Ist mein System sicher?

[Anonymous]

Hallo,

ich hab nun mein Debian System eingerichtet. Nun möchte ich von euch wissen, ob das System ausreichend gegen Angriffe gesichert ist.

Meine Maßnahmen:

shh Port auf einen hohen geändert
root login verboten
einloggen mit Passwort verboten,
fail2ban installiert & eingerichet
nur 1 Nutzer hat das Recht sich auf der Shell einzuloggen (mit Private Key inkl. Paraphrase)
FTP nutzer sind in homeVZ eingesperrt

System wird durch Crontab ständig auf dem neuesten Stand gehalten. Es laufen keine Adminpanels wie Plesk und Co

Was muss ich noch machen um ein "sicheres" System zu haben.

Lg Lukas und danke für eure Antworten.

[gierig]

shh Port auf einen hohen geändert
fail2ban installiert & eingerichet
System wird durch Crontab ständig auf dem neuesten Stand gehalten.

SSH Port veränder erhöht nur die gefühlte Sicherheit und hält höchsten die Logs klein
mit fail2ban kann mann gezielt dafür sorgen das du nicht mher zugreifen kannst.

AutoUpdates sind mitunter etwas heikel.

Aber sonst sieht das erstmal gut aus für den SSH Dienst.
Du solltest dir aber überlegen was mit deinen anderen Diensten ist.

HTTP und die Scripting möglichkeiten wie Perl oder PHP.
Das sind die Einfalltorre nummer eins.

[daemotron]

Bezgl. Basis-System hat gierig eigentlich alles gesagt. Was den Webserver (so Du denn einen betreibst) anbelangt, würde ich folgendes vorschlagen:

• Skriptsprachen (Perl, PHP, Python) per CGI, FastCGI oder WSGI anbinden - auf Systemen mit mehreren "Kunden" Finger weg von mod_php, mod_perl, mod_python & Co.
• Wrapper (suexec, suPHP) verwenden, um (Fast)CGI-Prozesse für jeden virtuellen Host unter einem eigenen User zu starten
• (Fast)CGI-Prozesse in jeweils eigene chroot-Jails für jeden virtuellen Host einsperren
• Kernel mit grsecurity oder RSBAC härten, um besagtes Jail auch ausbruchsicher zu machen
• mod_security in den Apachen einbauen und sinnvoll(!) konfigurieren
• Ein ausgedehntes Monitoring* aufsetzen, das "komisches" Verhalten erkennt und meldet (z. B. Skripte, die Verbindung nach "draußen" aufnehmen, exzessives einkippen von Mails in die Mailserver-Queue, maßlosen Ressourcen-Verzehr, etc).
• Auf keinen Fall automatische Reaktionen (aktive Intrusion Prevention) auf erkannte Einbruchsversuche vorsehen - egal ob auf eingebildete oder tatsächliche. Automatiken haben nämlich die unangenehme Eigenschaft, nur so dumm oder schlau zu sein, wie sie programmiert wurden. Egal wie raffiniert sie sind, wurden sie erst mal entdeckt, sind ihre Reaktionen für einen Angreifer vorhersehbar, und er kann sie für seine eigenen Zwecke einspannen.

* Manche nennen das auch "intrusion detection", aber ich finde, das klingt zu hochtrabend und fasst auch nicht alles, was dazugehört. Es geht schlicht darum, Anomalien rechtzeitig zu bemerken, die den Betrieb des Systems beeinträchtigen können. Dazu gehören neben Angriffen durch Cracker auch verreckende Festplatten, ausgefallene Lüfter, eine überhitzte CPU, ein NIC im falschen Modus, ...

ich hab nun mein Debian System eingerichtet. Nun möchte ich von euch wissen, ob das System ausreichend gegen Angriffe gesichert ist.

Die klare Antwort lautet: das kommt darauf an. Was ist für Dich ausreichend? Du musst immer davon ausgehen, dass Dein System geknackt werden kann, egal was Du Dir an Sicherheitsmaßnahmen einfallen lässt. Die Frage ist nur, wie selten darf das vorkommen oder wie teuer die Gegenmaßnahmen sein (teuer nicht unbedingt im Sinne von Geld, sondern auch in Form von Ressourcen, Arbeitszeit, Betreuungsaufwand, umständliche Handhabung z. B. durch komplizierte Prozeduren, etc.). Letztendlich musst Du für Dein Projekt selbst diese Balance zwischen Kosten und Nutzen von Sicherheitsmaßnahmen abwägen. Dazu gehört aber auch ein intensiverer Blick auf die möglichen Schäden, die bei einem (unbemerkten) Hack entstehen können, von Verdienstausfällen, Regressforderungen aus SLAs bis hin zu Schadenersatzforderungen und Strafzahlungen, weil von Deinem System aus andere Systeme oder die Infrastruktur des Providers in Mitleidenschaft gezogen wurde.

[Anonymous]

Hallo,

erstmal dankeschön für eure Antworten.

Ich betreibe auf meinem Root ein Webserver auf dem aber keine Kunden Zugriff haben. D.h keiner ausser mir legt auf dem gesamten Serverdaten ab.

Da ich einige Gameserver betreife, auf denen leute Zugriff per FTP haben müssen (um Maps usw abzulegen) muss ich noch auf das unsichere FTP Protokoll bauen.

Meine Frage kann ich einstellen dass nur bestimmte Dateitypen auf dem Server abgelegt werden dürfen? Wenn ich jetzt ein neuen Gameserver anlege, erstelle ich einen neuen Benutzer und starte den Gameserver über jenen. Also kann ich ja keine Gefahr laufen, wenn der Kunde Scriptes ablegt. Er kann sie ja nicht ausführen da sie ja nicht im Browser zugänglich sind und auch kein Benutzer shell zugriff hat. oder?

Auf dem Webserver läuft genau ein Teamspeak Webinterface mit einer DB und 5 MB Speicher.

Mehr nicht, -keine öffentlichen Pages. Auf dem Root ist weder eine Domain aufgeschaltet noch werden emails versendet.

Was kann ich auf meinem Webserver sicherer machen? Ich brauch nur php. kein Python CGI und so weiter. Das könnte alles deaktivert werden.

Ein ausgedehntes Monitoring* aufsetzen, das "komisches" Verhalten erkennt und meldet (z. B. Skripte, die Verbindung nach "draußen" aufnehmen, exzessives einkippen von Mails in die Mailserver-Queue, maßlosen Ressourcen-Verzehr, etc).

Kann mir dazu jemand ein TUT oder Tips geben?

Dankeschön

[Roger Wilco]

Kann mir dazu jemand ein TUT oder Tips geben?

http://spenneberg.com/IDS-Buch/197.html