Server.cfg (Zugriff durch Unbefugte verhindern)

Hey all!
So,zu meiner nächsten Frage : Kann man irgendwie den Rootserver so einstellen das wenn sich jemand die server.cfg downloaded , die dann automatisch "kodiert wird" so das die damit nichts mehr anfangen können? Ist das möglich diese einstellungen zumachen?Ich meine eben nur die server cfg`s wo auch die pw drin sind,Das die sobald die jemand downloaden will zwischen root und dem empfänger kodiert wird?Vorher codieren geht nicht da der root die ja selber lesen können muss. Also zwischen root und empfänger also.
Wäre das nicht eine gute lösung für das hacker problem?
mfg h.e..

Sry wenn ich das jetzt sage. Das ist einfach nur wirr. Wenn jemand deine Server Config ladet dann hat er bereits deinen Root gehackt. Damit dürfte eine verschlüsselung Sinn entleert sein.

Verschlüsselung wird wohl nicht möglich sein.

Mal kurz laut gedacht:
Unter Linux sollte man einstellen können, welche Benutzergruppe (Owner/Group/Public) welche Berechtigungen hat (Lesen/Editieren/Ausführen).

CHMOD 770 müsste demnach bedeuten, dass jemand von außerhalb keine Berechtigung hat, irgend etwas zu sehen, zu editieren oder auszuführen.
Wenn ich mich recht entsinne, kann man sogar einstellen, dass noch nicht einmal die Inhalte eines Verzeichnisses von außerhalb ausgelesen werden können.

Frage an die Linux-Gurus:
- Kommt ein Scriptkiddy dennoch an den Inhalt der Datei ran? (vorausgesetzt, der Server wurde nicht gehackt, so dass sich der Eindringling andere Berechtigungen setzen konnte)
- Wie bestimmt man, welche Berechtigung eine vom Spiel generierte Logdatei haben wird?

Klappt das mit den Berechtigungen eventuell auch unter Windows? Dort müsste man doch auch einstellen können, wer was sehen darf.

cu Mike

Das mit dem verschlüsseln würde nicht funzen wie du dir das da vorstellst, solange die CFG als solche da liegt und die Benutzer-Rechte das zulassen
kannste das nich verhindern das man die lesen/laden kann.
Das laden der cfg is ja kein Paket was man sich bei der Post abholt sondern eher sone art Aufsatz was der Root-Server allen aufsagt die den Pfad zur CFG kennen,
und ab da brauch der der den Pfad kennt nur noch mitschreiben lassen. Mit der Methode kannste ja auch zB bei YouTube Videos laden.

Und genau um das zu verhindern kannste Benutzer-Rechte festlegen.

Das da der Server "gehackt" wurde halte ich persönlich immer noch für Unwahrscheinlich. Wenn man sich die Zeit nimmt und nach Dateien sucht
und die dann noch die passenden Benutzer-Rechte haben, hat das nix mit hacken zu tun, sondern das is einfach nur fahrlässig (um nich zu sagen grob fahrlässig ^^) vom Hoster.
Und da viele Root-Server die als Gameserver benutzt werden die selben Einrichtungspfade benutzen reicht meistens schon die IP vom Server um auf Suche gehen zu könn ^


@Mike:

Frage 1: Wenn Derjenige nicht die Berechtigung hat kann der das auch nicht auslesen.
Wobei bei der Berechtigung 770 die Gefahr besteht das alle Mieter vom selben Spiel (oder noch schlimmer alle Gameserver-Mieter)
eine Gruppe bilden und wenn das davon Jemand ist der sich da bedient, kann der natürlich dann immernoch fleißig lesen/laden

Deshalb immer erstmal mit 700 versuchen. Dann kann nur der Besitzer + dem Root-Besitzer das lesen/bearbeiten/laden.


Frage 2: Am einfachsten indem man die schon angefangene Log-Datei die Rechte nachträglich so setzt.
Log-Data´s werden ja nicht ständig neu erstellt und behalten dann natürlich die Rechte solange bis die mal gelöscht werden.
Ob man das schon vorab so einstelln kann das die immer mit 700 erstellt werden weiß ich nicht, wenn dann aber ziemlich sicher nicht ohne volle Root-Rechte zu haben.

Hier mal ne Frage von mir: Lassen die Log´s nicht komplett abschalten? Dann hätte man da das Problem schonmal nicht mehr. Die liest man doch eh nie.



Zum Thema Windows: KP unter Windows würde ich nie nen Server anmieten solange es Linux-Binary´s gibt .
Wenns nur nen Homeserver ist kann man da ja wenigstens den Pfad vom Spiel ändern, so das man da von außen nich ganz so leicht hin findet
und die anderen sachen ändern die ich schon im ersten Thread zu dem Thema erwähnt hatte.



Mal schon vorab noch ne Frage @ Entlein: Weißt du wie man Benutzer-Rechte setzt? Wenn nich dann frag das doch einfach

Zitat:

Hier mal ne Frage von mir: Lassen die Log´s nicht komplett abschalten? Dann hätte man da das Problem schonmal nicht mehr. Die liest man doch eh nie.

Naja, das würd' ich so nicht sagen wollen. Die Log's werden zumindest von den verschiedenen Stats-Scripten (z.B. Ultrastats) ausgelesen und geparst.

Ich ändere auf meinem Root nahezu wöchentlich mein Passwort - die PW's von den verschiedenen Gameservern werden ebenso im Wochenrhytmus geändert.

Auf meinem Linux-Root habe ich generell den Root-Zugang verneint.

(meine Vorgehensweise auf meinem debian ETCH)

Einwahl von Root unterbinden in sshd_config
PermitRootLogin von YES auf NO
Anmerkung: Einloggen über Benutzer (, ggf. Benutzer anlegen mit: ~# adduser EsKannNurEinenGeben ) und über SU Root werden.
Einwahl auf einen / verschiedene Nutzer / Gruppen festlegen ( Root kann sich somit nicht anmelden)
AllowUsers EsKannNurEinenGeben Dude Testbernd # Benutzer
AllowGroups MeineGruppe # Gruppe
Portwechsel
Port 2332
Unterbinden der Nutzung von leeren Passwörtern
PermitEmptyPasswords no


Ich denke fast, dass das reichen sollte -> so populär sind meine CoD Server net dass es sich lohnt die auszuspionieren...

webmastermat ich rede wirr? Ich glaube DU weist nicht welche wege es alle gibt um an die PW zukommen! Du must den root nicht hacken um an PW zukommen,da gibt es auch andere wege, es gibt keinen "bekannten fall" (laut "support team" ^^ ) wo es gelang wenn bestimmte einstellungen gesetzt sind. Die kommen auf einen anderen weg daran. mfg h.e.

Hey mike tnt, Dr.Tomoe und hippi , Die antworten sind cool von Euch. Wir haben einen "eigenen(miet)" Rootserver. Linux/Debian , rechtesystem : ja weiss ich, wie mans setzt. Serverlogs: sind auf loggen gesetzt 1. server.cfg logt zu server.log , dann gibts da noch die config_mp_server.cfg logt zu console_mp......log. Die logs haben wir eigentlich immer anghabt um nachvollziehen zukönnen was wo passiert und wer wann wo mit nem admintool zugriff nimmt usw.Wenn ihr jetzt sagt das das nicht gut ist da die logfiles ausgelesen werden können, sollen wir sie Eurer meinung nach rausnehmen wenn nein, welche berechtigung muss ich den files zuweisen das sie NICHT von aussen gelesen werden können? Also, Rootserver selber ist dicht (hoffentlich ^^) , Putty etc auch. Wenn da jemand ran geht wird das sowiso geloggt und der ssh port ist auch geändert, stand vorher auf 22. Seit der portänderung haben wir auch keinen vermerkten fremdlogin versuch , die müsten ja erstmal den port finden.Die Lücke sind eben(geh ich von aus) game-server selber durch die downloadfunktion und wie ist das mit dem admintools wie miniadmin,arcontool etc. Werden den DIE ausgelesen oder geht das "nur" über die server?
Fettes Dankeschön an Euch für die Antworten.
mfg h.e.

Eigner Root + Linux klingt ja schonmal gut So kanns wenigstens nich daran scheitern das man nen schlechten Support hat.

Die Logs/Cfg´s an sich sind ja nicht das Problem auch wenn da das rcon-pw drin steht kann man die nicht lesen/laden wenn die auf 700 oder 770 gesetzt sind.
Da kommt dann nur der Hinweis das man nicht laden konnte und sich das an anderer Stelle besorgen muss wenn man versucht mit dem
q3d...(is nen Tool zum laden von sachen -zb cfg´s- direkt im Spiel)

Versucht mans direkt mit dem Pfad zur Datei kommt dann nur nen 403: Verboten (Forbidden) - Error.
Jeder der jetz noch was lesen/laden will muss über ftp connecten und der Login sollte außer euch ja kein bekannt sein.

Die Rcon-Tools stellen so lange dein Rechner nicht ausspioniert wird, keine Sicherheitslücke dar. Zumindest ist mir kein Fall bekannt bei dem
ein Rcon-Tool zum Problem wurde.

@Hippie: Die soll ja auch nicht jeder ausstellen Die frage hatte ich nur mal gestellt weil bei mir irwi immer das logfile0 erstellt
wird obwohl alles was mit log´s zu tun hat bei mir aus ist.

Solange die Dateien vom Gameserver geladen werden müssen, muss der User unter dem der Server läuft Lese recht haben.
Wenn der interessierte Datenreisende den Q3 DL Bug benutzt, liest er die Daten mit den selben Rechten aus unter denen CoD läuft. Da lässt sich nichts mit Besitzrechten kitten, das ist Systembedingt.

Den ssh port ändern hilft gegen Bots die stupide ganze Subnetze scannen und dann losballern. Einen gezielten Angriff verzögert das bestenfalls um wenige Minuten.

Wirksamer ist http://www.fail2ban.org/ , birgt aber die Gefahr eines (Self-)DOS. ssh Key Authentifizierung hilft auch den Angriffsaufwand zu erhöhen.

Es gilt aber immer das es ungemein hilft wenn Mensch den Angriffsweg identifizieren kann. Es hat schließlich nichts mit Voodoo zu tun, und wenn andauernd das rcon Passwort abhanden kommt ist da irgendwo ein Fehler im Setup. Ich halte es zumindest für sehr unwahrscheinlich das jemand mit einem 0day rcon Passworte klaut. Damit macht man Siemens Anreicherungsschleudern kaputt oder fährt Spieleconsolen Hersteller herunter. Der Q3 DL Bug ist z.b. mit allow_download 0 nicht mehr nutzbar. Andernfalls Server.cfg nicht Server.cfg nennen sondern 12jdk990dtk.gfc und Logfiles abschalten.


Und Webmastermat hat recht, oder du hast dich verdrückt ausgekehrt. Selbes Problem wie mit den Rechten - solange der Server selbst die Datei lesen können muss kannst du nichts verschlüsseln. Dazu müsste man den Server selbst das passende entschlüsselungssystem einpatchen, was ohne Source nicht möglich ist.

Gut zu wissen Kellerkind - hab das mal ausprobiert und man kann den q3-bug tatsächlich auch dann noch nutzen wenn man die Rechte auf 700 hat.
Da war ich mir ziemlich sicher das das dann nicht mehr geht aber versucht hatte ich das vorher nicht weil von uns keine Server in der 1.0 laufen
und ab 1.2 kann man sv_allow_download ja auf 0 lassen weils da ja über redirect läuft.

Dann kann man wenn man in der 1.0 Custom-Zeug´s laufen lassen will anscheinend wirklich nur alles umnenn was man umnenn kann - die logs weglassen und hoffen das
das Leg nich doch woanders ist. Tja wenn man unbedingt in der 1.0 ein Server haben will muss man mit den Bug´s halt leben.

Jo, 1.0 is und bleibt eben angriffsfreudig! Wenn Rcon also nicht das problem selber ist, kann es ja "nur" noch der Server sein, da Download an ist. Dann wäre ja höchstens die/eine Lösung : Server ohne specielle mods laufen lassen, also pur , download ausmachen (weil nicht benötigt) oder die .cfg`s umbennen (was auch nur eine temporäre lösung darstellt). Schade , aber unter 1.0 wohl nicht zuändern.
Das fail2ban/ssh key auth. ist alles aktiviert ,(apt-get update und apt-get upgrade wurde auch gemacht) wie gesagt rootserver selber ist wohl nicht gehackt, Putty/ftp-client auch nicht (hoffen wa mal ^^).
Für Eure rasche Antworten und das brainstorming danke ich Euch ALLEN, Rootserver + Clienten sind schon ganz gut abgschottet der Rest liegt einfach an dem Server selber wohl.
Ok, dann mal mit freundlichem grusse h.e.

Was auch eine "kleine" hilfe ist: wir lassen ganz normal wie immer laufen also downloads an, gehen aber nachher hin und ändern das rcon-pw im clienten selbst nochmal. Ist auch "nur" eine temporäre lösung die auch "nur" hilft wenn der rcon-client selber nicht gehäckt werden kann. Es gibt auch die möglichkeit das zu umgehen was dem häcker aber nichts bringt da ein server der abgestürtzt ist von UNS neugestartet werden muss. Ist das eine möglichkeit die nutzbar wäre, was meint Ihr dazu??? gruss h.e.

Ich meinte nicht das du wirr bist - sondern die Idee die config zu verschlüsseln. Das habe ich gemeint. Das wäre wohl extrem aufwändig wenn jeder Client die verschlüsselten Dateien abholt und dann entschlüsselt.

Wenn die PWs nicht mehr in der Config wären wäre das wohl die beste Möglichkeit sich ein wenig besser zu schützen. Wenn man bsw. wie ein Webinterface nur noch die Servervorgaben einstellt und Gastaccounts für die Clankollegen einstellen könnte. Mh egal die Publisher nehmen uns diese Sorgen ja ab in dem sie gleich gar keine Dedis mehr liefern.

@Kellerkind: "verdrückt ausgekehrt" das war herrlich. Wann können wir wieder Tickets für die nächste Show reservieren *Finger ins Auge picks*

Hi,

dein Problem zu lösen ist eigentlich relativ simpel. Dass man über einen RCON Stealer die server.cfg auslesen kann, ist schon relativ lange bekannt.

Wenn du auf Mods verzichten kannst, reicht in der Regel den allowdownload auf 0 zu setzen. Falls du garnicht darauf verzichten willst, gibt es hier die Anleitung:

- server.cfg umbenennen in irgendwas wie z.B. duhacker.cfg und dann entsprechend mit exec cfg laden.
oder - Du dein RCOn in der Commandzeile parkst, mit +set rcon_password und es aus der server.cfg löscht.
oder - chmod auf 770 setzen, und am besten FTP gruppen erstellen und da die rechte verteilen.

Ganz ehrlich, wenn einer deine server.cfg will, dann nur weil er an das rcon möchte. Zwei der oben genannten solltest du auf jeden Fall anwenden.

Dann für User, die kein eigenen Root haben, bietet sich diese Lösung an, die ich mal in meinen anfängen herausgefunden habe:
http://de.xfire.com/communities/antihack.../topic/1919561/

Da muss aber aufgepasst werden, der server kann immernoch gecrasht werden. Dann muss das natürlich von neu gemacht werden. Das gleiche gilt für automatische restarts oder restarts im allgemeinen. ycn hat z.B. in ihrem panel die option "empfehlung von automatischen restarts" - das ist aber nur die halbe wahrheit und bei allen bisherigen CoD Serien der absolute RCON Tod. Wer natürlich vorher gut absichert, dann ist das mit den restarts keine schlechte idee.


Ich habe z.B. RCON Stealer sichere Server, Crashsicher (va() bug), Gesichert gegen unerlaubten mapchange mit openscript und gesichert gegen RCOn Blocker, sodass ich volle kontrolle habe.


Mein xF: xileks

Gruß,
Roland