Hallo.

Ich dachte mal, das passt am Besten in diese Sparte:

ich möchte mir meine eigene "live-cd" erstellen. Grund: die Kiste soll am Ende als Festplatten-freier Router (+Firewall) laufen, um einem potenziellen Angreifer wenigstens keinen Festplattenplatz zu geben.

Also muss ich das System in Ramdisks legen (richtig soweit?)....

Syslog soll remote erledigt werden....also müsste es dahingehend auch kein problem geben (richtig?).....

Geplante Vorgehensweise: initrd erzeugen, in die ich eine linuxrc legen muss, in der dann das /-Image und das swap-Image von der CD in /dev/ram0 und /dev/ram1 gemountet wird (richtig?)......

Die eigentlich dynamische /etc/mtab bleibt in diesem Fall immer gleich und kann übernommen werden (oder lieber einen Verweis auf /proc/mounts ?)

blablabla....

einfacher gefragt:

Wie wäre denn eine ausgeklügelte Strategie o.g. Problem zu lösen?

Bin mal gespannt ob mir da jmd weiterhelfen kann.

Danke schonmal.

@pharao: syslog mache ich remote über den syslog-daemon, also eigentlich nicht auf ne freigabe...auf dem loghost werden dann die syslogs anhand der rechnernamen getrennt, um eine effektivere ids fahren zu können (untersuchung des firewall-syslogs anhand von byte-unterschied und welche meldung dann vorliegt mail an admin)....aber ist ja nicht das eigentliche thema.

@tuxland: es muss nicht unbedingt eine cd sein, aber die wäre read only, somit das system nur über die ramdisk angreifbar (oder?)


werde mir mal das fli4l anschauen....und natürlich auf die knoppix-seite schauen....

hauptsächlich geht es mir bei der ganzen sache natürlich auch um den lerneffekt....wie das mit ramdisks usw generell funktioniert, was man tun muss um sie zu erstellen, wie man sie einsetzt und vor allem, was man beachten muss, damit es am ende auch in einem produktiven umfeld einsetzbar ist.

die kiste soll ja am ende nur ein router+firewall sein mit ppp als internetzugang (reboot wäre kein problem, internet bei uns ist nicht unternehmenskritisch [wenn es mal ein paar minuten nicht funktioniert]). das system könnte man ja auch auf ne rw machen, dann wär es nicht so schlimm mit dem nachträglich anpassen glaube ich (also 2 cd-rws vorhalten, eine im server lassen, während die andere angepasst wird und dann zum reboot austauschen und dann die andere cd anpassen)...die rw zum booten natürlich in ein normales cd-rom sonst geht ja das read-only verloren

auf ne festplatte möchte ich ja ganz verzichten, ansonsten könnte ich mir ja auch einfach ein normales system auf festplatte installieren. aber sinn und zweck der ganzen übung soll es ja sein, einem potenziellen angreifer keinen festplattenplatz zu geben. ich denke, dass es wesentlich schwieriger ist, die ramdisk noch zu hacken, als z.b. ein exploit oder so auf die festplatte zu schieben. (bitte melden wenn ich mich da irre)....

insgesamt dachte ich an so eine art SUSE FIREWALL ON CD......

außerdem könnte so einfach die cd neu gebootet werden, falls das system tatsächlich angegriffen wurde und man muss sich keine gedanken machen, ob da noch irgendwas ist, was ich nicht in meinem laufenden system haben möchte....

mit festplatten....selbst wenn es nur 500MB sind....ich denke da gibt es trotzdem viele orte wo sich etwas verstecken, replizieren usw. kann....


kann ich das fli4l auch mit nem 2.4.x- bzw. 2.6.x-Kernel betreiben und auf iptables/netfilter umstellen?

ok. hab ich jetzt anders gemacht und mir das knoppix 3.4 angepasst.

erstmal das system kastriert (x-server, open-office, usw.), dann snort installiert, die firewall-regeln gesetzt, in der inittab runlevel 2 als default und login gesetzt, passwörter vergeben, boot-optionen permanent geändert (blabla...noapm noapic nofirewire noscsi usw.), schnittstellen konfiguriert, etc.

scheint prima zu funktionieren, läuft alles ohne festplatte und floppy, und falls noch sachen angepasst werden müssen hab ich auf nem anderen rechner ja noch die quellen aus denen ich mir dann ein neues image machen kann....

thx for help!

sorry. war ne weile nicht mehr hier....

Zitat

Original von Tuxland

nicht das ich neugierig wäre, aber wie groß ist das ganze?

bis jetzt ca. 250 MB...aber ich werde mich in Kürze an die anderen Pakete noch dransetzen. Habe nur das runtergeklopft was in meinen Augen als sicher erscheint. Außerdem sind unter /etc und /var noch ne Menge Sachen, die von den gelöschten Paketen übrig geblieben sind.

Zitat

Original von Pharao

und wo können wir es uns runterladen, dass wir uns das mal ansehen können?

Sorry. Aber da die Firewall eine unternehmenskritische Anwendung ist und nur auf dieses Netzwerk angepasst ist...du weißt schon...das darf und will ich nicht. Die wird dann hier im "Ausbildungsbetrieb" eingesetzt. Aber mal schauen, ich möchte das noch so anpassen, dass man bei der Installation eine Reihe von Scripts ausführen muss, mit denen man die Einstellungen anpassen kann. Optional dann auf ne schreibgeschützte Diskette oder immer neu eingeben wenn die Firewall neu gestartet wird.

Ein Problem habe ich noch bei der ganzen Geschichte. Das Knoppix bekommt es nicht richtig hin, ein Samba- bzw. Windows-Share zu mounten. Das möchte ich, um die snort-logs auf das Share zu schieben (also: smbmount auf Windows-/Samba-Share und in snort dann /mnt/netmount/snortlogs als log-dir angeben)...aber wie gesagt es wird nicht korrekt gemountet.....moment...mir ist jetzt grade klar weshalb, die Firewall-Regeln sind nicht darauf angepasst....gleich mal ausprobieren....