Wie habt ihr den Server abgesichert

[chris76]

Tach

mich würde interessieren wie ihr euren Server abgesichert habt (Dienste deaktiviert oder mit iptables oder ipchain gearbeitet) und was für erfahrungen ihr damit gemacht habt.

Danke

Ciao Christian

[sfeni]

Erstmal debian drauf und nur das eingrichtet, was man brauch.
Das wäre bei mir:
sshd
Apache
Apache-SSL
Bind
MySQL
qmail
proftpd

[dodolin]

mich würde interessieren wie ihr euren Server abgesichert habt (Dienste deaktiviert oder mit iptables oder ipchain gearbeitet) und was für erfahrungen ihr damit gemacht habt.

Dienste deaktiviert bzw. erst gar nicht installiert oder deinstalliert. Dann natürlich die vorhandenen Dienst gut (tm) konfigurieren. iptables/ipchains benötige ich nicht zur Absicherung, höchstens zum Trafficmessen.

Erfahrungen: Mein Home-Rechner läuft dieser Art schon mehrere Jahre im 24x7h Dauer-Online-Betrieb und wurde noch nie gecrackt. Meinen Rootserver habe ich erst seit kurzem, der wurde aber auch noch nie gecrackt.

[chris76]

Tja ich habe bei mir nur die nötigsten Dienste am laufen. wie bekomme ich dann raus das ich sie gut genug gesichert habe, ?

Ich weiß halt nicht ob ich mit ipchain noch was sichern soll oder ob es einfach genügt die Dienste zu minimieren und zu sichern. (beim sichern stellt sich mir nur noch die Frage - WIE?)

Ciao Christian

[captaincrunch]

Ein guter Anfang ist ein Portscan auf deinen Rechner, anhand dessen du sehen kannst, welche Ports überhaupt offen sind.

[chris76]

@ CaptainCrunch
Wie würdest du den durchführen? mit welchem tool?

Ciao Christian

[captaincrunch]

http://insecure.org/nmap/

[firefox747]

nmap ist da ganz hilfreich

[sascha]

Siehe Dodolin ;)

[mstuebner]

Ein guter Anfang ist ein Portscan auf deinen Rechner, anhand dessen du sehen kannst, welche Ports überhaupt offen sind.

Sicher, aber die Antwort auf:

Tja ich habe bei mir nur die nötigsten Dienste am laufen. wie bekomme ich dann raus das ich sie gut genug gesichert habe, ?

Fände ich auch sehr interessant. Denn zu sehen dass ein Port offen/zu ist ist das Eine, aber wenn dort ein Dienst läuft der das auch soll, wie weis man ob der "richtig" und "sicher" konfiguriert ist?

[dodolin]

aber wenn dort ein Dienst läuft der das auch soll, wie weis man ob der "richtig" und "sicher" konfiguriert ist?

Dafür gibt es keinen Automatismus oder konkrete Vorgehensweisen. Das weiß man, wenn man die Doku (Manual, FAQ, README, etc. pp.) gelesen hat, die Konfigurationsdateien komplett durchgegangen ist und genau weiß, was jede einzelne Direktive darin bewirkt. Bei vielen Diensten gibt es auch spezielle Doku-Abschnitte zu Sicherheit (z.B. Apache).

[mstuebner]

Dafür gibt es keinen Automatismus oder konkrete Vorgehensweisen. Das weiß man, wenn man die Doku (Manual, FAQ, README, etc. pp.) gelesen hat, die Konfigurationsdateien komplett durchgegangen ist und genau weiß, was jede einzelne Direktive darin bewirkt. Bei vielen Diensten gibt es auch spezielle Doku-Abschnitte zu Sicherheit (z.B. Apache).

Wenn es so einfach wäre, wär es ja fast langweilig. Diverse Effekte ergeben sich doch erst aus der Kombination verschiedener Konfigurationen, z.B. Apache, PHP, Rechte im Filesystem.

Sicher kann es keine Automatismen hierfür geben, aber eine Diskussion über den gedanklichen Ansatz und die Auswirkung der verschiedenen Ansätze fänd ich sehr interessant.

[captaincrunch]

Sicher kann es keine Automatismen hierfür geben, aber eine Diskussion über den gedanklichen Ansatz und die Auswirkung der verschiedenen Ansätze fänd ich sehr interessant.

Dir ist aber schon bewusst, dass die Datenbank im Hintergrund nicht unendelich viel Platz hat ? ;)

Mal ernsthaft : natürlich kann man über solche Dinge diskutieren, es hilft wahrscheinlich auch dem einen oder anderen. Zu einem klaren Schluss wird man allerdings nie kommen, da "Sicherheit" immer auf die jeweilige Konfiguration zugeschnitten sein sollte, und schon kleine Ã?nderungen u.U. ein komplett anderes Herangehen an den Punkt "Security" erfordert.

[dodolin]

Sicher kann es keine Automatismen hierfür geben, aber eine Diskussion über den gedanklichen Ansatz und die Auswirkung der verschiedenen Ansätze fänd ich sehr interessant.

Grundsätzlich erst mal ACK zu CaptainCrunch. In der von mir bereits erwähnten Firewall-FAQ heißt es, "Sicherheit ist ein Konzept". Das mal zuerst. Und dieses "Konzept" ist halt nunmal extremst individuell.

Es ist z.B. schon alleine ein himmelweiter Unterschied, ob ich Shelluser habe oder nicht und wie sehr ich meinen Usern vertraue, z.B. ob ich nur gute Kumpels auf meinen Server lasse, die ich auch alle schon lange im RL kenne und denen ich vertraue oder ich jedem wildfremden Menschen z.B. gegen Geld einen Zugang gebe. Usw. usf.

Ein Ansatz wäre z.B. immer erst mal alles verbieten und danach dann genau das individuell freischalten, was benötigt wird. Das wende ich z.B. so häufig wie möglich an.

Ein anderer Ansatz wäre z.B. alles zu erlauben und alles zu verbieten, was halt nicht sein darf. Dass das nicht so geschickt ist, sieht hoffentlich auch der Laie sofort, denn wenn ich hier etwas vergessen habe, ist die Kacke am dampfen, wenn ich in obigem Ansatz was vergessen habe, dann geht halt irgendwas nicht so wie es sollte, aber das ist ja weit weniger schlimm.

[nyxus]

In der von mir bereits erwähnten Firewall-FAQ

kannst Du den Link bitte nochmal posten?

[captaincrunch]

http://www.iks-jena.de/mitarb/lutz/usenet/Firewall.html