Wie mache ich meinen Root Server sicher?

[xxjan]

Hallo,
ich habe jetzt einen 1 und 1 Root Server, weiß aber nicht wie ich den jetzt sicher bekomme und deshalb dacht ich mir ich frage hier mal was ich alles tun sollte um ihn sicher zu bekommen!

Vorab möchte ich mal allen sagen, die jetzt der Meinung sind, so ein Newbie bestellt sich einen Server und hat keine Ahnung und will dann reseller werden! Nein ich habe keinerlei interesse Reseller zu werden! Ich habe den Server um meine eigenen Domains zu verwalten und wollte halt mal ein bisschen mehr als nur PHP programmieren und will mich halt mal bei Linux Servern ein wenig bilden!

So nun zum eigentlcihem:
Ich habe den Server jetzt noch im nacktem zustand und wüßte gerne was ich alles tun sollte damit er nicht von fremden Leuten Missbracht wird! Ich bin da sehr lernfreudig!
Bevor mir jemand weiterhelfen kann wie ich den Server sicher bekomme wollte ihr sicherlich ersteinmal wissen für was ich den Server brauche!
Also ich möchte auf dem Server diverse Homepages verwalten, er sollte mir als Mail Server dienen, FTP sollte natürlich auch gehen und das wars dann auch schon für den Anfang!

Vielen Dank, das ihr schonmal bis hierhin gelesen habt. Ich würde mich sehr freuen wenn ihr mir noch ein paar Zeilen zu meinen Fragen schreiben könntet!


Mit freundlichen Grüßen

Jan Renschin

[dodolin]

"Sicher" ist erst mal relativ. Empfehlenswert ist es, nur die benötigten Dienste zu starten. Das lässt sich vom Rechner selbst z.B. mit netstat und lsof überprüfen und von extern z.B. mit nmap. Dann sollte man die öffentlich angebotenen Dienste ordentlich (tm) konfigurieren und sie regelmässig mit Sicherheitsupdates versorgen. Dazu sollte man Securitylisten abonnieren, um auf dem laufenden zu sein. Häufig verwendet werden hierzu http://cert.uni-stuttgart.de/ und http://www.securityfocus.com/ (bugtraq).

Zudem gibt es hier im Forum unter "Ankündigungen" diverse Linkempfehlungen, bei denen sich ein Besuch lohnt. Ausserdem kannst du hier im Securityforum mitlesen und auch z.B. die Newsgruppen de.comp.security.firewall und de.comp.security.misc abonnieren.

[xxjan]

Danke erstmal für ihre schnelle und ungernervt Antwort bei dieser Frage!
Welche Dienste sind denn für die von mir beschriebenen MLeistungen wichtig und wo kann ich nachlesen wie ich den Rest deaktiviere?

[dodolin]

Ã?hm... falls meine Antwort genervt rüberkam, dann sorry. Das war wirklich nicht beabsichtigt! Ich versuche lediglich, möglichst kurz, knapp und technisch präzise das Wesentliche zu nennen. Manchmal kommt das etwas unfreundlich rüber - ist aber echt nicht so gemeint.

Nach deinen Anforderungen brauchst du also lediglich 3 offene Ports zum Internet: 25 für den MTA (Mailserver), 80 für deinen Webserver und 21 für deinen FTP-Server. Alles andere (z.B. Datenbanken) sollte entweder nur lokal laufen oder noch besser: über Sockets kommunizieren.

Was du deaktivieren musst, findest du mit netstat, lsof und nmap, wie bereits erwähnt. Die man-pages zu diesen Programmen verraten dir, wie sie angewendet werden. Da ich ja nicht weiss, was da sonst noch alles läuft, ist das die einzige sichere Methode, um herauszufinden, welche unnötigen Dienste eventuell noch laufen...

Edit: Wenn du dann weisst, welche unnötigen Dienste noch laufen, dann suchst du am besten in /etc/rc.d/ und deaktivierst diese Dienste. Oder wenn du sie gar nicht brauchst, kannst du sie auch gleich komplett mittels rpm (oder auch yast, aber das kenne ich nicht wirklich...) entfernen.

[kase]

naja, Port 22 brauchst du wohl auch, um mit SSH auf deinen Server zu kommen.

Aber was dodolin gesagt hat, ist schon mal ein guter Anfang. Alle nicht benötigten Dienste dich machen, und die benötigten sehr oft auf Security Updates prüfen. Außerdem musst du natürlich die Dienste, die laufen, auch per Config richtig und sicher konfigurieren, das ist denke ich mal der wichtigste und schwerste Punkt, der sich auch nicht so allg. beantworten lässt.

Des weiteren wäre gut, wenn du dir etwas installierst, um den Traffic "Realtime" zu beobachten, hierfür wäre zB IAM (www.rootforum.org/faq/) sehr gut geeignet.

Des weiteren heißt es, möglichst oft Logs durchzugehen, und nach Angriffen oder Ungereimtheiten suchen, um möglichst früh diverse Sachen zu erkennen.

[[tom]]

Wenn Du Dich traust, kannst Du natürlich auch gleich Debian installieren. Mir (und einigen anderen hier) gefällt es besser als Suse. Aber ich will hier keinen Glaubenskrieg lostreten.

Unter http://www.rootforum.org/faq/index.php? ... =010&id=83 findest Du eine Anleitung dazu. Und unter http://www.rootforum.org/forum/viewtopi ... llationein Installationsscript von CaptainCrunch.

[TOM]

[dodolin]

Ja, Schande über mich! Port 22 hatte ich natürlich vergessen. - Stand aber auch nicht in den Anforderungen...
Bezüglich der Logs wäre auch eine regelmässige Sicherung auf einem anderen Server und gegebenenfalls ein 2. Loghost zu überlegen, der dann in Echtzeit die Logs hätte. Merke: Ein guter (tm) Cracker wird ja schliesslich als erstes versuchen, die Logs so zu manipulieren, dass sein Einbruch nicht auffällt...

Edit: Aber langsam wird's paranoid. Ich höre jetzt besser auf... :)

[xxjan]

Also ich danke mal allen für ihre weisen Tips!

@dodolin:
Deine Antwort hat absolut nicht genervt geklungen, deshalb schrieb ich ja ungenervt!

@ den Rest und dodolin
Vielen Dank für eure ips, ich werde mich da dann mal ran machen und wenn ich Probleme habe hier bei euch mal vorbei schaun! Und wenn ich alles erfolgreich gemacht habe werde ich erst recht vorbei kommen und denen den es noch bevor steht weiterhelfen!

[c14l]

Und das wichtigste:

Schreib ein Fax an Puretec und las deinen maximalen Traffic pro Monat begrenzen. Falls mal was schief geht, damit es dich nicht gleich tausende von â?¬ kostet!

[xxjan]

Ich habe mal unter netstat nachgeschaut und dort jede menge Verbindungen gefunden!

Wieviele sollten denn da normalerweise sein?#

Im Auslieferungszustand

##EDIT

Den Traffic kann ich doch auch in meinem Login Menu festlegen! Dazu muss ich doch kein Fax versenden!

[dodolin]

Je nachdem mit welchen Optionen du netstat aufrufst zeigt der auch bestehende, abgehende, lokale und Socket-Verbindungen an. Interessant sind eigentlich nur die "active Internet Sockets", die auf "listening" stehen. Aber das ist nur aus dem Gedächtnis, da ich gerade kein Linux zur Hand habe (Schande über mich!)...

Das Fax brauchst du definitiv, aber wie das genau ist und wo der Unterschied zum Konfigmenü ist, kann ich dir im Moment mangels Rootservers nicht sagen...

[xxjan]

Schande über mich!
Aber kann mir einer nen gutes iptables HOWTO zum einrichten veraten!

Also im Konfigmenu gibts nen Punkt Kostenlimit und da kann man dann eintragen wie hoch das Limit sein soll! Da steht nix dabei das man noch ein Fax versenden muss!

[kase]

Bei dem Kostenlimit im Configmenü bekommst du lediglich eine Mail bei Ã?berschreitung, der Traffic fließt aber ungehindert weiter und kostet Unmengen Geld.

Wenn du ein FAX hinschickst, schaltet sich dein Rechner ab XX GB ab, dann ist wirklich kein Traffic mehr möglich, allerdings dann auch dein Rechner bis Anfang nächsten Monat tot.

Gerade wenn man nicht soviel Ahnung von all dem hier hat, würde ich unbedingt so ein FAX mit 50 oder 51 GB hinschicken, damit man nicht böse in die Geldfalle läuft.

[dodolin]

iptables howto gesucht...

http://www.iptables.org/documentation/

Code: Select all

man iptables

Aber: Man (tm) soll nicht schlampige Konfigurationen mit iptables schützen wollen. IMHO ist iptables auf einem Rootserver überflüssig.

@Kase: Wusste ich doch, dass sich mit dem Faxen andere besser auskennen! Danke für die Info.

[xxjan]

Ok danke, dann werde ich das mal tun!

Schade das Puretec sowas nicht im Config Menu anbietet! Wäre doch sicherlich nicht viel Arbeit gewesen!

[t-son]

aehm, wieso ist das ueberfluessig?

sorry fuer die noob frage!

Gruss
T-son

edit:
schon selbst gefunden :) Wenn keine Ports offen brauch man auch kein Paketfilter - ist doch einleuchtend oder ;)