Absicherung von Diensten

[ Seminar Linux, WWW, Java und Internet ] ... [ Thema Sicherheit unter Linux ] ... [ Grundlagen ] ... [ Überwachung ] ...

AllowHosts 195.37.86.182 195.37.86.190 ... 
PermitRootLogin no

SSH-Client
- keine weiteren Schwächen bekannt -

weiter

DNS-Dienst

Der DNS-Dienst, auch BIND (Berkeley Internet Name Domain) genannt, dient der Namensauflösung in IP-Adressen. Dieser Dienst wird implizit von fast allen Netzwerk-Applikationen aufgerufen.

Das Problem ist bei diesem Dienst ist neben den üblichen "Buffer Overflows"-Zugängen, dass sich andere Dienste auf diesen Dienst zur Athentifizierung verlassen (wie z.B. .rhosts). Dabei wird die IP-Adresse eines Benutzer rückwärts in seinen Namen aufgelöst, und der Namen wiederum in die IP-Adresse. Wenn die Werte stimmig sind, ist der Benutzer authentifiziert (double reverse DNS lookup).

Werden die Informationstabellen, in denen der Dienst selbst nachschlägt, manipuliert, so ist eine beliebige Authentifizierung möglich. In der aktuellen Version kann dies (bislang) nur per Root-Zugriff möglich, ältere Versionen von BIND lassen sich ihren Namens-Cache mit falschen Werten füllen.

Der Dienst sollte nur auf einem wirklich sicheren Server installiert werden, oder von der Authentifizierung mittels DNS ist abzusehen.

weiter

Finger-Dienst

Der Finger-Dienst sollte auf einem sicheren System nicht aktiviert sein. Er lässt zu viele wertvolle Informationen zu Fremden durch.

Dieser Dienst muss in der Datei /etc/inetd.conf deaktiviert werden.

Alternativ lässt sich der Finger-Befehl auch schnell selbstprogrammieren:

#!/bin/bash

/bin/echo "\nDu hast den Server Windpocke gefingert."
/bin/echo "Hier erfaehrst du auch nicht mehr.\n"

exit 0

weiter

WWW-Dienst

Als WWW-Dienst ist auf den meisten Linux-Systemen der Platzhirsch Apache installiert. Er nimmt http-Anfragen entgegen und schickt dem Client-Browser die angeforderten Dokumente zurück. Jeder dieser Vorgänge wird protokolliert. Auf Wunsch kann eine (unverschlüsselte) Authentifizierung durchgeführt werden.

Sicherheitsbedenken:

Dokumente können modifiziert werden
Umgehung der Zugriffsbeschränkung geheimer Dokumente
Untergraben der Sicherheit durch das Ausführen von CGI-Programmen
Verletzung der Privatsphäre durch Einsicht in Log-Dateien
DoS-Angriff

Absichern des Apache:

Entfernen von Modulen

mod_autoindex: Anzeige des Verzeichnislistings, wenn keine passende html-Datei gefunden werden konnte. Neben diesem Modul müssen auch die Direktiven unterhalb Fancy Indexing entfernt werden, da sie sich auf dieses Modul beziehen.

Schreibrechte

Falls über den http in das System eingebrochen werden sollte, dürfen die Dokumente für den Benutzer und der Gruppe, unter der der httpd läuft (wwwrun.nogroup), keine Schreibrechte auf die Dokumente besitzen.

Symbolische Links

Symbolische Links sollten nur sehr sorgsam gewählt werden, da mit ihnen aus der wwwroot-Umgebung herausgesprungen werden kann. Die Option FollowSymLinks in der httpd.conf regelt die Handlungsweise des httpd.

Setzen der Zugriffsrechte

access.conf: Hier kann für jedes freigegebene Verzeichnis der Benutzerkreis auf bestimmte Netzwerke.
Folgendes Beispiel erlaubt alle Netze der Fachhochschule Wedel, andere Clients bekommen die Fehlermeldung 403 - Access Denied.
```
allow from 195.37.84.0/24 195.37.85.0/24 195.37.86.0/24 195.37.87.0/24
```

CGI-Programme

Sichere CGI-Programme sind schwer zu programmieren. Zu leicht lassen sich hier Hintertüren in Form von Shells öffnen. Läuft das CGI-Programm sogar als suid root, so sind die Folgen alles andere als harmlos. Diese Programme sollten sehr genau analysiert werden, am besten von Sicherheitsexperten.
Eine kleinere Sicherheitslücke bildet das bekannte test-cgi welches standardmäßig im CGI-Verzeichnis liegt. Mit ihm können u.U. wertvolle Information über das System gewonnen werden.

FTP-Dienst

Die Verzeichnisse des FTP-Dienstes und der http-Dienstes sollten sich nicht überschneiden, da möglicherweise feindlliche Programme in die www-Umgebung gelangen können.

Secure Socket Layer (SSL)
- Benutzer lassen sich über das http-Protokoll authentifizieren. Um diese Information und auch andere geheime Daten zu schützen, ist das Modul mod_ssl sehr nützlich. Es bietet über den https-Port eine verschlüsselte Übertragung von www-Daten an (Port 443/tcp). Um den httpd darauf vorzubereiten, muss folgendes getan werden (nur SuSE ab 6.2):
  - SSL-Apache aus dem SuSE-Paket n installieren.
  - Ausführen von /usr/doc/packages/mod_ssl/certificate.sh
  - In httpd.conf die Variable SSLEngine On setzen.
  - Verschlüsselung anfordern mit https://...
Weitere Infos zu SSL / TLS finden sich unter:
http://home.netscape.com/products/security/ssl/index.html.
www.openssl.org.

SSL, mittlerweile in der Version 3, wurde in zwei freien Versionen weiterentwickelt. Einmal als SSLEAY und einmal als OpenSSL. Es gibt schon einige Dienste, die diese Low-Level-Verschlüsselung (genauer: Schicht 4 im OSI-Modell) anbieten. Zu diesen gehören u.a. https, smtps, nntps, sshell, ftps, telnets, imaps, ircs, pop3s, um nur einige zu nennen...

weiter
POP3-Dienst / POP3-Client
Mit dem weit verbreiteten POP3-EMail-Protokoll werden die Emails von einem POP3-Server geholt, um sie auf dem Client lesen zu können. Hierbei muss sich der Client gegenüber dem Server authentifizieren. Leider werden Benutzername und Passwort, die oftmals mit dem Login-Namen/Passwort des Benutzers übereinstimmen, im Klartext übermittelt.

Diese Problem lässt sich entweder dadurch entschärfen, indem man ein POP3-Daemon wählt, der das sogenannte APOP(?)-Protokoll unterstützt. Hierbei sind andere Login-Namen möglich.

Eine andere, auch elegante Variante ist, sich die Mails per fetchmail auf den lokalen Rechner zu laden. Fetchmail bietet die Möglichkeit, einen preconnect-Befehl auszuführe. Praktischerweise kann man per SSH vor dem Mail-Herunterladen einen verschlüsselten Kanal zum Mail-Server aufbauen und einen Local Forwardeinrichten: Die Mails werden nun komplett verschlüsselt übertragen. Beispiel:
```
~/.fetchmailrc

# Configuration created Sat Nov 27 17:07:22 1999 by fetchmailconf
set syslog
set postmaster "andre"
set bouncemail
set properties ""
set daemon 60
poll wohnheim.fh-wedel.de via "localhost"
 with proto POP3 port 1234
       user "andre" there with password "IchHasseSniffer" is andre here warnings 3600
 preconnect 'ssh -f -L 1234:wohnheim.fh-wedel.de:110 wohnheim.fh-wedel.de sleep 20 /dev/null'
```
Damit fetchmail nicht jedes Mal nach einem Passwort fragen muss, ist es sinnvoll, den Public-Key des Clients auf dem Server abzulegen. So ist es möglich, sich ohne Passwort am Server anzumelden.

Bei Problemen bietet das Programm fetchmailconf wertvolle Hilfe.
weiter
Remote Procedure Calls (RPC)
RPC und Portmapper
Unter "Remote Procedure Calls" versteht man das Ausführen von Prozeduren auf einem fernen Rechner. Hinter RPC verbergen sich wiederum eine ganze Menge Dienste, wie z.B. NIS/YP oder NFS.

RPC verwendet im Ggs zu TCP/IP nicht 2 sondern 4 Bytes für die Identifizierung von Diensten, so sind knapp über 4 Milliarden Dienste gleichzeitig möglich, bei TCP/IP jedoch 65536. Um diese RPC-Dienstnummern auf TCP/IP-Dienstnummer zu mappen, läuft an einem definierten Port (111 tcp/udp) der Portmapper-Dienst. Dieser gibt dem Client darüber Auskunft, hinter welchem physischen Port der gewünschte RPC-Dienst arbeitet.

Network File System Das Network File System ist ein vielbenutzer, aber extrem unsicherer Dienst. Ein Server stellt einem oder mehreren Clients ganze Verzeichnisbäume zum Einhängen zur Verfügung.

Das Problem hierbei ist, dass die Daten unverschlüsselt übertragen werden. Ebenso erfolgt die Anpassung der Datei-Eigentümer auf Nummernbasis. So ist möglich, dass dieselben Dateien mehreren Benutzern gehören kann, die zufällig(?) die gleiche ID haben.

Beispiel:
```
ssh xxxx@stud
cat /etc/passwd | grep ii7145
ii7145:x:7145:202:Marvin:/home/stud/ii/ii7145:/bin/bash

root@wh-gateway

showmount -e stud
mount -t nfs stud:/disks/disk2a /mnt

cd /mnt/ii/ii7145
dir
[...nothing...]

/etc/passwd -> UID(andre) := 7145
su andre
cd /mnt/ii/ii7145
dir
[...Directory Listing...]
```
Dagegen lässt sich leider nicht viel tun, aber es genügt zu wissen, dass exportierte Dateisysteme extrem große Sicherheitslücken auftun. Das Auslesen geheimer Information ist genauso einfach wie das Installieren von Trojanern.

Wirklich wichtige Daten sollten nur für den Benutzer Root sichtbar sein und diesem auch gehören. NFS verbietet es per Default, dass der Remote-Root-Benutzer mit root-Rechten auf die exportierten Daten zugreift. Per root-squash wird der Remote root in nouser.nogroup "gesquasht".
Ironischerweise sind also gerade Root-Dateien besonders sicher.

Folgendes sollte beim Exportieren von Dateisystem beachtet werden:
- Nur für einzelne Rechner freigeben
- Möglichst schreibgeschützt
- Besitzer sollte Root sein
- Gruppen-Schreibberechtigung aufheben
- keine Home-Verzeichnisse exportieren
- keine Server-Executables exportieren
- Benutzer auf Client-Rechner vermeiden
weiter
Sendmail-Dienst
Sendmail ist ein sogenannter Mail Transfer Agent (MTA) ohne Benutzerschnittstelle. Seine Aufgabe ist es, Mails zu sortieren, zu verändern, weiterzuleiten oder zuzustellen.

Da geschätzt 75% aller Unix-Rechner dieses Programm als MTA verwenden, hab es in der Vergangenheit sehr viel erfolgreiche Einbrüche über diesen Dienst. Nichtsdestotrotz ist er ein ziemlich sicherer Dienst in der aktuellen Version 8.9.3. Die Version 8.10.0 ist noch im Beta-Stadium.

Sendmail ist zwar als Einbruchsmedium recht sicher geworden, dennoch bietet ein falsch konfiguriertes Sendmail 2 Schwächen:
- Das Herausgeben von wichtigen Benutzerdaten. So ließe sich beispielsweise auf wohnheim.fh-wedel.de mit dem Befehl expn all die Liste aller 72 Loginnamen auf dem Server ausgeben. Damit ist der erste Schritt eines Einbruches schon getan.
- Das Weiterleiten von Spam. Spam sind Mails, die an mehrere (10, 1000, 10000 oder mehr) Empfänger gleichzeitig geschickt werden. Es ist mittlerweile stark verpönt, wenn der lokale Mailserver als Distributor für Spam missbraucht wird. Wütende Mails von Providern o.ä. sind dann nicht selten. Die schädigt den eigenen Ruf.
Im dieses Verhalten zu kontrollieren, sollte man Sendmail folgendermaßen konfigurieren:
```
m4-Makrofile:
...
define(`confPRIVACY_FLAGS', `authwarnings,novrfy,noexpn')dnl 
FEATURE(access_db)dnl
...
```
Die Datei /etc/mail/access enthält in der aktuellen Version eine Liste mit Domains, für die das "Relayen" von Mails erlaubt ist. Ebenso lässt sich mit dieser Datenbank eine Spam-Protektion aufbauen.

Mehr dazu unter
www.sendmail.org

weiter
X-System
Mit Hilfe des X-Systems ist es möglich, dass Programme und ihre Bildschirmanzeige nicht unbedingt auf dem selben Rechner liegen müssen. Hier ist das Client/Server-Prinzip umgedreht. Der Rechner, auf dem das Programm läuft, ist der X-Client. Dort, wo das Programm angezeigt wird, steht der X-Server. Diese Flexibilität birgt natürlich eine Menge Sicherheitslöcher in sich, die allerdings recht gut gestopft sind.

Generell darf nur der Besitzer der aktuellen Session auf den X-Server zugreifen. Dies wird über zwei Mechanismen sichergestellt.
- xhost
- MIT-Magic-Cookie-1
Die xhost-Absicherung funktioniert wie folgt: Generell darf von keinem anderen Rechner auf den X-Server zugegriffen werden. Mit xhost +hosta hat HostA die Erlaubnis bekommen, mit xhost -hostb lässt sich für einen HostB diese Berechtigung wieder entziehen. Solange man mit xhost + diese Art der Absicherung nicht ausschaltet, ist man relativ sicher.

Die MIT-Magic-Cookie-Variante funktioniert nach dem Geheimnis-Prinzip. Beim Starten einer X-Session wird ein zufälliger 128 Bit Key erzeugt, der in $home/.Xauthority gespeichert wird. Alle, die dieses Geheimnis kennen, dürfen ebenfalls auf den X-Server zugreifen. Deswegen sollte diese Datei streng geschützt werden (chmod 700). Das Geheimnis ändert sich bei jeder Sitzung.

Die erste Variante ist generell gegen IP-Spoofing unsicher, die zweite bei Abhören des Netzverkehrs.

Das X-Protokoll ermöglicht es, jeden Client an den "xdm"-Sessionmanager anzudocken. Das lässt sich z.B. mit dem Befehl X :1 -query host erledigen. Damit dieser Client nicht aus Versehen den Rechner, auf dem das xdm läuft, beenden kann, sollte dieser Remote-Shutdown deaktivert werden.
weiter
Sonstiges
Ein paar Dinge, die erwähnt werden sollten:

Auch bei CVS lässt sich die Übertragung schützen.
Mit folgenden Umgebungsvariablen erfolgt die Übertragung verschlüsselt.
```
CVSROOT=:ext:andre@wohnheim:/var/cvs
CVS_RSH=ssh
```
nach oben
[ Seminar Linux, WWW, Java und Internet ] ... [ Thema Sicherheit unter Linux ] ... [ Grundlagen ] ... [ Überwachung ] ...

Absicherung von Diensten

Übersicht: Absicherung von Diensten

Telnet und r-Dienste nicht verwenden

FTP-Dienst / FTP-Client

SSH-Dienst / SSH-Client

DNS-Dienst

Finger-Dienst

WWW-Dienst

POP3-Dienst / POP3-Client

Remote Procedure Calls (RPC)

Sendmail-Dienst

X-System

Sonstiges