| Linux - Friheden til sikkerhed på internettet: Version 2.9.20060510 - 2020-12-31 | ||
|---|---|---|
| forrige | Kapitel 2. Netværkssikkerhed - Services | næste |
Udenfor de forrige kategorier falder XDM og DNS:
En service man ikke må overse, er XDM, som er en X-login daemon, der normalt kører på UDP port 177. Det er muligt at forbinde sig til en kørende XDM-server, dvs. direkte til X-systemet, ved at skrive "X -query SERVER". Alt efter Linux distribution, kan du have xdm, kdm (KDE's XDM) eller gdm (GNOME XDM) kørende. Hvis XDM kører, starter maskinen op med en grafisk login menu i stedet for den almindelige konsolmodus-login-prompt. Hvis du er i konsolmodus, kan du se, om du har en X-login daemon kørende, ved at trykke Alt-F7. Er der en menu, hvor du kan skrive loginnavn og password ind, så kører du en XDM-lignende service.
På din hjemmecomputer kan det grafiske login være meget rart, men hvis du administrerer en server, er det en uacceptabel sikkerhedsrisiko. Luk den ned og sørg for, at dette ikke automatisk startes op fra startupscriptet i /etc/rc.d:
SuSE 6.1: slet /etc/rc.d/rc3.d/*xdm
Red Hat 6.0: Udkommenter sidste linjen i /etc/inittab
x:5:respawn:/etc/X11/prefdm -nodaemon
så den ser ud som
#x:5:respawn:/etc/X11/prefdm -nodaemon
I øvrigt bør man slet ikke køre X på en server, hvis det kan undgås. Kan du af en eller anden grund ikke undgå at have XDM kørende, så bør du som minimum læse http://metalab.unc.edu/LDP/HOWTO/mini/Remote-X-Apps.html. Dette sted beskriver, hvordan du med "magic cookies" kan gardere dig mod sådan noget som spoofingangreb, hvor andre på nettet prøver at tage din identitet.
Det kan nævnes, at vi i Kapitel 4 ser nærmere på, hvordan du kan sende X-programmer fuldt krypteret. Denne løsning er klart at foretrække, hvis man ser på netværks-sikkerheden.
DNS (Domain Name System) er navneservice, som anvendes til at få oversat et hostnavn f.eks. sunsite.auc.dk til dets IP-nummer. DNS er en af de store grundpiller i internettet og derfor også meget gennemprøvet men ret komplekst. Der er blevet fundet sikkerhedshuller i DNS-programmerne, f.eks. var der en fejl i Red Hat 4.2, hvor man kunne sende en meget stor datamængde til en nameserver, hvilket medførte, at den blev "overrasket" (buffer overflow problem) og fejlede. Man kunne derefter mirakuløst udføre rootkommandoer på systemet! Resultatet var fatalt. Det er nok ikke sandsynligt, at du kører en nameserver (på port 53) uden at vide dette, men du kan verificere dette ved at skrive.
[robin@sherwood robin]$ ps aux | grep named
Du skal kun køre et nameserverprogram, hvis maskinen reelt skal bruges som nameserver.
Vi så i Afsnit 2.4 at NMAP kunne se X-serveren udefra. Dette kan man undgå ved at rette sidste linje i /etc/X11/xdm/Xservers til følgende. Igen en opgradering af sikkerheden.
# $XConsortium: Xserv.ws.cpp,v 1.3 93/09/28 14:30:30 gildea Exp $ # # Xservers file, workstation prototype # # This file should contain an entry to start the server on the # local display; if you have more than one display (not screen), # you can add entries to the list (one per line). If you also # have some X terminals connected which do not support XDMCP, # you can add them here as well. Each X terminal line should # look like: # XTerminalName:0 foreign # :0 local /usr/X11R6/bin/X -nolisten tcp vt05