|
Security Hier kommen alle Fragen und Lösungen zur Sicherheit und zu Fixes am Serversystem rein |
|
Themen-Optionen | Ansicht |
22.12.2009, 12:04 | |||||||||||||||||||||||||||||
|
|||||||||||||||||||||||||||||
Hits: 84242
|
09.01.2010, 14:45 | #21 | |||||||||||
König
Registriert seit: 15.06.2008
Beitr?ge: 1.846
Abgegebene Danke: 150
Erhielt 199 Danke für 35 Beiträge
Downloads: 10
Uploads: 0 Nachrichten: 984 Renommee-Modifikator:
2988 |
das ist aber ein anderer fehler dann bei dir.
ich habe den flux local laufen gehabt ne ganze zeit, euf einem debian. vpm router portforwart für 10 ports wielich nie mehr files zeitgleich haben wollte. und es hat immer super gefunzt, er hat grundsätzlich nur die erlaubten ports vom ersten bis letzen genommen, alle weileren files waren dann firewalled wenn mal eines mehr da war. Also ein allgemeiner fehler ist das nicht.
__________________
- Der Bezug zum eigentlichen Thema nimmt mit jedem Post kontinuierlich ab -
- Jedes Thema kann ganz leicht in etwas komplett anderes geändert werden - |
|||||||||||
09.01.2010, 14:51 | #22 | |||||||||||
Moderator
Registriert seit: 10.04.2008
Alter: 36
Beitr?ge: 4.074
Abgegebene Danke: 200
Erhielt 1.331 Danke für 153 Beiträge
Themenstarter
Downloads: 2
Uploads: 1 Nachrichten: 731 Renommee-Modifikator:
6014 |
@Pullerman
ja du musst schoin genau wählen was du zu machst... ich hab das so gehandelt dass alles zu ist, und nur port 80 und IMMER offen ist... und natürlich die Flux Ports, aber da das ja im moment niucht klappt musst ich das einstellen... der betrieb des fluxes ist erstmal wichtiger... @Feudas ich kann mir das auch nicht erklären... ich hab ne portrange von 49XXX - 50XXX aber nutzen tut er eigentlich hauptsächlich (also nicht ausschließlich, manchmal hängt er an EINEM Richtigen Port) Ports die NICHT in dieser Range sind. dh. ich hab files an Port 23XXX hängen... die bei der Konf eigentlich zu wären. Mir hat das den ganzen Flux lahmgelegt... logischerweise.... Mir kommt das so vor als ob der wahllos ports nimmt wie er gerade lustig ist.
__________________
Schmutziges Geschirr schimmelt nicht,
wenn man es einfriert |
|||||||||||
09.01.2010, 14:54 | #23 | ||||||||||||
Gesperrt
Registriert seit: 31.05.2009
Beitr?ge: 363
Abgegebene Danke: 8
Erhielt 37 Danke für 5 Beiträge
Downloads: 45
Uploads: 0 Nachrichten: 142 Renommee-Modifikator:
0 |
Zitat:
du hast doch im flux die ports stehen die er verwendet 25342-52341 oder so dann lässte den bereich offen damit der flux arbeiten kann wenn du iptables -A FORWARD -p tcp --dport 25342:52341 -j ACCEPT und iptables -A FORWARD -p udp --dport 25342:52341 -j ACCEPT müßte das doch gehen es sei denn knock blockt den port FORWARD |
||||||||||||
09.01.2010, 17:52 | #24 | |||||||||||
Moderator
Registriert seit: 10.04.2008
Alter: 36
Beitr?ge: 4.074
Abgegebene Danke: 200
Erhielt 1.331 Danke für 153 Beiträge
Themenstarter
Downloads: 2
Uploads: 1 Nachrichten: 731 Renommee-Modifikator:
6014 |
Klar hab ich das so gemacht... aber es geht nicht... die ports sind zwar frei, aber flux nimmt nicht die angegebene Port range... strange...
hab ich aber oben schon 2 mal erklärt wie das bei mir is.... davon abgesehen hat das eigentlich nicht wirklich mit Knockd zu tun... ich glaub bissl off topic is das schon... wobei... vll wärs gut zu wissen für den der auch dieselbe idee hatte wie ich... alles sperren bis aufs nötige... hm... nunja. sehr seltsam find ick...
__________________
Schmutziges Geschirr schimmelt nicht,
wenn man es einfriert |
|||||||||||
09.01.2010, 17:56 | #25 |
Master Coder
Registriert seit: 10.03.2008
Ort: Zuhause
Beitr?ge: 8.037
Abgegebene Danke: 1.199
Erhielt 2.928 Danke für 266 Beiträge
Downloads: 28
Uploads: 9 Nachrichten: 357 Renommee-Modifikator:
10 |
Knockd ist doch auch nicht dafür gedacht das du damit alle deine ports absichern sollst das ist doch nur ne art zusatz absicherung für ports die oft genutzt und somit auch angegriffen werden wie zb ssh port 22 oder ftp port 21 usw aber sicher nicht alle die kannst du ganz einfach dicht machen das langt vollkommen
__________________
Code:
require_once('include/gehirn.php'); session_start(); if(empty($action)) { echo "<td class="tablea">Kopf anstrengen und Nachdenken</td>"; } else { echo "<td class="tablea">Kopf zuviel angestrenkt nun Qualmt er ;)</td>"; } |
09.01.2010, 18:07 | #26 | |||||||||||
Moderator
Registriert seit: 10.04.2008
Alter: 36
Beitr?ge: 4.074
Abgegebene Danke: 200
Erhielt 1.331 Danke für 153 Beiträge
Themenstarter
Downloads: 2
Uploads: 1 Nachrichten: 731 Renommee-Modifikator:
6014 |
Es war eigentlich auch nur geplant dass ich den ssh und den mail damit immer auf und zu machen kann...
flux unf http sollten immer offen sein... aber da hat der flux nicht mitgemacht...
__________________
Schmutziges Geschirr schimmelt nicht,
wenn man es einfriert |
|||||||||||
09.01.2010, 23:12 | #27 | ||||||||||||
Erfahrener Benutzer
Registriert seit: 06.12.2008
Ort: /dev
Beitr?ge: 433
Abgegebene Danke: 12
Erhielt 77 Danke für 8 Beiträge
Downloads: 10
Uploads: 0 Nachrichten: 331 Renommee-Modifikator:
791 |
Zitat:
Es ist meiner Meinung nach überflüssig weil: - zusätzlicher Aufwand - ein ordentlich abgesicherter sshd völlig reicht ( key-login, kein root, evtl. port verlegt) - es ein zusätzlicher Dienst ist, welcher zusätzliche Sicherheitslücken haben könnte, und daher sollte die Anzahl laufender Dienste grundsätzlich auf ein minimum reduziert werden. Klar sehe ich auch die positiven Dinge des Knockd wie: - um überhaupt den sshd angreifen zu können muss man erstmal die Sequenz erraten. Allerdings macht ein key-login das relativ überflüssig. 1024bit keys sind mit normalen mitteln erst mit mehreren hundert Jahren Zeitaufwand knackbar. 768bit rsa-Keys wurden jetzt wohl durch cryptoanalyse hinfällig. Bzw der erste 768bit key wurde geknackt wie ich lesen musste heute, allerdings sind 1024bit deutlich aufweniger. Und mit 4096 bit o.ä. wird ein knackbarkeit nahezu ausgeschlossen. Allerdings möchte ich hiermit keinesfalls deine Anleitung schlecht mache Solstice. Nur finde ich sollte man sich immer über die Pros und Contras einer Software informieren. |
||||||||||||
09.01.2010, 23:43 | #28 | |||||||||||
Moderator
Registriert seit: 10.04.2008
Alter: 36
Beitr?ge: 4.074
Abgegebene Danke: 200
Erhielt 1.331 Danke für 153 Beiträge
Themenstarter
Downloads: 2
Uploads: 1 Nachrichten: 731 Renommee-Modifikator:
6014 |
SOWAS nenn ich doch mal ne Begründung zu ner Meinung...
Danke... mehr wollt ich eigentlich gar nicht... ich hasse nur sinnlose bemerkungen die dann niemandem helfen... weder in technischer noch in meinungsbildender hinsicht.
__________________
Schmutziges Geschirr schimmelt nicht,
wenn man es einfriert |
|||||||||||
10.01.2010, 00:34 | #29 |
Master Coder
Registriert seit: 10.03.2008
Ort: Zuhause
Beitr?ge: 8.037
Abgegebene Danke: 1.199
Erhielt 2.928 Danke für 266 Beiträge
Downloads: 28
Uploads: 9 Nachrichten: 357 Renommee-Modifikator:
10 |
wobei ne aussage wie port verlegen auch nicht haltbar ist den port verlegen bringt gleich 0 einmal nen scanner laufen lassen und jeder weiß in 5 min welchen port du für was nutzt
__________________
Code:
require_once('include/gehirn.php'); session_start(); if(empty($action)) { echo "<td class="tablea">Kopf anstrengen und Nachdenken</td>"; } else { echo "<td class="tablea">Kopf zuviel angestrenkt nun Qualmt er ;)</td>"; } |
10.01.2010, 01:45 | #30 | ||||||||||||
König
Registriert seit: 15.06.2008
Beitr?ge: 1.846
Abgegebene Danke: 150
Erhielt 199 Danke für 35 Beiträge
Downloads: 10
Uploads: 0 Nachrichten: 984 Renommee-Modifikator:
2988 |
Zitat:
Es wurde eine zahl die 768bit verschlüsselt war durch gegen und kreuz und key berechnungen errechnet. der aufwand dafür war aber ederart gross das man 768 rsa noch lang nicht als geknackt ansehen kann. nicht mal 512er sind wirklich geknackt. Klar wenn ich in eine bank einbrechen will dann ist der aufwand de rnötig ist vieleicht ok aber für normale webserver würde das niemand machen. und zu allem sollte man bedenken da sman nur durch die änderung der länge eines verschlüsselten passwortes die berechenbarkeit in die milionen jahre zeiträume verschieben kann.
__________________
- Der Bezug zum eigentlichen Thema nimmt mit jedem Post kontinuierlich ab -
- Jedes Thema kann ganz leicht in etwas komplett anderes geändert werden - |
||||||||||||
Aktive Benutzer in diesem Thema: 1 (Registrierte Benutzer: 0, G?ste: 1) | |
|
|