Sie sind nicht angemeldet.

Anzeigen

**Wir werden in den kommenden Tagen einen Umzug auf einen neuen Server durchführen. Im Rahmen dieser Maßnahme wird das Forum ca. 1 Stunde nicht erreichbar sein.** nslu2-info.de ist ein privates Projekt von mir, welches jeden Monat aus eigener Tasche finanziert wird. Mit einer freiwilligen Spende wird der Erhalt und der weitere Ausbau dieses Forums unterstützt. Um mich beim Erhalt des Forums zu unterstützen, kannst Du entweder via Flattr oder Paypal spenden. Ich bedanke mich schon jetzt bei allen Unterstützern.

Lieber Besucher, herzlich willkommen bei: Die NSLU2 Community****wenns ums speichern und streamen geht****. Falls dies Ihr erster Besuch auf dieser Seite ist, lesen Sie sich bitte die Hilfe durch. Dort wird Ihnen die Bedienung dieser Seite näher erläutert. Darüber hinaus sollten Sie sich registrieren, um alle Funktionen dieser Seite nutzen zu können. Benutzen Sie das Registrierungsformular, um sich zu registrieren oder informieren Sie sich ausführlich über den Registrierungsvorgang. Falls Sie sich bereits zu einem früheren Zeitpunkt registriert haben, können Sie sich hier anmelden.

1

Donnerstag, 7. Januar 2010, 18:57

NSLU absichern

Hallo!

Meine NSLU2 (unslung) ist mit meiner FritzBox verbunden, damit ich im gesamten Netzwerk auf sie zugreifen kann. Auf der Slug läuft der Apache, ssh und bei Bedarf PostgreSQL und PHP 5. Mein DSL Anschluss ist per dynamischer IP.

Das Thema Sicherheit (gerade in Kombination mit Serverdiensten) bereit mir allerdings Sorgen. Bisjetzt habe ich nur den SSH Port verlegt sowie die php.ini abgesichert sowie den root Account mit einem langem Passwort versehen.

Was kann man noch tun um die Slug abzusichern (Wie habt ihr das erledigt?)
Gäbe es eine Möglichkeit, sudo zu benutzten und so root per ssh deaktivieren?
Kann mand en Apache einstellen, das nur Zugriffe aus dem Adressbereich 192.178.** möglich sind?
Wie groß ist das Risiko, dass die Slug gehackt werden könnte?

chris

Anzeigen

MentalFS

Schüler

Beiträge: 71

Verwendetes NAS-Device: NSLU2

Firmwareversion / your current Firmware: Debian

  • Nachricht senden

2

Freitag, 8. Januar 2010, 10:12

Ich habe das einloggen als root deaktiviert und benutze dann su. Sudo wäre ja im Grunde eine weitere potentielle Lücke.

Du könntest in deinem Router die entsprechenden Ports von außen blocken, wenn du nicht willst dass man drankommt. Meistens kann man auch eine IP-Maske in den entsprechenden Config-Dateien angeben, aber ich hab keine Ahnung ob Apache sowas hat.

Anzeigen

caplink811

Forensupporter

Beiträge: 2 200

Verwendetes NAS-Device: 64X2/8GB/Ubuntu10.04LTS

Firmwareversion / your current Firmware: anderes

Wohnort: Berlin

Beruf: TK/IT Consulting and Engineering

  • Nachricht senden

3

Freitag, 8. Januar 2010, 14:41

Moin,

wir reden von Zugriffen aus dem internen Netzsegment, oder eher von Zugriffen aus der weiten Welt?
Letztere blockt die Fritzbox ja von Hause aus, und gewollte Zugriffe müssen explizit frei geschaltet werden...

Sinnvoll wäre natürlich auch, ssh nur per private key zu erlauben (siehe http://jrbnet.de/joomla/content/view/42/58/)

bye
JrB
"Supporting joe users worldwide" <- that's our motto


4

Samstag, 9. Januar 2010, 17:37

Hi,

Zitat

"wir reden von Zugriffen aus dem internen Netzsegment, oder eher von Zugriffen aus der weiten Welt?
Letztere blockt die Fritzbox ja von Hause aus"


Wir reden von Zugriffen aus der weiten Welt, hier im Netzwerk soll ja jeder PC mit der Slug arbeiten können.


Zitat

"Sinnvoll wäre natürlich auch, ssh nur per private key zu erlauben"


Okay, das geh ich direkt heut abend an. Wie sieht das denn mit so "Spielchen" ala Fail2Ban oder Denyhosts aus?
EDIT: Pubkey eingerichtet.

Zitat

"Sudo wäre ja im Grunde eine weitere potentielle Lücke."

Wie meinst du das? sudo ist mmn oft im Server Segment (sprich Teile außerhalb der eigenen vier Wände) anzutreffen.

Gruß

Dieser Beitrag wurde bereits 2 mal editiert, zuletzt von »chris99« (9. Januar 2010, 18:23)


caplink811

Forensupporter

Beiträge: 2 200

Verwendetes NAS-Device: 64X2/8GB/Ubuntu10.04LTS

Firmwareversion / your current Firmware: anderes

Wohnort: Berlin

Beruf: TK/IT Consulting and Engineering

  • Nachricht senden

5

Samstag, 9. Januar 2010, 20:03

N'Abend,

Fail2Ban und anderes sind m.E. erst notwendig, wenn Deine Logfiles darum bitten...
Ich denke aber, ssh auf einen Port >1024 zu legen, und alle Dienste über die ssh Verbindung zu tunneln, reicht aus.

bye
JrB
"Supporting joe users worldwide" <- that's our motto


6

Sonntag, 10. Januar 2010, 15:14

Ist es normal, dass die NSLU jetzt 6 Minuten und mehr zum booten braucht? Bis auf Apache und den sshd sind alle Dienste deaktiviert...

caplink811

Forensupporter

Beiträge: 2 200

Verwendetes NAS-Device: 64X2/8GB/Ubuntu10.04LTS

Firmwareversion / your current Firmware: anderes

Wohnort: Berlin

Beruf: TK/IT Consulting and Engineering

  • Nachricht senden

7

Montag, 11. Januar 2010, 18:57

Moin,

Ständig? Oder eher einmalig?

bye
JrB
"Supporting joe users worldwide" <- that's our motto


8

Montag, 11. Januar 2010, 20:14

Bootet nun garnicht mehr. Nachdem ich heute Morgen (ca.06:45 Uhr) den Startknopf am Gerät gedrückt hatte, startete der Bootprozess. Als ich wieder zurück aus der Schule kam (gut 14 Uhr) war das Gerät (den LEDs) nach zu urteilen, immernoch im Bootporzess. ready/status blinkt permanent grün.

Ziehe ich allerdings die Festplatte ab, bootet die Schnecke korrekt innerhalb von gut 45 Sekunden.

caplink811

Forensupporter

Beiträge: 2 200

Verwendetes NAS-Device: 64X2/8GB/Ubuntu10.04LTS

Firmwareversion / your current Firmware: anderes

Wohnort: Berlin

Beruf: TK/IT Consulting and Engineering

  • Nachricht senden

9

Montag, 11. Januar 2010, 20:53

Wenn Du dann die HDD steckst, kannst Du nach ca. 2 Minuten darauf zugreifen?
Und Du hast natürlich nichts geändert, oder installiert?

bye
JrB
"Supporting joe users worldwide" <- that's our motto


10

Dienstag, 12. Januar 2010, 15:48

Zitat

Und Du hast natürlich nichts geändert, oder installiert?
Ich habe den Key Login für SSH eingerichtet. Danach habe ich die NSLU per Startbutton heruntergefahren. Mehr nicht.

Zitat


Wenn Du dann die HDD steckst, kannst Du nach ca. 2 Minuten darauf zugreifen?
Nein.

Gruß

caplink811

Forensupporter

Beiträge: 2 200

Verwendetes NAS-Device: 64X2/8GB/Ubuntu10.04LTS

Firmwareversion / your current Firmware: anderes

Wohnort: Berlin

Beruf: TK/IT Consulting and Engineering

  • Nachricht senden

11

Dienstag, 12. Januar 2010, 17:15

Moin,

Wenn Du die NSLU vom internen Flash bootest, und dann die Platte steckst, sollte selbige sich wie eine normale Festplatte verhalten... Also nach einer gewissen Zeit die Shares zur Verfügung stellen, oder Du solltest zumindestens die Partitionen manuell mounten können...
Steht etwas zu dem Thema in den Logfiles? Wenigstens die Erkenntnis, das ein Gerät am USB hinzugefügt wurde? Welche Prozesse laufen?

bye
JrB
"Supporting joe users worldwide" <- that's our motto


Ähnliche Themen

Verwendete Tags

absichern

Social Bookmarks