Toon posts:

Bastille Linux

Pagina: 1
Acties:

woensdag 9 augustus 2006 11:41

Acties:

Verwijderd

Topicstarter
Ik heb een probleem met Bastille-Linux. Het is een hardening tool om je Linux distributie te securen. Ik wil dat graag doen bij mijn Linux distributie maar ik heb het volgende probleem:

Als ik deze tool start dan kan ik niet meer op ssh komen. De auth.log file zegt: Refused connect from: ... en dan ffff en dan het ip adres. Even googlen en dan dan zie ik dat er veel antwoorden met hosts.allow aanpassen komen. Nou dit heb ik dus gedaan.

Ik heb geen deny rules in mijn hosts.deny staan. De hosts.allow kun je een verwijzing maken naar een ander bestand waarin je ip adres staat en nog steeds werkt het niet.

Heeft iemand ervaring met deze tool :?

woensdag 9 augustus 2006 13:27

Acties:
  • HunterPro
  • Registratie: Juni 2001
  • Niet online

HunterPro

wat dacht je van je sshd-config file? (in /etc/ssh). Als je niet weet hoe dergelijke dingen werken, is het wellicht een leuk idee om met zo'n tool bezig te gaan, maar veel beter word je er niet van ben ik bang. ;)

woensdag 9 augustus 2006 18:10

Acties:
  • dion_b
  • Registratie: September 2000
  • Laatst online: 02:17

dion_b

Moderator Harde Waren

say Baah

Een van de eerste dingen die gedaan wordt om te hardenen is om root login via SSH te verbieden. Om root te worden moet je eerst als user inloggen en dan via su werken. Probeer je toevallig als root in te loggen? :z

Oslik blyat! Oslik!

donderdag 10 augustus 2006 09:11

Acties:

Verwijderd

Topicstarter
Ja maar dat is makkelijk te omzeilen door PermitRoorLogon = yes te zetten. Dan kan je inderdaad inloggen als root. Maar als je in BastilleLinux de optie met de vraag "Would you like to set a default-deny on TCP Wrappers and xinetd? " op no zet dan werkt het wel. Ik dacht dat TCP wrappers kijkt naar de host.deny en host.allow file? Daarin staan namelijk geen andere entries die iets kunnen verbieden in mijn config. En als ik SSHD = ALL allow erin zet dan zou het eigenlijk moeten werken.Toch? Of is er nog een andere file :?

donderdag 10 augustus 2006 09:22

Acties:
  • Equator
  • Registratie: April 2001
  • Laatst online: 21:58

Equator

Crew Council

#whisky #barista

zoek eens naar xinetd
Het is een soort lagensysteem: (beware, het is voor mij enige tijd geleden)
  • firewall (ip tables)
  • xinetd
  • pam
  • deamon eigen config
  • hosts.allow / deny files
Voordat je uberhaubt mag verbinden moet je van boven naar beneden erdoor komen.

donderdag 17 augustus 2006 15:26

Acties:
  • boukej
  • Registratie: Februari 2005
  • Laatst online: 25-01 16:26

boukej

Verwijderd schreef op woensdag 09 augustus 2006 @ 11:41:Als ik deze tool start dan kan ik niet meer op ssh komen. De auth.log file zegt: Refused connect from: ...
Dat klopt. Dit komt door deze regel in /etc/hosts.allow:

code:
1
2

# but everything else is denied & reported with safe_finger
ALL : ALL : spawn (/usr/sbin/safe_finger -l @%h | /bin/mail -s "Port Denial noted %d-%h" root) & : DENY

Wanneer je hier een uitzondering op wilt maken (en dat wil je voor sshd) dan moet je boven de bovenstaande regel een uitzondering opgeven. Dit kan als volgt:

code:
1

sshd : ALL

Op mijn Debian 3.1 box ziet /etc/hosts.allow er als volgt uit:

code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21

# /etc/hosts.allow: list of hosts that are allowed to access the system.
#                   See the manual pages hosts_access(5), hosts_options(5)
#                   and /usr/doc/netbase/portmapper.txt.gz
#
# Example:    ALL: LOCAL @some_netgroup
#             ALL: .foobar.edu EXCEPT terminalserver.foobar.edu
#
# If you're going to protect the portmapper use the name "portmap" for the
# daemon name. Remember that you can only use the keyword "ALL" and IP
# addresses (NOT host or domain names) for the portmapper, as well as for
# rpc.mountd (the NFS mount daemon). See portmap(8), rpc.mountd(8) and
# /usr/share/doc/portmap/portmapper.txt.gz for further information.
#
# Bastille: default deny
# no safe_finger for in.fingerd (prevent loops)
in.fingerd : ALL : DENY
# prevent issues with local services and sshd
ALL: LOCAL, 127.0.0.1
sshd : ALL
# but everything else is denied & reported with safe_finger
ALL : ALL : spawn (/usr/sbin/safe_finger -l @%h | /bin/mail -s "Port Denial noted %d-%h" root) & : DENY

Indien mogelijk/wenselijk kun je achter sshd een ip adres invoeren in plaats van ALL (zodat alleen vanaf die host met het opgegeven ip adres verbinding gemaakt kan worden; in het onderstaande voorbeeld vanaf 123.123.123.123).

code:
1

sshd : 123.123.123.123


Succes!!!
Pagina: 1
Reageer

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2026 Hosting door TrueFullstaq