Rootkit-Prüfung bei openSUSE 12.1

Hinweis: In dem Thema Rootkit-Prüfung bei openSUSE 12.1 gibt es 4 Antworten. Der letzte Beitrag () befindet sich ganz unten auf dieser Seite.

    Hallo miteinander,


    ich habe bei meinem OS 12.1 einen Prüflauf zum Thema "rootkit" durchgeführt mit den Programmen
    - rkhunter und
    - chkrootkit


    rkhunter hat zwar kein rootkit gefunden, aber einige Warnungen angezeigt, z.B.
    "SSH root access is allowed" und
    "SSH protocol v1 is allowed"


    Meiner Erinnerung nach habe ich bei der Installation von OS 12.1 den Parameter für den SSH-Port auf "schließen" gesetzt, trotzdem kommen jetzt diese Meldungen.
    Ich werde den SSH-Port auch nicht nutzen.


    Ich habe mit meinen Systemkenntnissen bis jetzt noch keinen Weg gefunden, den SSH-Port zu schließen, um somit das Thema für mich zu bereinigen.


    Für eure Hilfe wäre ich dankbar.


    Grüße


    hatru

    Für den Inhalt des Beitrages 39278 haftet ausdrücklich der jeweilige Autor: hatru

    rkhunter analysiert bei der Überprüfung die Konfiguration von ssh auch wenn sshd gar nicht aktiv ist, d.h. du kannst diese Meldungen ignorieren.


    LG

    Für den Inhalt des Beitrages 39281 haftet ausdrücklich der jeweilige Autor: tux93

    Danke für die schnelle Antwort!


    Noch eine Frage:
    Gibt es per System eine Abfrage über den akt. Modus des SSH-Ports?


    Gruß


    hatru

    Für den Inhalt des Beitrages 39282 haftet ausdrücklich der jeweilige Autor: hatru

    Code
    systemctl status sshd.service


    zeigt ob sshd läuft, der ssh-Port ist per default gesperrt wenn im YaST-Modul Firewall unter Erlaubte Dienste Secure Shell Server nicht auftaucht.


    Und wenn du schon in den Firewall-Einstellungen bist, schau mal bei Schnittstellen ob deine Netzwerkkarte einer Gruppe zugeteilt ist oder als Nicht Konfiguriert gelistet ist, bei letzterem einfach mit Bearbeiten einer Gruppe (Extern, Demilitarisiert, Intern) zuweisen.


    LG

    Für den Inhalt des Beitrages 39283 haftet ausdrücklich der jeweilige Autor: tux93

    Danke tux93.



    durch Eingabe von "systemctl status sshd.service" in der Konsole kam das Ergebnis:
    sshd.service - LSB: Start the sshd daemon
    Loaded: loaded (/etc/init.d/sshd)
    Active: inactive (dead)
    CGroup: name=systemd:/system/sshd.service
    Meine Interpretation: Soweit ok. Oder?


    Bei YaST / Firewall / Erlaubte Dienste erscheint im Pulldown-Menue unter "Erlaubte Dienste"
    - Demilitarisierte Dienst
    - Externe Zone
    - Interne Zone
    im Pulldown-Menue "Zu erlaubender Dienst" werden 18 Auswahloptionen gelistet
    von - DHCPv4 Server ....
    über - Secure Shell-Server.....
    bis - Zerocont/Bonjour Multicast DNS
    Das große Anzeigenfeld mit den Spalten Erlaubter Dienst und Beschreibung ist leer.


    Bei YaST / Firewall / Schnittstellen wird 1 Zeile angezeigt:


    Spalte Gerät: RTL-8139/8139C/8139C+
    Spalte Schnittstelle oder String: eth0
    Spalte Konfiguriert in: Externe Zone


    Wenn ich in Summe deine Ausführungen zugrunde lege müsst eigentlich alles i.O. sein.
    Falls du doch noch eine Schwachstelle in meiner Wiedergabe entdeckst, wäre ich für einen weiteren Hinweis dankbar.


    Beste Grüße
    hatru

    Für den Inhalt des Beitrages 39310 haftet ausdrücklich der jeweilige Autor: hatru