Wieso Bullshit-Bingo? Ich komme beruflich aus der IT-Sicherheitsbranche und das ist ein tägliches Angriffsszenario. Aber ich halte mich ab sofort hier raus.

Bis bald,

Stefan

Hey Leute, hört doch auf darüber zu streiten wie groß 20cm tatsächlich sind, macht einfach Vorschläge für die User (ohne Forderung an Edomi) was man besser / sicherer machen kann, damit im Fall des Falles eine weitere Sicherheit(zone) dem Eindringling entgegen steht …
Jeder kann dann für sich entscheiden ob das ein oder andere bei sich umsetzt oder nicht ...

Dann die Firewall so konfigurieren wie man das gern haette. Damit bekommt man auch MySQL zu...

SSL:
Dann die folgenden 2 Zeilen am Ende der Datei /etc/httpd/conf/httpd.conf zufuegen:
Webserver neu starten
Jetzt nur recht oberflaechlich getestet, sollte aber funktionieren.

gruesse :: Michael

wintermute da du dich vermutlich auskennst, eventuell kannst du mir noch einen Tipp geben zur Konfiguration der Firewall. Ich hätte gerne alle Ports geschlossen bis auf den SSH-Port und den 80er für http. Muss ich sonst noch einen Port offen halten (KNX...)? Beim letzten Versuch das anzupassen hab ich mich selbst ausgesperrt. Ich denke ungefähr so müsste es aber passen:

1. iptables -F // alles an Regeln verwerfen
2. iptables -P INPUT DROP
   iptables -P FORWARD DROP
   iptables -P OUTPUT DROP // alle Pakete verwerfen
3. iptables -A INPUT -i eth0 -p tcp --dport 22 -m state --state NEW,ESTABLISHED -j ACCEPT // eingehender ssh-Traffic erlauben
4. iptables -A OUTPUT -o eth0 -p tcp --sport 22 -m state --state ESTABLISHED -j ACCEPT // ausgehenden bekannten ssh-Traffic erlauben
5. iptables -A INPUT -i eth0 -p tcp --dport 80 -m state --state NEW,ESTABLISHED -j ACCEPT
6. iptables -A OUTPUT -o eth0 -p tcp --sport 80 -m state --state ESTABLISHED -j ACCEPT // gleich für http
7. KNX?

SSL im LAN halte ich für übertrieben... ich nutze VPN für Zugriffe von extern. Deshalb könnte man zur Sicherheit auch noch zusätzlich den eingehenden Traffic für SSH und HTTP auch noch auf das lokale Netzwerk beschränken, also 192.168.x.x - nur wie?

Ich denke zu deinem KNX IP Router/Interface musst du UDP/3671 freigeben.
Dann würde mir noch der EDOMI Update-Server einfallen
Wenn du spezielle LBS verwendest, welche bestimmte Geräte ansteuern, z.B. LG TV, Denon Verstärker, Squeezebox,WOL, Ping etc, musste du das natürlich auch berücksichtigen. Außerdem sind möglicherweise, DNS, ICMP, NTP sinnvoll.

Ich persönlich würde mich eher auf die INPUT Queue konzentrieren und nicht OUTPUT by default blocken. FORWARD sollte keine Rolle spielen, da dein EDOMI Server ja kein Router ist. In der Input Queue würde ich dann freigeben was erlaubt ist und das was "related,established" ist. Dann sollte es schon halbwegs sicher sein.
Ist immer die Frage des Paranoia Levels

Schau mal HIER

Danke! Das klingt sinnvoll, werde den ausgehenden Traffic in ruhe lassen, das lohnt sich nicht wirklich an alle Dienste zu denken die man jemals in einer Logik oder Visu abfragen will. Ich konzentriere mich wie von dir vorgeschlagen auf den eingehenden Traffic, hier würde ich dann alles erlauben was aus dem internen Netz kommt auf Port 80 und 22 oder als Antwortpaket auf eine ausgehende Anfrage kommt. Soweit die Theorie, dann mach ich mich mal auf die Suche