symlink.ch
Wissen Vernetzt - deutsche News für die Welt
 
symlink.ch
FAQ
Mission
Über uns
Richtlinien
Moderation
Einstellungen
Story einsenden
Suchen & Index
Ruhmeshalle
Statistiken
Umfragen
Redaktion
Themen
Partner
Planet
XML | RDF | RSS
PDA | WAP | IRC
Symbar für Opera
Symbar für Mozilla

Freunde
Benutzergruppen
LUG Switzerland
LUG Vorarlberg
LUGen in DE
SIUG
CCCZH
Organisationen
Wilhelm Tux
FSF Europe
Events
LinuxDay Dornbirn
BBA Schweiz
CoSin in Bremgarten AG
VCFe in München
Menschen
maol
Flupp
Ventilator
dawn
gumbo
krümelmonster
XTaran
maradong
tuxedo

 
Kernel 2.4 und netfilter
Veröffentlicht durch DawnRazor am Sonntag 07. Januar, 10:50
Aus der sicher-ist-sicher Abteilung
Security In der heutigen Kolumne werde ich netfilter, dass neue Firewalling-Framework der 2.4.x-Kernel, anschauen. Ferner möchte ich euch einen nützlichen Security-Tipp für Solaris nicht vorenthalten.

Hallo und willkommen...

... in der heutigen Security-Kolumne. Zuerst noch einen kleinen Rückblick auf die Kolumne vom letzten Mal, in der ich gefragt habe, ob ihr die Zertifizierung von SSH-Hostkeys befürwortet: Der Tenor in den Kommentaren tendierte sehr stark gegen "nein!". Da bin ich froh, dass ich nicht der einzige bin, der so denkt. Sicherheit lässt sich halt nicht nur durch obskure Zertifikate erreichen, ein bisschen Verstand und Erfahrung gehört halt schon noch dazu.

netfilter

In der neuen Kernel-Generation 2.4 wurde der Kernelcode, der für das Firewalling zuständig ist, komplett neu geschrieben. Das Framework heisst nun netfilter. Das zog auch ein neues Frontend zur Regelsetzung mit sich. Nach ipfwadm und ipchains kommt nun iptables.

Viele Firewall-Admins werden sich beim Umstieg auf iptables sehr stark umgewöhnen müssen. Denn Rusty Russel hat es in etwas mehr als einem Jahr Programmierarbeit geschafft, den Wildwuchs mit ipmasqadm, NAT mit ipchains und anderen Teillösungen (die als Patches kursierten) zusammenzuführen und in iptables zu integrieren.

Um iptables nutzen zu können, müssen im Kernel CONFIG_NETFILTER sowie alle CONFIG_IP_NF_-Optionen angewählt werden. Wer mehr über den internen Ablauf erfahren möchte, kann zusätzlich noch CONFIG_NETFILTER_DEBUG selektieren. Ferner sollte das /proc-Filesystem fest oder als Modul mitselektiert sein.

Da auch ich bald Firewalls mit 2.4'er Kerneln aufbauen werden, kann ich - bei genügend grossem Bedarf - etwas genauer auf iptables und auf seine Funktionweise eingehen.

Solaris-Fix

Einen interessanten Security-Tipp für Solaris habe ich diese Woche erfahren: Man erweitere die /etc/system um folgende Zeilen: 
# no stacksmashing please
set noexec_user_stack=1
set noexec_user_stack_log=1
Und schon blitzen Buffer-Overflows, die Code im Kernel-Stack ausführen möchten, ab.

In eigener Sache

Da auch mir mit der Zeit die Ideen ausgehen, über was ich schreiben könnte, möchte ich euch aufrufen. mir mal zu sagen, welche Themen euch interessieren würden! Ihr könnt dazu einfach die Kommentarfunktion von Symlink nutzen.

Kolumnen: Die erste OS/2 Kolumne | symlink auf linux-community.de  >

 

 
symlink.ch Login
Login:

Passwort:

extrahierte Links
  • Mehr zu Security
  • Auch von DawnRazor
    •

    Kolumnen
  • Neue Supersuchmaschine auf IIS
  • Opera 5.0 für OS/2
  • Zivilist! Satanist!
  • Dockable Applets
  • Woody bald eingefroren, Bugjagd eroeffnet
  • noch mehr symlink auf Deutsch übersetzt
  • Gwerkschaften und IT-Berufe
  • Be Patient
  • Die Sicherheit von BIND
  • Use the Sauce!
    •

    Diese Diskussion wurde archiviert. Es können keine neuen Kommentare abgegeben werden.
    iptables (Score:1)
    Von cruz am Sunday 07. January, 13:33 MET (#1)
    (User #304 Info)
    Ich wäre dafür, dass du genauer auf iptables eingehst ;-)
    Netfilter Docus (Score:2, Interessant)
    Von 2ri (arthur.at.korn.ch.ban.spam) am Sunday 07. January, 15:12 MET (#2)
    (User #20 Info)
    Der LUGS Netfilter vortrag ist ziemlich ausführlich. Auf der homepage des netfilter projekts gibt es recht viel doku (abschnitt "Documents").

    Eigentlich gehören solche links ja in die kolumne ...
    Re:Netfilter Docus (Score:1)
    Von DawnRazor (thomasb at trash.net) am Monday 08. January, 20:40 MET (#4)
    (User #8 Info) http://www.trash.net/~thomasb/
    Sorry... von dem LUGS-Vortrag wusste ich nichts.

    Aber Du hast Recht, ich sollte in Zukunft mehr Links bringen. Danke für die Anregung.
    stack protection bypass (Score:1, Interessant)
    Von Anonymer Feigling am Sunday 07. January, 17:04 MET (#3)
    die solaris stack protection kann umgangen werden. siehe auch hier.

    Linux User Group Schweiz
    Durchsuche symlink.ch:  

    Never be led astray onto the path of virtue.    		 trash.net

    Anfang | Story einsenden | ältere Features | alte Umfragen | FAQ | Autoren | Einstellungen