wenn man zuviel Geld hat.
Freunde, es reicht völlig wenn ihr die blöde range von 137-139 speert (netbios*)
dann ist das problem beseitigt.
mit ipchains würde diese firewall chains so aussehen:
ipchains -A input -i eth0 -p 137:139 -j DENY
Wobei eth0 das externe interface ist (also auch ippp0, ppp0 oder eth1...)
Es wäre einfacher sich bereits eine fertige firewall zu nutzen (spart Zeit).
Die Lösung mit dem router geht auch, wenn man zuviel Geld hat.
Antwort 8 von lala
wo bekomm ich so eine fertige fireall?
die susefirewall (die dabei ist) ist geht mir nicht so rein.. man hat zu wenig optionen und kann nur dienste sperren und überhaubt nicht gut festlegen welche ports gesperrt oder geöffnet oder nur intern oder extern geöffnet sind... usw... oder mach ich da was falsch? gibbet keine firewall die man runterläd, einträgt welche ports gesperrt werden sollen, dann starten und fertig?
die susefirewall (die dabei ist) ist geht mir nicht so rein.. man hat zu wenig optionen und kann nur dienste sperren und überhaubt nicht gut festlegen welche ports gesperrt oder geöffnet oder nur intern oder extern geöffnet sind... usw... oder mach ich da was falsch? gibbet keine firewall die man runterläd, einträgt welche ports gesperrt werden sollen, dann starten und fertig?
Antwort 9 von MichaelSchmidt
guck mal unter http://www.pl-berichte.de/work/firewall/index.html
Ciao
Michael
Ciao
Michael
Antwort 10 von matze810
Servus,
wenn Ihr einen extra PC als Router Samba-Server, Firewall etc. laufen lassen wollt, solltet Ihr mal auf
www.fli4l.de vorbeischauen. Das teil is einfach genial, und läuft bei mir ohne Probs.
CU Matze
wenn Ihr einen extra PC als Router Samba-Server, Firewall etc. laufen lassen wollt, solltet Ihr mal auf
www.fli4l.de vorbeischauen. Das teil is einfach genial, und läuft bei mir ohne Probs.
CU Matze
Antwort 11 von lala
kenn ich... entspricht nur leider will ich das ding auch als ftp / webserver verwenden.. es muss doch möglich sein eine firewall (wie übrigens bei fly4l) per deny port zu sperren: den port will ich, den nicht! (ist das so schwer?)
hoffend auf antwort...
hoffend auf antwort...
Antwort 12 von Linuxer
1.Es gibt zig Firewall Proggies für Linux nur so einfach wie unter Windows gehts bei keiner. Kannst ja mal zu tecchannel gucken da hatten sie nen Workshop für knetfilter drinnen.
2. Die Suse Firewall kannst du anpassen wie du willst, es gibt dazu extra eine eigene config Datei in der Rules reinkommen, die man nachträglich definieren will.
Grundsätzlich kommts darauf an ob du nen Dial Up Verbindung hast oder nicht, denn bei einer DialUp Verbindung mit dynamischer IP ist es immer schwieriger das Firewall Script zu erstellen, denn da musst du bei IP Up zuerst mal deine IP ermittlen und sie dem Firewall Script übergeben. Drum wäre es viel einfacher die Suse Firewall per Eintrag zu erweitern.
2. Die Suse Firewall kannst du anpassen wie du willst, es gibt dazu extra eine eigene config Datei in der Rules reinkommen, die man nachträglich definieren will.
Grundsätzlich kommts darauf an ob du nen Dial Up Verbindung hast oder nicht, denn bei einer DialUp Verbindung mit dynamischer IP ist es immer schwieriger das Firewall Script zu erstellen, denn da musst du bei IP Up zuerst mal deine IP ermittlen und sie dem Firewall Script übergeben. Drum wäre es viel einfacher die Suse Firewall per Eintrag zu erweitern.
Antwort 13 von Linuxer
Nachtrag: Mandrake hat eine Firewall drauf die um einiges besser zu konfigurieren ist als die Suse.
Der Name der Wall ist Bastille Interactive, da stellt dir das Teil ne h lang Fragen in der dir alles erklärt wird zu den Einstellungen, und du nur noch Angaben machen musst.
Der Name der Wall ist Bastille Interactive, da stellt dir das Teil ne h lang Fragen in der dir alles erklärt wird zu den Einstellungen, und du nur noch Angaben machen musst.
Antwort 14 von kinder-riegel
Hallo lala!
Sage doch mach, mit welchen Kernel läuft dein System.
Wenn es der 2.2 oder der 2.4 mit ipchain Unterstützung ist könnte ich die eine fertige (ganz nette) firewall vorschlagen.
Also das angebot gilt.
cu & FIN=1
Sage doch mach, mit welchen Kernel läuft dein System.
Wenn es der 2.2 oder der 2.4 mit ipchain Unterstützung ist könnte ich die eine fertige (ganz nette) firewall vorschlagen.
Also das angebot gilt.
cu & FIN=1
Antwort 15 von Darmok
man ipchains
zless /usr/share/doc/HOWTO/en-txt/IPCHAINS-HOWTO.gz
Grundsaetzlich gilt: es gibt nicht _die_ Firewallloesung schlechthin, eine gute Firewall (oder packetfilter wie IP-Chains) ist auf die Beduerfnisse des zu schuetzenden Netzes abzustimmen.
Eine ready-to-use Firewall oder eine mal eben schnell zusammengestrickte firewall ist idR potentiell ein deutlich groesseres Sicherheitsrisiko als gar keine Firewall (da man sich in falscher Sicherheit wiegt und unvorsichtig wird).
zless /usr/share/doc/HOWTO/en-txt/IPCHAINS-HOWTO.gz
Grundsaetzlich gilt: es gibt nicht _die_ Firewallloesung schlechthin, eine gute Firewall (oder packetfilter wie IP-Chains) ist auf die Beduerfnisse des zu schuetzenden Netzes abzustimmen.
Eine ready-to-use Firewall oder eine mal eben schnell zusammengestrickte firewall ist idR potentiell ein deutlich groesseres Sicherheitsrisiko als gar keine Firewall (da man sich in falscher Sicherheit wiegt und unvorsichtig wird).
Antwort 16 von Darmok
Hm noch was vergessen, der Pfad zum HOWTO ist so aus Debian woody uebernommen, bei anderen Distributionen mag dieser selbsverstaendlich so nicht stimmen
Antwort 17 von Knautschie
oje ich seh schon..
@kinder-riegel : bin durchaus interresiert
@ alle
wie funktioniert das mit ipchains? ich hab das mal schrit für schritt mit ner anleitung ausm netz probiert... nur leider scheint das durch die verschidenen versionen die es da gibt nicht ganz kompatibel zu sein... jedenfalls meldert er immer ungültige option usw. obwohl ich das genau übernehme... hat jemand vieleicht eine beispielkonfiguration mit der man das system verstehen kann? wo werden diese ipchain regeln eigentlich gespeichert? in welcher datei? ICH BRAUCH MEHR INFOS url etc.
ein hoffender linuxer...
@kinder-riegel : bin durchaus interresiert
@ alle
wie funktioniert das mit ipchains? ich hab das mal schrit für schritt mit ner anleitung ausm netz probiert... nur leider scheint das durch die verschidenen versionen die es da gibt nicht ganz kompatibel zu sein... jedenfalls meldert er immer ungültige option usw. obwohl ich das genau übernehme... hat jemand vieleicht eine beispielkonfiguration mit der man das system verstehen kann? wo werden diese ipchain regeln eigentlich gespeichert? in welcher datei? ICH BRAUCH MEHR INFOS url etc.
ein hoffender linuxer...
Antwort 18 von MichaelSchmidt
@Knautschie,
guck dir mal http://www.pl-berichte.de/work/firewall/index.html
an. Dort dürfte so ziemlich alles stehen was du brauchst
Ciao
Michael
guck dir mal http://www.pl-berichte.de/work/firewall/index.html
an. Dort dürfte so ziemlich alles stehen was du brauchst
Ciao
Michael
Antwort 19 von kinder-riegel
ipchains Dokumentation,
wie "Darkmon" es bereits erwähnt hat gibt es nicht DIE FIREWALL, eine FW muss immer dem (oder den) User(n) angepasst werden.
Hier ein Link:
http://home.foni.net/~bmueller/infos/ipchains.html
Dieser Link gilt allen den die Interesse haben sich mit dieser Thematik auseinander zu setzen.(deutsch)
(also das Doku sollte schon durchgelesen werden)
Wenn jemanden der o.g. Link nicht ausreicht www.linuxdoc.org (wohl eine der Besten sites), Language=English.
So, ich wünsche viel Erfolg.
wie "Darkmon" es bereits erwähnt hat gibt es nicht DIE FIREWALL, eine FW muss immer dem (oder den) User(n) angepasst werden.
Hier ein Link:
http://home.foni.net/~bmueller/infos/ipchains.html
Dieser Link gilt allen den die Interesse haben sich mit dieser Thematik auseinander zu setzen.(deutsch)
(also das Doku sollte schon durchgelesen werden)
Wenn jemanden der o.g. Link nicht ausreicht www.linuxdoc.org (wohl eine der Besten sites), Language=English.
So, ich wünsche viel Erfolg.