# Bastille



## hahni (10. Jan. 2008)

Ich habe immer Backup-Kopien von Bastille im "/etc"-Verzeichnis!

---
drwxr-xr-x 2 root   root     4096 2008-01-09 23:09 Bastille
drwxr-xr-x 2 root   root     4096 2007-10-15 23:14 Bastille.backup_01_09_2008__22_31_06
drwxr-xr-x 2 root   root     4096 2008-01-09 22:31 Bastille.backup_01_09_2008__23_09_42
drwxr-xr-x 2 root   root     4096 2006-08-12 22:01 Bastille.backup_01_19_2007__00_19_56
drwxr-xr-x 2 root   root     4096 2007-01-19 00:20 Bastille.backup_07_20_2007__15_23_21
drwxr-xr-x 2 root   root     4096 2007-07-20 15:23 Bastille.backup_07_27_2007__16_19_47
drwxr-xr-x 2 root   root     4096 2007-07-27 16:19 Bastille.backup_08_30_2007__20_07_42
drwxr-xr-x 2 root   root     4096 2007-08-30 20:07 Bastille.backup_09_28_2007__17_31_39
drwxr-xr-x 2 root   root     4096 2007-09-28 17:31 Bastille.backup_10_15_2007__23_14_47
---

Können die gelöscht werden? Ich meine natürlich bis auf das Verzeichnis "/etc/Bastille"?


----------



## Till (11. Jan. 2008)

Die Kopien werden beim ISPConfig Update angelegt und können danach gelöscht werden.


----------



## hahni (11. Jan. 2008)

Wunderbar! Wieder etwas gelernt


----------



## hahni (7. Apr. 2008)

Wenn ich allerdings "iptables -L" eingebe, komme ich auf folgendes Ergebnis:

---
Chain INPUT (policy DROP)
target     prot opt source               destination
DROP       tcp  --  anywhere             127.0.0.0/8
ACCEPT     all  --  anywhere             anywhere            state RELATED,ESTABLISHED
ACCEPT     all  --  anywhere             anywhere
DROP       all  --  BASE-ADDRESS.MCAST.NET/4  anywhere
PUB_IN     all  --  anywhere             anywhere
PUB_IN     all  --  anywhere             anywhere
PUB_IN     all  --  anywhere             anywhere
PUB_IN     all  --  anywhere             anywhere
DROP       all  --  anywhere             anywhere
blockhosts  all  --  anywhere             anywhere

Chain FORWARD (policy DROP)
target     prot opt source               destination
ACCEPT     all  --  anywhere             anywhere            state RELATED,ESTABLISHED
DROP       all  --  anywhere             anywhere

Chain INT_IN (0 references)
target     prot opt source               destination
ACCEPT     icmp --  anywhere             anywhere
DROP       all  --  anywhere             anywhere

Chain INT_OUT (0 references)
target     prot opt source               destination
ACCEPT     icmp --  anywhere             anywhere
ACCEPT     all  --  anywhere             anywhere

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination
PUB_OUT    all  --  anywhere             anywhere
PUB_OUT    all  --  anywhere             anywhere
PUB_OUT    all  --  anywhere             anywhere
PUB_OUT    all  --  anywhere             anywhere

Chain PAROLE (11 references)
target     prot opt source               destination
ACCEPT     all  --  anywhere             anywhere

Chain PUB_IN (4 references)
target     prot opt source               destination
ACCEPT     icmp --  anywhere             anywhere            icmp destination-unreachable
ACCEPT     icmp --  anywhere             anywhere            icmp echo-reply
ACCEPT     icmp --  anywhere             anywhere            icmp time-exceeded
ACCEPT     icmp --  anywhere             anywhere            icmp echo-request
PAROLE     tcp  --  anywhere             anywhere            tcp dpt:ftp
PAROLE     tcp  --  anywhere             anywhere            tcp dpt:ssh
PAROLE     tcp  --  anywhere             anywhere            tcp dpt:smtp
PAROLE     tcp  --  anywhere             anywhere            tcp dpt:domain
PAROLE     tcp  --  anywhere             anywhere            tcp dpt:www
PAROLE     tcp  --  anywhere             anywhere            tcp dpt:81
PAROLE     tcp  --  anywhere             anywhere            tcp dptop3
PAROLE     tcp  --  anywhere             anywhere            tcp dpt:https
PAROLE     tcp  --  anywhere             anywhere            tcp dpt:10000
PAROLE     tcp  --  anywhere             anywhere            tcp dpt:mysql
ACCEPT     udp  --  anywhere             anywhere            udp dpt:domain
DROP       icmp --  anywhere             anywhere
DROP       all  --  anywhere             anywhere

Chain PUB_OUT (4 references)
target     prot opt source               destination
ACCEPT     all  --  anywhere             anywhere

Chain blockhosts (1 references)
target     prot opt source               destination
DROP       all  --  e179092128.adsl.alicedsl.de  anywhere
---

Sind da viele Regeln möglicherweise nicht erforderlich? Abgesehen davon funktioniert die BlockHosts-Regel nicht. Wird dies evtl. von BlockHosts gestört?


----------



## Till (7. Apr. 2008)

Schalte mal die ISPConfig Firewall aus und versuche dann nochmal, ob blockhosts geht. Wenn Dein Server richtig konfiguriert ist, dann sollten da sowieso nur die nach außen zugänglichen Services laufen.


----------



## hahni (7. Apr. 2008)

Das mit der abgeschalteten Firewall probiere ich mal eben aus! Aber die Dienste, auf die zugegriffen werden kann, sehe ich doch ohnehin in den Firewall-Einstellungen, oder siehst du in der Ausgabe Auffälligkeiten?


----------



## hahni (7. Apr. 2008)

Mit ausgeschalteter Firewall sieht die Ausgabe dann wie folgt aus:

---
Chain INPUT (policy ACCEPT)
target     prot opt source               destination
blockhosts  all  --  anywhere             anywhere

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination

Chain blockhosts (1 references)
target     prot opt source               destination
DROP       all  --  e179092128.adsl.alicedsl.de  anywhere
---


----------



## hahni (7. Apr. 2008)

Hallo Till,

mit abgeschalteter Bastille-Firewall funktioniert BlockHosts! Wenn ich die Firewall allerdings wieder einschalte, scheint BlockHosts von Bastille "überstimmt" zu werden... Was ist nun zu tun?

Viele Grüße

Hahni


----------



## Till (7. Apr. 2008)

Lass die Firewall aus.


----------



## hahni (7. Apr. 2008)

Und wieso brauch ich die denn plötzlich nicht mehr? Gibt es keinen Weg, Firewall und BlockHosts zu vereinen?


----------



## hahni (7. Apr. 2008)

Zitat von Till:


> Schalte mal die ISPConfig Firewall aus und versuche dann nochmal, ob blockhosts geht. Wenn Dein Server richtig konfiguriert ist, dann sollten da sowieso nur die nach außen zugänglichen Services laufen.


Und wie kann ich das sicherheitshalber noch einmal prüfen?


----------



## Till (7. Apr. 2008)

Wenn Du auf dem Server nur Dienste laufen hast, die nach außen zugänglich sind, brauchst Du die Firewall nicht, oder zumindest keine Regeln, die sowieso jeden aktuell laufenden Dienst nach außen öffnen. Dend die Linux IPTables Firewall läuft ja weiter und z.B. Blockhosts nutzt sie, es sind halt nur weniger Regeln drin. Eine Firewall ist z.B. fast immer auf einem Desktop nötig, auf dem Dienste laufen die kein externer nutzen können soll oder aber um ein ganzes Netzwerk zu schützen.


----------



## Till (7. Apr. 2008)

Zitat von hahni:


> Und wie kann ich das sicherheitshalber noch einmal prüfen?


netstat -tap

oder Du machst einen Portscan.


----------



## hahni (7. Apr. 2008)

"netstat -tap" probiere ich aus, sobald ich wieder auf den Rechner zugreifen kann  Der Restart meines DSL-Routers hat leider nix gebracht 

Aber noch einmal zur Firewall: gibt es also mehr ISPConfig-Geräte, die ohne eingeschaltete Firewall funktionieren und betrieben werden? Dachte eher, dass dies zwingend ratsam ist!


----------



## hahni (8. Apr. 2008)

Über den (aus meiner Sicht übersichtlicheren) Portscan erhalte ich folgendes Ergebnis:

---
    Port 21 (tcp) is open (ftp)!
    Port 25 (tcp) is open (smtp)!
    Port 53 (tcp) is open (domain)!
    Port 80 (tcp) is open (www)!
    Port 81 (tcp) is open (ISPConfig)!
    Port 110 (tcp) is open (pop3)!
    Port 143 (tcp) is open (imap2)!
    Port 443 (tcp) is open (https)!
    Port 953 (tcp) is open (unknown)!
    Port 993 (tcp) is open (imaps)!
    Port 995 (tcp) is open (pop3s)!
    Port 3306 (tcp) is open (mysql)!
    Port 60000 (tcp) is open (unknown)!
---

Bei Port 60000 handelt es sich um "greylist"! Sonst kann ich keine Auffälligkeiten feststellen! Kannst du dies auch bestätigen, Till?

Viele Grüße

Hahni


----------



## Till (8. Apr. 2008)

Ja, das sieht soweit ok aus. Der Portscan scannt auf der IP 127.0.0.1, so dass der Greylist selbst wenn er dort gelistet ist nicht von außen angreifbar ist. Du kannst es ja sicherheitshalber nochmal mit netstat nachprüfen, wenn dort bei port 60000 localhost oder 127.0.0.1 steht, dann ist es ok.


----------



## hahni (8. Apr. 2008)

Mahlzeit Till,

überall bei "3799/postgrey.pid" steht auch immer "localhost" davor! Gemäß deiner Erklärung müsste dann wirklich alles passen!

Viele Grüße

Hahni


----------

