Jemand da der sich mit Port Scans gut auskennt

Re(2): Jemand da der sich mit Port Scans gut auskennt

tb1333 — Thu, 16 Jun 2005 15:49:06 GMT

*gg*

die ganzen scans kommen genau bis zu meinem router.
das wars dann.
wobei ich mit sicherheit nicht optimal abgesichert bin.

Re(3): Jemand da der sich mit Port Scans gut auskennt

adhoc — Thu, 16 Jun 2005 09:34:07 GMT

auf die datenbank könntest aber auch über ssh (port forwarding.. oder wie das heisst) zugreiffen können ??

Re(3): Jemand da der sich mit Port Scans gut auskennt

mhe — Wed, 15 Jun 2005 14:19:03 GMT

wennst schon eingeloggt bist, dann tippsel auf deinem server "netstat -plunt"
dann weisst genau was wo wie und warum offen ist.
und nmap wird dir remote auch nicht mehr daten liefern als das

und das es so einfach ist, ist zwar sicher beim ersten mal absichern verwunderlich, aber spricht doch im endeffekt für die usability von linux

was ssh betrifft würde ich noch "PermitRootLogin" auf "no" setzen, weil es immer noch besser ist mit einem nicht-privilegierten user einzuloggen und dann per su auf root zu wechseln (noch ein passwort prompt).
2 passwörter knackt man nunmal schwerer als eines.

und das ssh tunneln von mysql traffic ist eine exzellente idee
da allerdings ohnehin immer die gleichen rechner auf eine DB zugreifen, könnte man den port auch IP-abhängig erreichbar machen. würde für normalsterbliche dinge womöglich reichen, je nachdem wie kritisch das ist, was drauf läuft.
wenn du mehrere datenbanken drauf hast, spricht ja auhc nix dagegen, mehrere sql user anzulegen und denen nur die minimal notwendigen rechte zuzusichern. das löst zwar das problem der cleartext authentifikation nicht, aber immerhin sind die accounts dann nur begrenzt zu missbrauchen. aber statisches ssh tunneln wäre in verbindung damit schon schwer oke.
zumal du dir dann den offenen port extern sparst, weil dann der lokale sshd des remote servers übers loopback mitm sql server kommuniziert (somit kein 3306 extern per nmap feststellbar, bringt 3 bonuspunkte für security through obscurity).

lg
martin

Re(7): Jemand da der sich mit Port Scans gut auskennt

Falscher Hase — Mon, 06 Jun 2005 08:54:39 GMT

Lass Edith aus dem Spiel. Die kann nix dafür.
Und überhaupt, wieso kennst Du Edith?

hf
FH

Re(8): Jemand da der sich mit Port Scans gut auskennt

Somnatic — Mon, 06 Jun 2005 06:48:33 GMT

ich ? Erfahrung ?

sorry - falsche Baustele

Tut mir leid, aber da kann ich keine qualifizierte Aussage abgeben (daher lass ichs lieber ganz bleiben )

Re(8): Jemand da der sich mit Port Scans gut auskennt

Somnatic — Mon, 06 Jun 2005 06:47:47 GMT

SSH kann ich leider nicht wirklich gscheit fixieren ..
muss da drauf von Wien und Vorarlberg drauf zugreifen können (jeweils von verschiedenen anbietern) mit dynamischen IPs ... da müsst ich mir erst noch die passenden Ranges raussuchen ..

Dank dir jedenfalls für deine Vorschläge

Re(7): Jemand da der sich mit Port Scans gut auskennt

Twist — Mon, 06 Jun 2005 06:46:00 GMT

andere frage...da du scheinbar mehr erfahrung mit linux db servern hast...
was kann MS SQL was Mysql nicht kann????

Re(7): Jemand da der sich mit Port Scans gut auskennt

Twist — Mon, 06 Jun 2005 06:45:11 GMT

dann "müssen" ports offen sein...
auf web darf vermutlich jeder zugreifen...aber mit der richtigen firewall sollte nur dieser port offen sein...sowie SSH und das könntest auch noch auf gewisse IPs fixieren wennst nicht wirklich mobil sein musst als admin.

Re(6): Jemand da der sich mit Port Scans gut auskennt

Somnatic — Mon, 06 Jun 2005 06:20:58 GMT

is ja auch keine workstation

ist mein Web/DB Server, welchen ich über SSH verwalte

Re(5): Jemand da der sich mit Port Scans gut auskennt

Twist — Mon, 06 Jun 2005 06:17:11 GMT

3 ports offen? bei einer linux kiste?
was für demons/server hast leicht laufen?

auf einer linux worksation sollte per default kein einziger port offen sein.

Re(4): Jemand da der sich mit Port Scans gut auskennt

Marax — Sun, 05 Jun 2005 19:35:40 GMT

finger in den popsch??

Re(4): Jemand da der sich mit Port Scans gut auskennt

Somnatic — Sun, 05 Jun 2005 19:35:02 GMT

das mit mysql muss ich mir erst noch ansehen wie das geht ..

dank dir jedenfalls für die tipps ..

Re(4): Jemand da der sich mit Port Scans gut auskennt

Somnatic — Sun, 05 Jun 2005 19:34:16 GMT

also ssh user gibts bis dato nur zwei ... root und mein standarduser
aber ohne die zwei gehts nicht ..

Re(3): Jemand da der sich mit Port Scans gut auskennt

MG — Sun, 05 Jun 2005 19:24:57 GMT

Also eh bloß die problematischsten Dienste.

Tipp: Schränke bei ssh die User ein. Denn nichts ist tdlicher als der schnell mal eben angelegte User für irgendwas hat ssh Zugriff.

Den mysql Port mach besser zu! Denn dieser Traffic geht unverschlüsselt übers Netz.
Inkl. authentifizierung. Wenn du unbedingt diesen Zugriff auf einem entfernten Rechner brauchst, dann mach einen ssh tunnel.

Re(2): Jemand da der sich mit Port Scans gut auskennt

Somnatic — Sun, 05 Jun 2005 19:05:50 GMT

ny .. habs shcon mit lynx probiert .. aber das is mühsam

Re: Jemand da der sich mit Port Scans gut auskennt

sde — Sun, 05 Jun 2005 18:04:42 GMT

hast keinen remote-desktop wo eine seite so ansurfen könntest?

Re(2): Jemand da der sich mit Port Scans gut auskennt

Srv-02 — Sun, 05 Jun 2005 18:03:24 GMT

Aber sicher nicht in diesem Forum.

Re(6): Jemand da der sich mit Port Scans gut auskennt

Somnatic — Sun, 05 Jun 2005 16:40:44 GMT

hab eh geschrieben, dass das an sich nix schlechtes ist ... aber mich wunderts dass das soooo einfach war

es war so einfach . .da stimmt einfach irgendwas noch nicht

Re(6): Jemand da der sich mit Port Scans gut auskennt

Somnatic — Sun, 05 Jun 2005 16:40:44 GMT

hab eh geschrieben, dass das an sich nix schlechtes ist ... aber mich wunderts dass das soooo einfach war

es war so einfach . .da stimmt einfach irgendwas noch nicht

Edith:
apt-get upgrade bringt grad die pakete auf den aktuellen stand ..

Re(4): Jemand da der sich mit Port Scans gut auskennt

Somnatic — Sun, 05 Jun 2005 16:35:58 GMT

was soll sonst groß offen sein?

ich konfigurier das Ding grad, und ich hab alles abgedreht was nicht unbedingt sein muss, und würde eben gern auf nummer sicher gehen

natürlich kann ein portscan nicht einen vollen system-scan ersetzen, aber sagen wirs mal so .. mein system ist ganz sicher kein lohnenedes ziel für einen profi hacker o.ä

Re(4): Jemand da der sich mit Port Scans gut auskennt

Somnatic — Sun, 05 Jun 2005 16:34:42 GMT

siehe unten .. nmap findet grad mal 3 offene ports (was ja nix schlechtes ist, ich dem aber nicht ganz vertraue)

Re: Jemand da der sich mit Port Scans gut auskennt

Entity — Sun, 05 Jun 2005 16:33:44 GMT

schick mir mal deine ip

Re(3): Jemand da der sich mit Port Scans gut auskennt

Gott — Sun, 05 Jun 2005 16:29:38 GMT

Wie wärs mit selber scannen? Es gibt eh genug Portscanner zum Runterladen.

Re(2): Jemand da der sich mit Port Scans gut auskennt

Somnatic — Sun, 05 Jun 2005 16:26:48 GMT

hmm . .auch die seite testet nur die IP, mit der ich die seite aufrufe .. ich bräuchte aber was für einen Server, der ein paar hundert kilometer von meinem Schreibtisch entfernt ist

Re(2): Jemand da der sich mit Port Scans gut auskennt

Somnatic — Sun, 05 Jun 2005 16:24:44 GMT

also derzeit sind 3 Ports offen - das eine ist SSH (22), der nächste der Apache2 (80) und #3 ist mysql (ja, ich muss auf die DB von aussen zugreifen) auf port 3306.

ansonsten hat nmap nichts gefunden .. das scheint mir recht wenig

konkret gehts um meinen möchtegern - root - server

Re: Jemand da der sich mit Port Scans gut auskennt

substitute — Sun, 05 Jun 2005 16:14:39 GMT

Stell doch einfach deine IP ins Forum... wennst nach 2h noch ein funktionierenes System hast, dann ists es dicht (zumindest zu dicht, um es spaßeshalber zu knacken).

Re: Jemand da der sich mit Port Scans gut auskennt

Gott — Sun, 05 Jun 2005 16:12:12 GMT

http://www.grc.com

Die Seite ist zwar sehr reisserisch gehalten, aber dafür funktionieren die Scans sehr gut.

Jemand da der sich mit Port Scans gut auskennt

Somnatic — Sun, 05 Jun 2005 16:06:10 GMT

Würde von demjenigen gerne mal mein System scannen lassen ..