You are not logged in.

Anzeigen

NSLU absichern

nslu2-info.de ist ein privates Projekt von mir, welches jeden Monat aus eigener Tasche finanziert wird. Mit einer freiwilligen Spende wird der Erhalt und der weitere Ausbau dieses Forums unterstützt. Um mich beim Erhalt des Forums zu unterstützen, kannst Du entweder via Flattr oder Paypal spenden. Ich bedanke mich schon jetzt bei allen Unterstützern.

chris99

Intermediate

  • "chris99" started this thread

Posts: 148

  • Send private message

1

Thursday, January 7th 2010, 6:57pm

NSLU absichern

Hallo!

Meine NSLU2 (unslung) ist mit meiner FritzBox verbunden, damit ich im gesamten Netzwerk auf sie zugreifen kann. Auf der Slug läuft der Apache, ssh und bei Bedarf PostgreSQL und PHP 5. Mein DSL Anschluss ist per dynamischer IP.

Das Thema Sicherheit (gerade in Kombination mit Serverdiensten) bereit mir allerdings Sorgen. Bisjetzt habe ich nur den SSH Port verlegt sowie die php.ini abgesichert sowie den root Account mit einem langem Passwort versehen.

Was kann man noch tun um die Slug abzusichern (Wie habt ihr das erledigt?)
Gäbe es eine Möglichkeit, sudo zu benutzten und so root per ssh deaktivieren?
Kann mand en Apache einstellen, das nur Zugriffe aus dem Adressbereich 192.178.** möglich sind?
Wie groß ist das Risiko, dass die Slug gehackt werden könnte?

chris
Anzeigen

MentalFS

Trainee

Posts: 71

wcf.user.option.userOption68: NSLU2

wcf.user.option.userOption65: Debian

  • Send private message

2

Friday, January 8th 2010, 10:12am

Ich habe das einloggen als root deaktiviert und benutze dann su. Sudo wäre ja im Grunde eine weitere potentielle Lücke.

Du könntest in deinem Router die entsprechenden Ports von außen blocken, wenn du nicht willst dass man drankommt. Meistens kann man auch eine IP-Maske in den entsprechenden Config-Dateien angeben, aber ich hab keine Ahnung ob Apache sowas hat.
Anzeigen

caplink811

Forensupporter

Posts: 2,200

wcf.user.option.userOption68: 64X2/8GB/Ubuntu10.04LTS

wcf.user.option.userOption65: anderes

Location: Berlin

Occupation: TK/IT Consulting and Engineering

  • Send private message

3

Friday, January 8th 2010, 2:41pm

Moin,

wir reden von Zugriffen aus dem internen Netzsegment, oder eher von Zugriffen aus der weiten Welt?
Letztere blockt die Fritzbox ja von Hause aus, und gewollte Zugriffe müssen explizit frei geschaltet werden...

Sinnvoll wäre natürlich auch, ssh nur per private key zu erlauben (siehe http://jrbnet.de/joomla/content/view/42/58/)

bye
JrB
"Supporting joe users worldwide" <- that's our motto

chris99

Intermediate

  • "chris99" started this thread

Posts: 148

  • Send private message

4

Saturday, January 9th 2010, 5:37pm

Hi,

Quoted

"wir reden von Zugriffen aus dem internen Netzsegment, oder eher von Zugriffen aus der weiten Welt?
Letztere blockt die Fritzbox ja von Hause aus"


Wir reden von Zugriffen aus der weiten Welt, hier im Netzwerk soll ja jeder PC mit der Slug arbeiten können.


Quoted

"Sinnvoll wäre natürlich auch, ssh nur per private key zu erlauben"


Okay, das geh ich direkt heut abend an. Wie sieht das denn mit so "Spielchen" ala Fail2Ban oder Denyhosts aus?
EDIT: Pubkey eingerichtet.

Quoted

"Sudo wäre ja im Grunde eine weitere potentielle Lücke."

Wie meinst du das? sudo ist mmn oft im Server Segment (sprich Teile außerhalb der eigenen vier Wände) anzutreffen.

Gruß

This post has been edited 2 times, last edit by "chris99" (Jan 9th 2010, 6:23pm)

caplink811

Forensupporter

Posts: 2,200

wcf.user.option.userOption68: 64X2/8GB/Ubuntu10.04LTS

wcf.user.option.userOption65: anderes

Location: Berlin

Occupation: TK/IT Consulting and Engineering

  • Send private message

5

Saturday, January 9th 2010, 8:03pm

N'Abend,

Fail2Ban und anderes sind m.E. erst notwendig, wenn Deine Logfiles darum bitten...
Ich denke aber, ssh auf einen Port >1024 zu legen, und alle Dienste über die ssh Verbindung zu tunneln, reicht aus.

bye
JrB
"Supporting joe users worldwide" <- that's our motto

chris99

Intermediate

  • "chris99" started this thread

Posts: 148

  • Send private message

6

Sunday, January 10th 2010, 3:14pm

Ist es normal, dass die NSLU jetzt 6 Minuten und mehr zum booten braucht? Bis auf Apache und den sshd sind alle Dienste deaktiviert...

caplink811

Forensupporter

Posts: 2,200

wcf.user.option.userOption68: 64X2/8GB/Ubuntu10.04LTS

wcf.user.option.userOption65: anderes

Location: Berlin

Occupation: TK/IT Consulting and Engineering

  • Send private message

7

Monday, January 11th 2010, 6:57pm

Moin,

Ständig? Oder eher einmalig?

bye
JrB
"Supporting joe users worldwide" <- that's our motto

chris99

Intermediate

  • "chris99" started this thread

Posts: 148

  • Send private message

8

Monday, January 11th 2010, 8:14pm

Bootet nun garnicht mehr. Nachdem ich heute Morgen (ca.06:45 Uhr) den Startknopf am Gerät gedrückt hatte, startete der Bootprozess. Als ich wieder zurück aus der Schule kam (gut 14 Uhr) war das Gerät (den LEDs) nach zu urteilen, immernoch im Bootporzess. ready/status blinkt permanent grün.

Ziehe ich allerdings die Festplatte ab, bootet die Schnecke korrekt innerhalb von gut 45 Sekunden.

caplink811

Forensupporter

Posts: 2,200

wcf.user.option.userOption68: 64X2/8GB/Ubuntu10.04LTS

wcf.user.option.userOption65: anderes

Location: Berlin

Occupation: TK/IT Consulting and Engineering

  • Send private message

9

Monday, January 11th 2010, 8:53pm

Wenn Du dann die HDD steckst, kannst Du nach ca. 2 Minuten darauf zugreifen?
Und Du hast natürlich nichts geändert, oder installiert?

bye
JrB
"Supporting joe users worldwide" <- that's our motto

chris99

Intermediate

  • "chris99" started this thread

Posts: 148

  • Send private message

10

Tuesday, January 12th 2010, 3:48pm

Quoted

Und Du hast natürlich nichts geändert, oder installiert?
Ich habe den Key Login für SSH eingerichtet. Danach habe ich die NSLU per Startbutton heruntergefahren. Mehr nicht.

Quoted


Wenn Du dann die HDD steckst, kannst Du nach ca. 2 Minuten darauf zugreifen?
Nein.

Gruß

caplink811

Forensupporter

Posts: 2,200

wcf.user.option.userOption68: 64X2/8GB/Ubuntu10.04LTS

wcf.user.option.userOption65: anderes

Location: Berlin

Occupation: TK/IT Consulting and Engineering

  • Send private message

11

Tuesday, January 12th 2010, 5:15pm

Moin,

Wenn Du die NSLU vom internen Flash bootest, und dann die Platte steckst, sollte selbige sich wie eine normale Festplatte verhalten... Also nach einer gewissen Zeit die Shares zur Verfügung stellen, oder Du solltest zumindestens die Partitionen manuell mounten können...
Steht etwas zu dem Thema in den Logfiles? Wenigstens die Erkenntnis, das ein Gerät am USB hinzugefügt wurde? Welche Prozesse laufen?

bye
JrB
"Supporting joe users worldwide" <- that's our motto

Similar threads

Used tags

absichern

Social bookmarks