Fail2Ban etc. pp

german

#1

Servus,

ist es Möglich beispielweise Fail2Ban unter UCS zu betreiben?

Allgemein würde mich interessieren was für Sicherheitsmechamisnen UCS implementiert hat die Richtung Netfilter und derartigen gehen?

Danke!


#2

Hallo,

betreiben kann man so ziemlich jeden Dienst der sich von einer Konsole oder auch von dem uU installierten KDE aus verwalten lässt. Nur kann man ihn im Zweifel nicht über die Management-Konsole verwalten.
Netfilter ist über iptables implementiert. iptables kann über UCR (Univention Configuration Registry) verwaltet werden, bestimmte Pakete setzen so Regeln zum Beispiel für den Zugriff auf IMAP oder andere Dienste.

Wir betreiben UCS bisher immer in einem lokalen Netz das durch zusätzliche Geräte abgeschottet wird.


#3

gibt aber halt auch Szenarien wo UCS im Netz bereit steht.

Besteht die Möglichkeit einfach repository von Debian 6 / Squeeze in die Sources.list einzutragen und darüber zu installieren?


#4

Ja die gibt es, ich würde es dann trotzdem als KVM Gast hinter einem normalen Ubuntu 12.04 LTS betreiben und iptables als Router einsetzen.

Die Repositories kann man hinzufügen hat aber keinen wirklichen Nutzen. Die Basis von UCS 3 ist Ubuntu 12.04 mit einem angepassten Kernel. Es gibt das “unmaintained” Repository indem alle Pakete verfügbar sind. Allerdings eben ohne Integration in die Oberfläche oder die Konfigurationsskripte.

Anpassungen an Konfigurationsdateien die auch über die Oberfläche bearbeitet werden sind sowieso nicht persistent sondern werden durch die Skripte überschrieben. Vom daher wäre es mir zu viel Aufwand nach jedem Haken in der Weboberfläche einen Security-Audit fahren zu müssen weil ich nicht genau weiß was jetzt alles geändert bzw. überschrieben wurde.


#5

Hallo,

eine Integration von Fail2Ban für UCS gibt es nicht, das Paket stehen aber, wie von stefanlor angesprochen, im “unmaintained” Repository zur Verfügung.
Vom direkten Einbinden von Debian-Quellen raten wir grundsätzlich ab, da es, gerade bei Release-Updates, zu Problemen kommen kann wenn statt UCS- Debian-Paketversionen installiert werden.

[quote=“stefanlor”]Die Basis von UCS 3 ist Ubuntu 12.04 mit einem angepassten Kernel.[/quote]Das ist so nicht korrekt. Die Basis von UCS 3.x ist Debian 6 wobei diverse Pakete aktueller bzw. von uns angepasst/gepatched sind (u.a. auch der Kernel). UCC hingegen basiert auf Kubuntu 12.04.

[quote=“stefanlor”]Anpassungen an Konfigurationsdateien die auch über die Oberfläche bearbeitet werden sind sowieso nicht persistent sondern werden durch die Skripte überschrieben. Vom daher wäre es mir zu viel Aufwand nach jedem Haken in der Weboberfläche einen Security-Audit fahren zu müssen weil ich nicht genau weiß was jetzt alles geändert bzw. überschrieben wurde.[/quote]Alle Konfigurationsdateien welche durch Univention Configuration Registry verwaltet werden, enthalten in den ersten Zeilen einen entsprechenden Hinweis sowie den Pfad zum Template aus dem/denen die Konfiguration generiert wird. Bei Anpassungen an Dateien mit eben diesem Header muss davon ausgegangen werden, dass diese bei Änderung der darin verwendeten UCR Variablen auch neu geschrieben werden. Bei allen anderen Konfigurationsdateien nicht.

Mit freundlichen Grüßen
Janis Meybohm


#6

Danke für die Klarstellung, dann habe ich das auf dem letzten Partner Summit falsch verstanden.