matzewe01 wrote:
Was Joe Use meint, weiss ich nicht. Aber ich halte von solchem Zeug gar nichts. Warum?
Du benötigst z.B. fail2ban und iptables, welche Du bei einem gut abgesicherten System nicht benötigst.
JFreund hat Ihr mal einen schönen Artikel eingestellt, der iptables als potentielles Sicherheitsloch entarnt hat.
Damit laufen 2 Stück mehr software auf dem Rechner, welche eine Schwachstelle besitzen können. Dass es welche gegeben hat, wurde sowohl bei heise als auch anderen renomierten Magazinen oft genug berichtet.
In der IT ist es ganz simpel gesagt so:
Einfallslöcher so klein wie möglich zu halten und die restlichen potentiellen und vor allem, bekannten sowie einschätzbaren Gefahren im Auge zu behalten.
Also, ssh abdichten Anmeldung per Schlüssel und allowuser auf das minimum reduzieren, kein rootlogin, kein Passwort Anmeldung.
Wenn Dir das mit dem Log zu viel wird meinetwegen den Port verlegen oder das Loglevel entsprechend anpassen.
"Ich finde aber fail2ban immer noch Klasse und Deine Argumente ziehen bei mir nicht."
Ich spoofe meine IP Adresse, regional Die IP Ranges Deiner potentiellen Provider einzugrenzen kein Problem.
Somit floode Ich eifach Deinen ssh, etc Dämon und wenn ich es nicht zu einer DOs Attacke schaffe, dann wenigstens dazu, dass Du so lange Ich das will nicht mehr per ssh auf Deinen Rechner kommst.
Es wäre auch denkbar einen Deiner Kunden dank fail2ban Regional nicht erreichbar zu machen.
Und ohne den blödsinnigen Ballast von meinetwegen fail2ban und iptables, wird Dein System deutlich geringer belastet und performt bei einer DOS deutlich besser und steckt angriffe leichter weg.
Sorry, jetzt muß ich aber echt mal einen Rundumschlag verteilen. Was man hier rund um Sicherheit teilweise so liest tut schon mächtig weh. Hier werden so oft Dinge aus dem Kontext gerissen und Äpfel mit Birnen verglichen. Ich weiß nicht woher hier mache Statemenst kommen, aber offenbar muß man manche Dinge nur oft genug wiederholen und irgendwann glaubt man selbst daran. Es ist Fakt, dass die absolute Mehrheit an Rootservern bei den Massenhostern in einem katastrophalen Zustand sind. Es existieren dort so viele Webapplikationen, die noch aus dem letzten Jahrhundert stammen und mehr Sicherheitslücken haben als Kundschaft. Es gibt dort Spamschleudern noch und nöcher. Vom Patchstand des Betriebssystems möchte ich gar nicht erst reden...
Glaubt ihr ernsthaft daran, dass es ein Sicherheitsproblem ist, wenn in irgendeinem iptables-Modul irgendwann mal eine Lücke war, die es evtl. ermöglicht hätte mit einem lokal vorhandenem Konto unter bestimmsten Umständen durch einen Bufferoverflow Rootrechte zu erlangen? Kommt mal runter! Hier wird soviel gejammert und gewimmert, dass man gerade "geDOSt" wird oder ein "Massenhack" (nichts gegen den Threadersteller, als Anfänger kann man es nicht wissen) stattfindet, dass man sich ernsthaft fragen muß auf welchem Planeten die Opfer leben. Das ganze Netz ist voll von von infizierten Clients und massenhaft infizierten Rootservern. Da werden täglich Milliarden unkontrollierte Anfragen in jede Richtung abgschossen. Nicht EINE davon gezielt (und wenn doch, dann fühlt euch geehrt; dann betreut ihr offenbar ein wichtiges oder gehasstes Projekt). Das was hier immer als Angriffe bezeichnet wird ist das leider inzwischen völlig normale Grundrauschen im Netz. Es bleiben zwar selbstvertändlich Angriffe, aber auf einem so automatisierten und erbärlich tiefem Niveau, dass ein auch nur halbwegs brauchbar administrierter Server dem locker standhält. Besonders diese irrsinnig "bösen SSH Massenangriffe" sind einfach ein Witz. Wer einen Account namens "james" mit dem Passwort "bond" hat oder "apache" mit "xxxxx" der darf auch ruhig "gehackt" werden; der hats nämlich echt nicht anders verdient. SSH und auch iptables gehören zu den wenigen Komponenten, die selbst besch..... eingesetzt fast noch das kleinste Risiko bilden.
Natürlich kann eine problembehaftete Version von iptables ein Einfallstor sein, aber ihr müsst mal die Verhältnismäßigkeit sehen. Wozu einen elaboriten Hack für Profis versuchen, wenn ich über ein nicht korrekt validiertest Eingabeformular in einer PHP-Applikation mit einem völlig automatisierten Angriff zum Ziel komme? Ein dreckiger Scheinwerfer am Auto ist auch ein Sicherheitsproblem, aber bevor ich den sauber mache, sollte man sich vielleicht erst um die drei platten Reifen und den fehelnden Stoßdämpfer und gerissenen Sicherheitsgurt kümmern. Hier wird teilweise mit Kanonen auf Spatzen geschossen und an anderer Stelle geht alles unter. Rein statistisch gesehen hat vermutlich mindestens jeder zweite Benutzer hier irgendwo in den Tiefen der Confixx/Plesk Webs ein Kontaktformular, welches man absolut problemlos zum Spammen verwenden kann. Vermutlich bekommt man darüber sogar einige Millionen Mails durch die Maschine, bevor es irgendwer merkt. Oder anders gesagt: Irgendwer verdient einige Tausend $ damit während sich der Admin sicher fühlt, weil er ne krasse Kombination auf fail2ban (aka selfdos), Portknocker und Portverschiebung des SSH-Daemons gemacht hat.
Irgendwie wird besonders in diesem Forum auch noch immer das Märchen erzählt, dass man keine Firewall braucht weil ja eh nur die Ports gesperrt werden auf denen sowieso nix läuft. Es hat offenbar immer noch kaum einer verstanden, dass 99% der üblichen Angriffe in irgendeiner Form einen Weg "nach Hause" brauchen. Genau für diese Fälle ist eine Firewall Gold wert. Es hat auch scheinbar immernoch niemand verstanden, dass man über einen Dreizeiler in PHP quasi belibige Ports auf der Maschine öffnen und nahezu die gesamte Festplatte leerlutschen kann. Über schlechte Uploadmechanismen oder ein worldwritable Verzeichnis damit die User ihre Avatare fürs Forum hochladen können ist sowas bei schlechter Software leider ratz fatz erledigt.
Ich stelle leider immer wieder fest, dass manche Leute virtuellen Stacheldraht ziehen und Selbstschussanlagen installieren, aber final jeden Tag den Tag der offenen Tür feiern.
Wenn nur ein paar mehr Leute einige grundlegende Tipps beherzigen würden, dann hätten wir alle ein deutlich einfacheres Leben.
)