Wir haben unseren neuen Server mit folgenden scripten ausgestattet,
denkt ihr das macht Sinn bzw fehlt noch etwas wichtiges? (www,mysql,mail Server)
1. ssh Port geändert -> login Versuche um 100% reduziert
2. logfiles regelmäßig auf ssh und ftp logins bzw versuche durchsuchen und per Mail senden
3. /etc Checksumme, Groesse, Zeit, Mode, Besitzer regelmäßig kontrollieren und bei Änderungen per Mail senden
4. regelmäßig auf neue debian Updates prüfen und per Mail senden
5. tägliches Backup aller www,mysql,mail Daten
Punkt 2-5 wird einmal pro Tag mit Bestätigungsmail gestartet um zu sehen das die Scripte einwandfrei arbeiten.
mfG
debian inside
security scripte
Re: security scripte
Sicherheitsscripte wie mod_security und mod_evasive sind bestimmt auch nicht falsch, soweit diese bei dir noch nicht eingebunden sind. Außerdem hört sich Portknocking auch recht interessant an, falls du deinen SSH-Port noch besser "verstecken" oder nur für dich zugänglich machen willst. Gleichzeitig umgehst du die unschöne Lösung, den Port für SSH zu ändern 
Re: security scripte
hi darf man das script für punktdebian inside wrote:Wir haben unseren neuen Server mit folgenden scripten ausgestattet,
denkt ihr das macht Sinn bzw fehlt noch etwas wichtiges? (www,mysql,mail Server)
1. ssh Port geändert -> login Versuche um 100% reduziert
2. logfiles regelmäßig auf ssh und ftp logins bzw versuche durchsuchen und per Mail senden
3. /etc Checksumme, Groesse, Zeit, Mode, Besitzer regelmäßig kontrollieren und bei Änderungen per Mail senden
4. regelmäßig auf neue debian Updates prüfen und per Mail senden
5. tägliches Backup aller www,mysql,mail Daten
Punkt 2-5 wird einmal pro Tag mit Bestätigungsmail gestartet um zu sehen das die Scripte einwandfrei arbeiten.
mfG
debian inside
2-4 mal sehen bzw haben ? das interessier mich selber auch sehr
Re: security scripte
Zu 2: LogWatch dürfte das können.hi darf man das script für punkt 2-4 mal sehen bzw haben ?
Zu 3: Wurde hier an der Uni mit Tripwire umgesetzt.
Zu 4: debian-security-announce abonnieren :)
-
ronmoeller
- Posts: 4
- Joined: 2006-04-10 09:27
Re: security scripte
warum postet ihr die scripte nicht ?
ist das geheim ?
wozu dann der threat ?
ist das geheim ?
wozu dann der threat ?
Re: security scripte
nicht so ungeduldigronmoeller wrote:warum postet ihr die scripte nicht ?
ist das geheim ?
wozu dann der threat ?
Die Frage war ja nicht mal einen halben Tag als.
Mich würde aber auch interessieren wie es umgesetzt wurde. :-D
-
debian inside
- Posts: 65
- Joined: 2003-01-30 22:46
Re: security scripte
2:
-die betroffenen logs mit grep nach den jeweiligen einträgen durchsuchen
-mit diff und einem bestehendem file vergleichen ob neue (unterschiede) hinzugekommen sind
-die neuen mit mailx senden und in die datei zum vergleichen schreiben
3:
-mit find alle dateien aus dem zu überwachenden verzeichniss auflisten
-mit cksum prüfsumme und größe der dateiliste in eine datei umleiten
-mit ls rechte, zeit, benutzer,... der dateiliste in die datei umleiten
-der dateiname der kontrolldatei sollte eindeutig für den gesamten verzeichnissbaum sein (zbsp alle "/" durch "_" ersetzen "_etc")
-mit diff kontrolldatei und aktuellen ergebnissen auf unterschiede vergleichen, wobei es sinn macht die ausgaben zu sortieren damit die reihenfolge gleich ist
-unterschiede mit mailx senden
4:
-kontrolldatei in der die ausgabe von apt-get dist-upgrade steht wenn keine updates verfügbar sind
-apt-get dist-upgrade -s ausgabe mit der kontrolldatei vergleichen (diff)
-bei unterschieden mit mailx senden
punkt 3 wurde aus anregung vom buch "shell skript programmierung" von patrick ditchen erstellt
ich hoffe es ist mir niemand böse das ich nicht alles komplett angehängt hab, ich möchte die verzeichnissstrukturen die teilweise daraus ersichtlich wären nicht veröffentlichen, auserdem ist alles mit wenig zeitaufwand zu rekonstruieren bzw steh ich auch gerne für rückfragen zur verfügung
mfG
debian inside
-die betroffenen logs mit grep nach den jeweiligen einträgen durchsuchen
-mit diff und einem bestehendem file vergleichen ob neue (unterschiede) hinzugekommen sind
-die neuen mit mailx senden und in die datei zum vergleichen schreiben
3:
-mit find alle dateien aus dem zu überwachenden verzeichniss auflisten
-mit cksum prüfsumme und größe der dateiliste in eine datei umleiten
-mit ls rechte, zeit, benutzer,... der dateiliste in die datei umleiten
-der dateiname der kontrolldatei sollte eindeutig für den gesamten verzeichnissbaum sein (zbsp alle "/" durch "_" ersetzen "_etc")
-mit diff kontrolldatei und aktuellen ergebnissen auf unterschiede vergleichen, wobei es sinn macht die ausgaben zu sortieren damit die reihenfolge gleich ist
-unterschiede mit mailx senden
4:
-kontrolldatei in der die ausgabe von apt-get dist-upgrade steht wenn keine updates verfügbar sind
-apt-get dist-upgrade -s ausgabe mit der kontrolldatei vergleichen (diff)
-bei unterschieden mit mailx senden
punkt 3 wurde aus anregung vom buch "shell skript programmierung" von patrick ditchen erstellt
ich hoffe es ist mir niemand böse das ich nicht alles komplett angehängt hab, ich möchte die verzeichnissstrukturen die teilweise daraus ersichtlich wären nicht veröffentlichen, auserdem ist alles mit wenig zeitaufwand zu rekonstruieren bzw steh ich auch gerne für rückfragen zur verfügung
mfG
debian inside
Re: security scripte
Für Punkt 4 gibt es cron-apt - da ist nicht mehr viel zu konfigurieren.
Das läuft bei mir auch und lädt schonmal die Pakete im Hintergrund herunter, sodaß ein manuelles aptitude update in wenigen Sekunden durchgelaufen ist.
Punkt 2/3 könnten auch mit aide/tripwire/tiger erledigt werden.
Das läuft bei mir auch und lädt schonmal die Pakete im Hintergrund herunter, sodaß ein manuelles aptitude update in wenigen Sekunden durchgelaufen ist.
Punkt 2/3 könnten auch mit aide/tripwire/tiger erledigt werden.
-
debian inside
- Posts: 65
- Joined: 2003-01-30 22:46
Re: security scripte
ich habs lieber selbst gemacht
vor allem hab ich dadurch nicht unnötig viele programme installiert die wiederum fehler haben können und sind 100% überschaubar und schnell erweiterbar
aber ist sicher geschmackssache
vor allem hab ich dadurch nicht unnötig viele programme installiert die wiederum fehler haben können und sind 100% überschaubar und schnell erweiterbar
aber ist sicher geschmackssache
-
killerhorse
- Posts: 78
- Joined: 2004-06-16 03:33
Re: security scripte
Hallo,
Zu Punkt 3: Warum überprüfst Du nur /etc? Wird ein Angreiffer nicht als erstes die Standardprogramme wie ls, cat, grep, tail, rm, mv touch, usw... versuchen zu manipulieren?
Weiters ist ein einfaches Script, das die Prüfsummen erstellt ebenfalls leicht zu manipulieren. Bei z.B. Tripwire wird meines Wissens so ziehmlich alle verschlüsselt gespeichert. Einen Tripwirereport zu fälschen ist ziehmlich schwierig, angeblich wird es, wenn man ein oder zwei Files mit falscher Prüfsumme bestehen lässt noch schwieriger diesen zu fälschen!
Was ich noch vermisse ist z.B. rkhunter oder ähnliches.
MfG
Christian
Zu Punkt 3: Warum überprüfst Du nur /etc? Wird ein Angreiffer nicht als erstes die Standardprogramme wie ls, cat, grep, tail, rm, mv touch, usw... versuchen zu manipulieren?
Weiters ist ein einfaches Script, das die Prüfsummen erstellt ebenfalls leicht zu manipulieren. Bei z.B. Tripwire wird meines Wissens so ziehmlich alle verschlüsselt gespeichert. Einen Tripwirereport zu fälschen ist ziehmlich schwierig, angeblich wird es, wenn man ein oder zwei Files mit falscher Prüfsumme bestehen lässt noch schwieriger diesen zu fälschen!
Was ich noch vermisse ist z.B. rkhunter oder ähnliches.
MfG
Christian