silvesterlangen.de

Dienste und Werkzeuge

Oft ist bei einer Standart-Installation eines Linux-Servers mehr dabei als gut für ihn ist. Das liegt vor allem daran, weil man dem zukünftigen Benutzer/Administrator die Arbeit erleichtern will. So ist beispielsweise auf einigen Distributionen schon BIND, Samba, NFS, FTP, Automount usw. dabei und läufen sogar schon, während alle möglichen Tools wie g++, net-tools (beeinhaltet eine Reihe von Werkzeugen zur Netzwerkanalyse) und weiteres installiert ist.

Wo ist denn das Problem?

Das Problem entsteht da, wo ein Angreifer vielleicht den ersten Fuß in die Tür bekommen hat. Da reicht schon der einfache User. Root-Rechte sind nicht zwangsläufig das Ziel. Die vorinstallierten Tools ermöglichen ihm das System/Netzwerk genauer zu untersuchen und möglicherweise auch Zugriff auf umliegende Systeme zu haben. Mit einem installierten SSH-Client wäre ein Angriffsversuch auf einen Server möglich, der sich im internen Netzwerk befindet. Installierte CIFS-Tools könnten möglicherweise das Mounten eines schlampig konfigurierten Fileservers im Netzwerk ermöglichen. Warum sollte ich dem Angreifer das Leben leichter machen wollen?

Und was kann ich tun?

Alle Dienste, die nicht für den Betrieb des Servers relevant sind, ganz einfach deinstallieren. Nicht abschalten - deinstallieren! Was nicht da ist, kann nicht aktiviert werden. Ebenso alle Tools runter vom System. Das ist unbequem, ja. Aber noch viel unbequemer wird es für den Angreifer. Je weniger da ist, desto besser. Im günstigen Fall verliert der Angreifer das Interesse, weil ihm der Aufwand zu hoch ist bzw. seine Fähigkeiten nicht reichen.

Wie finde ich denn die Dienste?

Eine Möglichkeit ist mit netstat nach benutzten Ports zu suchen. Man könnte sich auch mit chkconfig anschauen welche Dienste auf dem entsprechenden Runlevel laufen. Die Prozessliste ist auch ein Anlaufpunkt, wenn man wissen will was alles läuft.

Wenn man erst mal ausgemistet hat und nur noch die notwendigen Dinge installiert sind, die man wirklich braucht, ist auch der Pflegeaufwand deutlich kleiner und im Falle eines Angriffs fällt die Anzahl der Möglichkeiten enorm. Das ist für den Angreifer unbequem, aber im Falle des Falles für uns in der darauffolgenden Analyse deutlich besser.

• Willkommen
• Begrifflichkeiten
• Projektmanagement
• SQL Datenbank
• Programmierung C#
• Programmierung Python
• Windows 10 im Unternehmen
• Windows Server
• Exchange 2013
• Exchange 2016
• Probleme und Lösungen
• Systemsicherheit
  • Etwas zu Angriffen
  • Angriff per Brute-Force
  • Angriff per Wordlist
  • FW - Ping deaktivieren?
  • Ist Proxy ein Muss?
  • Dienste und Werkzeuge
  • Ping deaktivieren
  • Chroot Jail
  • Das Konzept Firewall
• ESXi 6
• Asterisk*
• Linux
• Pi-Hole
• pfSense
• Opsi
• UCS Domain Controller
• Proxmox PVE
• HPE Aruba 2930F Switch Serie
• IoT-Geräte
• Zahlensysteme
• Hardware
• Netzwerke
• Mein Netzwerk
• Diverses
• AEVO-Prüfung
• Prüfungsvorbereitung
• Personalführung
• LPIC-2 Zertifizierung
• Impressum
• Datenschutzerklärung
• IT-Witze & -Sprüche