Hallo
ich würde gerne wissen, ob ich irgendwo sehen kann, was ein user so macht.
Ein Kommilitone würde gerne sein Studienprojekt auf meinen server ablegen,
damit er eben dran kommt, auch beinhaltet es ein Programm, das sich aktualisieren
kann, also würde er gerne die Aktualisierungsdateien auch auf den server legen.
Er brauch nur einen FTP Zugang.
Eigentlich habe ich auch kein Problem damit, eine shell muss er ja nicht haben.
Trotzdem würde ich gerne sehen, ob er z.B. versucht, an eine shell zu kommen,
also ob er versucht sich einzuloggen.
Oder ob er irgendwelche anderen Dinge tut, die er nicht tun sollte.
Vielen Dank
Aktivitäten eines users loggen, geht das ?
Ich kann deinem Bekannten nur empfehlen die Daten bei jemanden abzulegen der nicht ganz so neugierig ist wie Du. Du solltest ihm einen Dienst anbieten, den Du entsprechend sicherst und gut ist es. Wenn Du es nicht schaffst das System sicher zu halten solltest Du ihm vielleicht den Dienst gar nicht anbieten.
Aber er kann sich mit TLS/SSL-Verschlüsselung anmelden? Wäre nicht evtl. auch SCPonly in einer CHROOT-Umgebung eine Alternative? Wahrscheinlich ist der Webspace bei jedem 0815-Free-Webhoster sicherer.
Aber er kann sich mit TLS/SSL-Verschlüsselung anmelden? Wäre nicht evtl. auch SCPonly in einer CHROOT-Umgebung eine Alternative? Wahrscheinlich ist der Webspace bei jedem 0815-Free-Webhoster sicherer.
Hm, ich sehe nicht, was daran neugierig sein soll, wenn ich wissen will, ob einer versucht,
irgendnen Mist mit seinem Account anzustellen.
Ich finde es auch nicht neugierig zu kontrollieren, ob irgendwelche unerwünschten Anfragen auf irgendwelchen
ports an meinen server geschickt werden.
Auch finde ich es nicht neugierig zu kontrollieren, ob irgendwelche "bots" Anfragen an meinen SQL server schicken.
Das System sicher zu halten, ist eine Sache, aber damit ist es ja noch lange nicht getan.
Ein Stück weit weiche ich die Sicherheit ja auf, wenn jemand nen Zugang (egal, welcher Art)
zu dem server bekommt. Und wenn er z.B. versucht, an passwörter zu kommen, oder eine Sicherheitslücke auszunutzen
(egal, ob die bei mir vorhanden ist, oder nicht), dann finde ich es sehr wichtig, davon in Kenntnis gesetzt zu werden
um entsprechend reagieren zu können.
ALso was soll denn bitte nicht in Ordnung daran sein, wenn ich wissen will, ob jemand Unfug mit meinem server anstellen will ?
irgendnen Mist mit seinem Account anzustellen.
Ich finde es auch nicht neugierig zu kontrollieren, ob irgendwelche unerwünschten Anfragen auf irgendwelchen
ports an meinen server geschickt werden.
Auch finde ich es nicht neugierig zu kontrollieren, ob irgendwelche "bots" Anfragen an meinen SQL server schicken.
Das System sicher zu halten, ist eine Sache, aber damit ist es ja noch lange nicht getan.
Ein Stück weit weiche ich die Sicherheit ja auf, wenn jemand nen Zugang (egal, welcher Art)
zu dem server bekommt. Und wenn er z.B. versucht, an passwörter zu kommen, oder eine Sicherheitslücke auszunutzen
(egal, ob die bei mir vorhanden ist, oder nicht), dann finde ich es sehr wichtig, davon in Kenntnis gesetzt zu werden
um entsprechend reagieren zu können.
ALso was soll denn bitte nicht in Ordnung daran sein, wenn ich wissen will, ob jemand Unfug mit meinem server anstellen will ?
Deine Antwort macht wenig Sinn.
Wer da nun was tun und lassen will, ist doch vollkommen unerheblich.
Wenn irgendjemand, irgendetwas "schädliches, verbotenes, unerwünschtes -wie_auch_immer" tun will,
warum sollte ich mich nicht darüber informieren lassen ? Im Gegenteil: ich würde sagen, dass es sogar sehr wichtig
ist, dass man soetwas schnell bemerkt.
Angenommen jemand bricht in mein System ein und vertreibt dann über meinen server Kinderpornos.
Dann würde ich das schon sehr gerne wissen, damit ich entsprechende Gegenmaßnahmen ergreifen kann.
Und dann ist es egal, ob es ein wildfremder, einer aus dem gleichen Dorf, ein Kommilitone oder einer, den ich für nen
guten Freund hielt, ist.
Wer da nun was tun und lassen will, ist doch vollkommen unerheblich.
Wenn irgendjemand, irgendetwas "schädliches, verbotenes, unerwünschtes -wie_auch_immer" tun will,
warum sollte ich mich nicht darüber informieren lassen ? Im Gegenteil: ich würde sagen, dass es sogar sehr wichtig
ist, dass man soetwas schnell bemerkt.
Angenommen jemand bricht in mein System ein und vertreibt dann über meinen server Kinderpornos.
Dann würde ich das schon sehr gerne wissen, damit ich entsprechende Gegenmaßnahmen ergreifen kann.
Und dann ist es egal, ob es ein wildfremder, einer aus dem gleichen Dorf, ein Kommilitone oder einer, den ich für nen
guten Freund hielt, ist.
-
finupsen
- Beiträge: 1327
- Registriert: 21.04.2004 20:07:05
- Lizenz eigener Beiträge: MIT Lizenz
- Wohnort: Dortmund
-
Kontaktdaten:
hallo,
Ansonsten würde ich zusehen, ein sicheres system afzusetzten.
mein tip: SNORT+ACID. Damit erkennst du , ob und wer (ip) jemand an deinem system rumknabbert.Trotzdem würde ich gerne sehen, ob er z.B. versucht, an eine shell zu kommen,
also ob er versucht sich einzuloggen.
Oder ob er irgendwelche anderen Dinge tut, die er nicht tun sollte.
Ansonsten würde ich zusehen, ein sicheres system afzusetzten.
Warum meint Ihr denn, dass ich kein sicheres System habe ?!
Es geht mir doch nur darum, einen Angriffsversuch zu lokalisieren.
Angriffe von außen erkenne ich in verschiedenen log files, da sehe ich, wenn einer
ne "komische" Anfrage absendet, oder wenn alle möglichen Benutzernamen zum einloggen versucht werden usw.
Und da kommt doch hoffentlich jetzt keiner auf die Idee, dass das nicht in Ordnung wäre !
Und nun würde ich einfach gerne wissen, wie ich denn am besten sehen kann, ob jemand,
Zugriff auf den server hat, sie es ssh, ftp oder sonstwas, einen Angriff startet.
Dazu muss das System auch gar nicht unsicher sein.
P.S.:
soetwas wie SNORT ist sicher die richtige Richtung, die Frage ist nur, ob es auch funktioniert, wenn jemand
Zugriff auf den Rechner hat.
Es geht mir doch nur darum, einen Angriffsversuch zu lokalisieren.
Angriffe von außen erkenne ich in verschiedenen log files, da sehe ich, wenn einer
ne "komische" Anfrage absendet, oder wenn alle möglichen Benutzernamen zum einloggen versucht werden usw.
Und da kommt doch hoffentlich jetzt keiner auf die Idee, dass das nicht in Ordnung wäre !
Und nun würde ich einfach gerne wissen, wie ich denn am besten sehen kann, ob jemand,
Zugriff auf den server hat, sie es ssh, ftp oder sonstwas, einen Angriff startet.
Dazu muss das System auch gar nicht unsicher sein.
P.S.:
soetwas wie SNORT ist sicher die richtige Richtung, die Frage ist nur, ob es auch funktioniert, wenn jemand
Zugriff auf den Rechner hat.
-
finupsen
- Beiträge: 1327
- Registriert: 21.04.2004 20:07:05
- Lizenz eigener Beiträge: MIT Lizenz
- Wohnort: Dortmund
-
Kontaktdaten:
nein nein, niemand hat behauptet dein system sei unsicher. Wir fragen uns nur, warum
du jemanden absniffen willst. Nur darum geht es.
also:
logfiles checken (auswerten) hatten wir schon.
IDS installieren haben wir auch.
Dein system ist 100% sicher (sagst du).
... was bleibt dann noch übrig ? Keine ahnung.
vielleicht noch ssh oder ftpd in einem chroot einsperren ... ?
{DummerSpruch}
Du könntest natürlich auch eine webcam bei deinem kommilitone installieren und darüber seine aktivität
beobachten. Das macht die polizei ja mittlerweile genauso ...
{/DummerSpruch}
du jemanden absniffen willst. Nur darum geht es.
also:
logfiles checken (auswerten) hatten wir schon.
IDS installieren haben wir auch.
Dein system ist 100% sicher (sagst du).
... was bleibt dann noch übrig ? Keine ahnung.
vielleicht noch ssh oder ftpd in einem chroot einsperren ... ?
{DummerSpruch}
Du könntest natürlich auch eine webcam bei deinem kommilitone installieren und darüber seine aktivität
beobachten. Das macht die polizei ja mittlerweile genauso ...
{/DummerSpruch}
Was auch immer "absniffen" heissen soll....
logfiles lese ich eh
ob das SNORT als IDS kann, was ich will, wird sich zeigen müssen
dass mein System 100% sicher ist, hab ich nicht gesagt, aber ich halte es so sicher, wie möglich
chroot wäre ne Idee, muss ich durchdenken, hilft aber auch nur gegen eventuelle Symptome.
Das mit der Kamera ist Schwachsinn und zeigt mir, dass Du nicht verstanden hast, was ich will.
Als Beispiel mit der Polizei:
ich will keine Kamera um immer zu wissen,w as alle tun. Ich will nur, dass mich jemand anruft, wenn einer ein Verbrechen begeht.
Und was soll daran denn nun nicht in Ordnung sein ?
logfiles lese ich eh
ob das SNORT als IDS kann, was ich will, wird sich zeigen müssen
dass mein System 100% sicher ist, hab ich nicht gesagt, aber ich halte es so sicher, wie möglich
chroot wäre ne Idee, muss ich durchdenken, hilft aber auch nur gegen eventuelle Symptome.
Das mit der Kamera ist Schwachsinn und zeigt mir, dass Du nicht verstanden hast, was ich will.
Als Beispiel mit der Polizei:
ich will keine Kamera um immer zu wissen,w as alle tun. Ich will nur, dass mich jemand anruft, wenn einer ein Verbrechen begeht.
Und was soll daran denn nun nicht in Ordnung sein ?
-
DynaBlaster
- Beiträge: 958
- Registriert: 25.03.2004 18:18:57
- Lizenz eigener Beiträge: MIT Lizenz
- Wohnort: DF0://dynablaster.adf
Irgendwie diskutiert ihr aneinander vorbei. Wenn du meinst, dein Server ist ausreichend sicher konfiguriert, ist das ja in Ordnung. SNORT, ACID und der Hinweis bezüglich SCPonly waren weitere Hinweise, wie man unter Umständen die Sicherheit grundsätzlich noch erhöhen könnte.
Wenn ihm ein FTP-Zugang reicht, dann gib ihm einen FTP-Zugang und sperr ihn in sein Home-Verzeichnis ein - alternativ könntest du das nach nil's Hinweis auch mit scponly und chroot lösen - das hätte den Vorteil, dass durch das Weglassen des FTP-Servers ein weiteres potentielles Sicherheitsrisiko ausgeschlossen wird - mal abgesehen davon, dass das FTP-Protokoll seine Login-Daten und Passwort unverschlüsselt übertrögt - theoretisch also von unbefugten Dritten abgehört werden könnten.
Die Kritik von nil an deiner Überwachung liegt meiner Meinung nach eher darin, dass er nicht nachvollziehen kann, warum nun dein Kommilitone einer Extra-Überwachung deinerseits bedarf. Die Kritik finde ich durchaus berechtigt, auch wenn du grundsätzlich natürlich zur Kontrolle und Absicherung deines Systems berechtigt - ich würde sogar sagen verpflichtet - bist.
Wenn ihm ein FTP-Zugang reicht, dann gib ihm einen FTP-Zugang und sperr ihn in sein Home-Verzeichnis ein - alternativ könntest du das nach nil's Hinweis auch mit scponly und chroot lösen - das hätte den Vorteil, dass durch das Weglassen des FTP-Servers ein weiteres potentielles Sicherheitsrisiko ausgeschlossen wird - mal abgesehen davon, dass das FTP-Protokoll seine Login-Daten und Passwort unverschlüsselt übertrögt - theoretisch also von unbefugten Dritten abgehört werden könnten.
Die Kritik von nil an deiner Überwachung liegt meiner Meinung nach eher darin, dass er nicht nachvollziehen kann, warum nun dein Kommilitone einer Extra-Überwachung deinerseits bedarf. Die Kritik finde ich durchaus berechtigt, auch wenn du grundsätzlich natürlich zur Kontrolle und Absicherung deines Systems berechtigt - ich würde sogar sagen verpflichtet - bist.
So ähnlich war es auch gemeint. Serverabsicherung, Überwachung und Alarmierung ist ok, aber eine generelle Überwachung des einzelnen (hier eines Bekannten) finde ich nicht ok.Die Kritik von nil an deiner Überwachung liegt meiner Meinung nach eher darin, dass er nicht nachvollziehen kann, warum nun dein Kommilitone einer Extra-Überwachung deinerseits bedarf. Die Kritik finde ich durchaus berechtigt, auch wenn du grundsätzlich natürlich zur Kontrolle und Absicherung deines Systems berechtigt - ich würde sogar sagen verpflichtet - bist.
Ist vielleicht ähnlich wie die http://de.wikipedia.org/wiki/Vorratsdatenspeicherung :
- Überwachung und Protokollierung im Verdachtsfall ist ok
- generelle Überwachung und Protokollierung ist nicht ok
@Dynblaster
Mein Kommilitone verdient keine extra Überwachung, es wäre aber der einzige Zugang, den ein Fremder auf den Rechner hat.
Und ich finde, wenn er sich darüber wundert sollte er vielleicht normal danach fragen, und nicht mit dummen, sarkastischen Sprüchen kommen.
@finupsen
naja, ironisch oder sarkastisch, im Kontext mit den vorhergegangen Beiträgen sah ich das nicht als Ironie, sondern als Seitenhieb an.
@nil
dann solltest Du aber vielleicht nicht irgendwelchen wilden DInge in meine Frage interpretieren,
sondern Dich entweder raushalten, oder erstmal nachfragen.
Denn gelcih mit dummen Kommentaren nen Angriff gegen den bösen Überwacher zu starten,
sind auch nicht wirklich die feine Art !
Und mich dann gleich als "Vorratsdatenspeicherer" hinzustellen zeugt nicht gerade von intelligenter Objektivität.
Mein Kommilitone verdient keine extra Überwachung, es wäre aber der einzige Zugang, den ein Fremder auf den Rechner hat.
Und ich finde, wenn er sich darüber wundert sollte er vielleicht normal danach fragen, und nicht mit dummen, sarkastischen Sprüchen kommen.
@finupsen
naja, ironisch oder sarkastisch, im Kontext mit den vorhergegangen Beiträgen sah ich das nicht als Ironie, sondern als Seitenhieb an.
@nil
dann solltest Du aber vielleicht nicht irgendwelchen wilden DInge in meine Frage interpretieren,
sondern Dich entweder raushalten, oder erstmal nachfragen.
Denn gelcih mit dummen Kommentaren nen Angriff gegen den bösen Überwacher zu starten,
sind auch nicht wirklich die feine Art !
Und mich dann gleich als "Vorratsdatenspeicherer" hinzustellen zeugt nicht gerade von intelligenter Objektivität.
Ich versteh's nich.
Ich hab mir meinen Beitrag nochmal durchgelesen und sehe daran wirklich nichts verwerfliches, gar arrogantes.
Angefangen hat es erst mit dem 2. Beitrag, als NIL mich persönlich angegriffen hat.
Aber meinetwegen, wenn damit alle zufrieden sind, dann hab ich mich halt falsch verhalten ^^
Ich hab mir meinen Beitrag nochmal durchgelesen und sehe daran wirklich nichts verwerfliches, gar arrogantes.
Angefangen hat es erst mit dem 2. Beitrag, als NIL mich persönlich angegriffen hat.
Aber meinetwegen, wenn damit alle zufrieden sind, dann hab ich mich halt falsch verhalten ^^
Vielleicht habe ich etwas übertrieben mit meinen Äußerungen und angreifen wollte ich Dich nicht. Soll aber Leute geben die nichts besseres zu tun haben als sinnlos Daten auszuwerten, die denen gar nichts angehen.
Generell ist es so dass jeder erst mal unverdächtig ist. Das gilt für deinen Benutzer und auch den hoffentlich sicher aufgesetzten FTP-Dienst.
Es ist Dein Recht den Dienst automatisiert zu überwachen und alamieren zu lassen, wenn was nicht richtig läuft. Aber erst wenn es nicht richtig läuft solltest Du anfangen irgendwelche weitere z.B. personenbezogenen Daten auszuwerten, am besten erst nach Rücksprache mit dem Anwender.
... Ich bin auch raus ...
Generell ist es so dass jeder erst mal unverdächtig ist. Das gilt für deinen Benutzer und auch den hoffentlich sicher aufgesetzten FTP-Dienst.
Es ist Dein Recht den Dienst automatisiert zu überwachen und alamieren zu lassen, wenn was nicht richtig läuft. Aber erst wenn es nicht richtig läuft solltest Du anfangen irgendwelche weitere z.B. personenbezogenen Daten auszuwerten, am besten erst nach Rücksprache mit dem Anwender.
... Ich bin auch raus ...
hi,
vor vielen Jahren lief hier mal VMS, da wurden verbotene Aktionen
protokolliert, auch mit User- und ggf. Filename -- aber eben nur
verbotene. Sowas müsste doch mit selinux auch möglich sein,
Stichwort "Mandatory Access Control" oder so?
Edit: die Überwachung passiert im Kernel, es ist also egal, über
welche Shell oder welches Programm der Angriff erfolgt.
vor vielen Jahren lief hier mal VMS, da wurden verbotene Aktionen
protokolliert, auch mit User- und ggf. Filename -- aber eben nur
verbotene. Sowas müsste doch mit selinux auch möglich sein,
Stichwort "Mandatory Access Control" oder so?
Edit: die Überwachung passiert im Kernel, es ist also egal, über
welche Shell oder welches Programm der Angriff erfolgt.
Beware of programmers who carry screwdrivers.