Resources for System-Administrators
https://www.rootforum.org/forum/
Der Ordner IPs (http://buytraff.biz/dl/ips/) enthält ja abartig viele dateien.. was sind das genau für dateien? Jemand eine Ahnung?aubergine wrote:Wenn ich mich auf dem vermeintlich gehackten Server der .biz Domain, so umschaue vorallem den Ordner IP's, dann würd ich hier nicht mehr von Script Kiddies reden...
Ja, oder wie soll die mtime sonst geändert werden können?fun4teen wrote:Wenn bei einer Datei dransteht wann sie zuletzt geändert wurde...lässt sich das irgendwie manipulieren?
Also ich meinte... angenommen der Hacker hat eine datei geändert .. nun wird das Ã?nderungsdatum in der mtime ja auf die aktuelle Uhrzeit gesetzt .. lässt sich vielleicht durch ein Trick an dieser stelle eine andere mtime (in der vergangenheit) eintragen?Joe User wrote:Ja, oder wie soll die mtime sonst geändert werden können?fun4teen wrote:Wenn bei einer Datei dransteht wann sie zuletzt geändert wurde...lässt sich das irgendwie manipulieren?
Zum 2ten Mal: Ja.fun4teen wrote:lässt sich vielleicht durch ein Trick an dieser stelle eine andere mtime (in der vergangenheit) eintragen?
¨Noch schlimmer. Jeder unerfahrene "Admin" wird nur so weit lesen, wie für ihn "angenehm", deshalb sind solche Anleitungen doppelt gefährlich.
Erst sind die Tipps weit über dem Erfahrungslevel der meisten, und zweitens kommen sie auch noch halbherzig an.
Für wen DAS Fachchinesisch ist, der hat als root auf einem Server schlichtweg nix verloren! Punkt, Schluss, Aus!Manarak wrote:Die meisten Tipps und Beiträge sind für Anfänger völlig unbrauchbar weil auf Fachchinesisch verfasst (z.B. "mounte /bla-bla mit dingsbums").
Was würde es einem Debian-User nützen, wenn ich eine derartige step-by-step Anleitung für Gentoo-Hardened veröffentliche, oder umgekehrt? Richtig, nicht viel.Manarak wrote:Aber das ist auch teilweise darauf zurückzuführen, dass so wenige end-to-end und step-by-step Anleitungen existieren, wie man einen Server aufsetzt und absichert.
Ohne Fachterminie geht es in diesem Bereich nunmal nicht. Selbst die "Personal Firewall" von SUSE lässt sich nicht ohne grundlegende Kenntniss der Fachbegriffe vernünftig konfigurieren.Manarak wrote:Die meisten Tipps und Beiträge sind für Anfänger völlig unbrauchbar weil auf Fachchinesisch verfasst (z.B. "mounte /bla-bla mit dingsbums").
Das hängt von der Art und Weise der Fragestellung ab. Spätestens wenn der Fragesteller etwas Eigeninitiative zeigt, wird ihm auch geholfen.Manarak wrote:Nachfragen nach präziserer Anleitung würden auf diesem Forum wahrscheinlich sogar gelöscht werden.
Hmm, nicht vetrauenswürdige 3rd-Party RPMs, joe/mc, notierte Passwörter, PermitRootLogin no mit USEPam yes, sinnfreie aliases in /etc/bashrc, von extern zugänglicher MySQLd mit fehlerhafter Config (set-variable), eine vorgefertigte "Firewall" ohne sinnvolle Aufgabe, sowie unterdrückte Softwareversionen haben mit einem abgesichertem Server wenig bis gar nichts zu tun, im Gegenteil...Manarak wrote:Eine sehr gute Anleitung wie man einen Webserver mit Plesk aufsetzt und absichert befindet sich z.B. hier:
http://www.pleskaddons.com/description. ... _Server/6/
Rund die Hälfte dieser Anleitung kann man auch gut auf andere Systeme anwenden.
Nun ja...Joe hat ja schon auf die Unterschiede hinsichtlich der diversen Distributionen hingewiesen. Ich würde dabei (mal wieder) noch einen Schritt weiter gehen und behaupten, dass sich für diese Dinge schlicht und ergreifend kein Patentrezept finden lassen wird. Die allermeisten Installationen sind nun einmal unterschiedlich.Aber das ist auch teilweise darauf zurückzuführen, dass so wenige end-to-end und step-by-step Anleitungen existieren, wie man einen Server aufsetzt und absichert.
Mit dem stimme ich überein - es geht nicht ohne Fachterminologie, aber es sollte auch nicht NUR Fachterminologie verwendet werden, besonders in Tutorials. Das richtige ist aus meiner Sicht, das richtige Fachwort zu verwenden, gefolgt von dem, was man damit genau gemeint hat, sprich die zugehörigen Befehle.Ohne Fachterminie geht es in diesem Bereich nunmal nicht. Selbst die "Personal Firewall" von SUSE lässt sich nicht ohne grundlegende Kenntniss der Fachbegriffe vernünftig konfigurieren.
Anmerkungen meiner Seite: diejenigen, die solche Tutorials benötigen, sind nicht wirklich in der Lage eine Distribution auszuwählen. Es schadet also nicht wirklich wenn nur Tutorials für die 3-4 meistgebrauchten Distributionen existieren würden.Nun ja...Joe hat ja schon auf die Unterschiede hinsichtlich der diversen Distributionen hingewiesen. Ich würde dabei (mal wieder) noch einen Schritt weiter gehen und behaupten, dass sich für diese Dinge schlicht und ergreifend kein Patentrezept finden lassen wird. Die allermeisten Installationen sind nun einmal unterschiedlich.
Was würde es dir also nützen, wenn ich jetzt einen ellenlangen Text dazu schreibe, wie ich z.B. meinen lighttpd abgesichert habe? Mal ganz davon abgesehen, dass mir alleine hier im Forum einige einfallen würden, die so etwas ohnehin nur ohne jeglichen Sinn und Verstand abtippen würden. Sobald dann auch nur das kleinste Problem auftritt wird dann direkt wieder geschrien...
Warum sollte ich einem HowTo die man-pages zu den verwendeten Befehlen wiederholen?Manarak wrote:Das richtige ist aus meiner Sicht, das richtige Fachwort zu verwenden, gefolgt von dem, was man damit genau gemeint hat, sprich die zugehörigen Befehle.
Ah ja, nur weil der Autor des HowTo einer mir unbekannten Person blind vertraut, soll ich dies ebenfalls? Vertraust Du mir?Manarak wrote:persönlich vertraue ich Scot, bzw. ART - aber Du hast wohl recht, dass das nicht jedermanns Sache ist. Ich habe diese Entscheidung abgewägt und getroffen, da mir Scot vertrauenswürdig scheint.nicht vertrauenswürdige 3rd-Party RPMs:
Unnötige Software hat auf einem Server nichts verloren. vi(m) und/oder pico/nano gehören bei allen mir bekannten Distributionen zum Basissystem.Manarak wrote:dazu möchte ich fragen, was damit nicht stimmt?joe/mc:
Ich habe dafür einen kleinen exklusiv reservierten Bereich im Gehirn. Gekoppelt mit einfachsten assoziative Fähigkeiten reicht das völlig aus ;)Manarak wrote:das Tutorial sagt, es in seinen Notizen zu notieren. Ich habe ein Buch zu hause mit meinen Serverpasswörtern. Ich könnte mir sonst die 15 Spezialzeichen und Zahlen nicht merken. Wie machst Du das?notierte Passwörter:
USEPam hebelt PermitRootLogin aus: man sshd_configManarak wrote:Da würde ich gerne mehr von verstehen - kannst Du erklären, warum das nicht gut ist?PermitRootLogin no mit USEPam yes:
Wie willst Du mit einem alias den Server sicherer machen? Oder habe ich das Thema des HowTo falsch interpretiert?Manarak wrote:Hackst Du da nicht auf Kleinigkeiten rum? Jeder Admin kann ja aliases anlegen wie er will, wenn er sagt es hilft ihm... Ist es denn nicht für den Neuling nützlich zu wissen, dass man das kann?sinnfreie aliases in /etc/bashrc:
Manarak wrote:Das interessiert mich. Die Plesk-Firewall sperrt zwar den mysql-port, aber ich würde gerne wissen, was man in der Konfiguration angeben müsste, damit mysqld vor zugriff von aussen sicher ist. Welche set-variable ist denn fehlerhaft?von extern zugänglicher MySQLd mit fehlerhafter Config (set-variable):
Zur sonstigen Config siehe: http://www.rootforum.org/forum/viewtopic.php?t=36343http://dev.mysql.com/doc/refman/4.1/en/option-files.html wrote: set-variable = var_name=value
Set the program variable var_name to the given value. This is equivalent to --set-variable=var_name=value on the command line. Spaces are allowed around the first â??=â?? character but not around the second. This syntax is deprecated as of MySQL 4.0. See Section 4.3.4, â??Using Options to Set Program Variablesâ? for more information on setting program variables.
Weil eine Firewall vor das zu schützende System gehört und nicht darauf. Zudem sind bei einem Server per se nur gewollte Ports offen, insofern gibt es gar nichts zu schützen.Manarak wrote:"vorgefertigt" ist ja grundsätzlich einmal gut, wenn Sie richtig vorgefertigt wurde, da man dadurch weniger arbeit hat. Aber warum sagst Du, dass sie keine sinnvolle Aufgabe hat?eine (vorgefertigte) "Firewall" ohne sinnvolle Aufgabe:
Unterdrückte oder manipulierte Softwareversionen sind Security by Obscurity aka sinnlos, zudem erschweren sie das Debuggen. Der Teil ab "haben mit..." bezieht sich auf alle genannten Punkte, nicht nur den Letzten...Manarak wrote:Ich übersetze: "unterdrückte Softwareversionen erhöhen das Risiko gehackt zu werden" Wie das?(...) unterdrückte Softwareversionen haben mit einem abgesichertem Server wenig bis gar nichts zu tun, im Gegenteil:
In dem Punkt muß ich dir widersprechen. Ich denke du verwechselst das mit PasswordAuthentication und/oder ChallengeResponseAuthentication. UsePam hat jedenfalls keinen Einfluß auf PermitRootLogin. Zumindest nicht bei "meinem" sshd. ;)Joe User wrote:USEPam hebelt PermitRootLogin aus: man sshd_config
fun4teen wrote:Also ich meinte... angenommen der Hacker hat eine datei geändert .. nun wird das Ã?nderungsdatum in der mtime ja auf die aktuelle Uhrzeit gesetzt .. lässt sich vielleicht durch ein Trick an dieser stelle eine andere mtime (in der vergangenheit) eintragen?
Code: Select all
man 2 utimeCode: Select all
date -s vergangenheit
touch/chmod file
date -s jetzt
Mift, hat er es doch bemerkt :roll:Roger Wilco wrote:In dem Punkt muß ich dir widersprechen.
Die manpages enthalten selten Befehle, die man direkt anwenden kann. Ausserdem fehlen die sinnvollen Optionen. Der Benutzer ist in diesem Stadium noch nicht soweit, dass er sich das alleine zusammenreimen kann.Warum sollte ich einem HowTo die man-pages zu den verwendeten Befehlen wiederholen?
Nun, es sei jedem überlassen, sein Vertrauen demjenigen zu schenken den er will. Ich kenne Dich z.B. nicht, aber etliche andere Admins vertrauen (schwören auf) ART. Such Mal nach AtomicRocketturtle um Dich zu überzeugen. Für meinen Privaten Server reicht es. Klar ist, dass ich damit keinen Bankserver oder sonst was ernstes aufsetzen würde - halt - das würde ich gar nicht Mal selbst tun wollen.Ah ja, nur weil der Autor des HowTo einer mir unbekannten Person blind vertraut, soll ich dies ebenfalls? Vertraust Du mir?
Ok, das ist wieder eine Kleinigkeit, die ich für einen privaten Server für hinnehmbar halte.Unnötige Software hat auf einem Server nichts verloren. vi(m) und/oder pico/nano gehören bei allen mir bekannten Distributionen zum Basissystem.
Hmmm... OK. Wenn man bei privaten Servern das Buch zu hause liegen hat, ist das Risiko aus meiner Sicht ebenfalls hinnehmbar, da daneben auch meine Ordner mit Bankauszügen und auch meine Geburtsurkunde und andere wichtige Papiere stehen.Wenn ich mir sensible Daten (beispielsweise Passworte) nicht merken kann, dann hinterlege ich diese an einem nur mir zugänglichem Ort (Safe).
Das wurde bereits früher im Thread behandelt.USEPam hebelt PermitRootLogin aus: man sshd_config
Das How-To bezieht sich auf (1) einen Server aufsetzen (inkl. Administrationshilfen) UND (2) absichern, was unweigerlich zur Folge hat, dass gewisse Hinweise darin nur Punkt 1 und andere nur Punkt 2 betreffen. Es hat ja keiner behauptet, dass das einrichten von aliases den Server sicherer macht??Wie willst Du mit einem alias den Server sicherer machen? Oder habe ich das Thema des HowTo falsch interpretiert?
OK, die erste Version des How-Tos wurde vor der Einführung von MySQL4 in Plesk geschrieben. Da die veraltete Syntax in MySQL4 aber keine Fehler verursacht, hat man übersehen, dass das How-To mit der neuen Syntax ergänzt werden muss. Hier auch: nicht kritisch.set-variable = var_name=value
This syntax is deprecated as of MySQL 4.0
Bei den 08-15 Rootservern gibt es keine vorgeschaltete Firewall.Weil eine Firewall vor das zu schützende System gehört und nicht darauf. Zudem sind bei einem Server per se nur gewollte Ports offen, insofern gibt es gar nichts zu schützen.
Ok, stufe ich auch als nicht kritisch ein.Unterdrückte oder manipulierte Softwareversionen sind Security by Obscurity aka sinnlos, zudem erschweren sie das Debuggen. Der Teil ab "haben mit..." bezieht sich auf alle genannten Punkte, nicht nur den Letzten...
Wenn der "private Server" nicht an einem öffentlich zugänglichem Netzwerk angeschlossen ist, ja.Manarak wrote:Joe, alles in einem denke ich, dass die von Dir kritisierten Punkte für einen privaten Server hinnehmbar sind.
Dann soll er einem fähigen SysAdmin die Brötchen sichern, alles Andere ist und bleibt grob fahrlässig. Lies Dich mal durch das Security-Forum und unser Archiv, dort findest Du viele Beispiele für die möglichen Folgen Deiner "privaten Server"...Manarak wrote:Der Benutzer ist in diesem Stadium noch nicht soweit, dass er sich das alleine zusammenreimen kann.
dann soll er sich hinsetzen und das Defizit beheben. Was spricht dagegen, daß der User sich die Details selbst erarbeitet wenn ihm der grundsätzliche Weg gezeigt wurde?Manarak wrote:Die manpages enthalten selten Befehle, die man direkt anwenden kann. Ausserdem fehlen die sinnvollen Optionen. Der Benutzer ist in diesem Stadium noch nicht soweit, dass er sich das alleine zusammenreimen kann.
Dann muß man sich bewußt sein daß man ohne Firewall am Netz hängt und dies (außer durch Providerwechsel und höhere Ausgaben) nicht ändern kann. Ein falsches Sicherheitsgefühl durch eine Alibifirewall ist keine Lösung und gehört nicht in ein seriöses HowTo. Sie ist das Gegenteil einer Lösung weil sie dem Abtipp-Admin einredet sein Server wäre gesichert.Bei den 08-15 Rootservern gibt es keine vorgeschaltete Firewall.
Du hast keine Ahnung was das Ding macht, welche Nachteile und Sicherheitsrisiken es möglicherweise für Dich mitbringt, aber Du verwendest es und fühlst Dich sicherer, nur weil "Firewall" draufsteht. Genau das ist das Problem an solchen Standard-Schutzsystemen mit One-Click-Aktivierung.Ich verwende selbst die Plesk Firewall - vielleicht tut die aber nichts anderes als IPtables zu steuern? Weiss ich nicht.
Genau das gleiche Problem: der Abtipp-Admin fühlt sich sicherer obwohl er es nicht ist, im Gegenteil - jeder Möchtegernhacker erkennt an den unterdrückten Softwareversionen daß hier ein Möchtegern-Admin an der Arbeit ist.Ok, stufe ich auch als nicht kritisch ein.Unterdrückte oder manipulierte Softwareversionen sind Security by Obscurity aka sinnlos
Das Problem besteht, wird aber durch "Sicherheit zum Abtippen" nicht gelöst sondern vergrößert.chaosad wrote:Das Problem ist doch aber vielmehr, das sich die User nicht davon abhalten lassen sich einen Server zu holen obwohl sie sich nicht ausreichend mit der Materie beschäftigen möchten.
Sicher mehr als der providerübliche Aufpreis für managed Server.Oder was würdet ihr verlangen um einen Server regelmäßig up2date zu halten und einigermaßen sicher zu machen?
Das gilt nur, wenn man bereits im Visier des Hackers ist.jeder Möchtegernhacker erkennt an den unterdrückten Softwareversionen daß hier ein Möchtegern-Admin an der Arbeit ist.
Halt - geht es hier um Psychologie?Ein falsches Sicherheitsgefühl durch eine Alibifirewall ist keine Lösung und gehört nicht in ein seriöses HowTo. Sie ist das Gegenteil einer Lösung weil sie dem Abtipp-Admin einredet sein Server wäre gesichert.
Zitat:
Ich verwende selbst die Plesk Firewall - vielleicht tut die aber nichts anderes als IPtables zu steuern? Weiss ich nicht.
Du hast keine Ahnung was das Ding macht, welche Nachteile und Sicherheitsrisiken es möglicherweise für Dich mitbringt, aber Du verwendest es und fühlst Dich sicherer, nur weil "Firewall" draufsteht. Genau das ist das Problem an solchen Standard-Schutzsystemen mit One-Click-Aktivierung.
Mit dem stimme ich nicht überein. Denn alle, die einen Rootserver wollen haben heute auch einen - die sind ja so günstig, und sorgen sich nicht viel um Sicherheit.chaosad hat Folgendes geschrieben:
Das Problem ist doch aber vielmehr, das sich die User nicht davon abhalten lassen sich einen Server zu holen obwohl sie sich nicht ausreichend mit der Materie beschäftigen möchten.
Das Problem besteht, wird aber durch "Sicherheit zum Abtippen" nicht gelöst sondern vergrößert.
wühl Dich mal durch das Forum, dann wirst Du sehen, daß Du die Namensliste noch ein paar Mal verlängern mußt. :oops:Manarak wrote:Ich glaube, die Herren User und Wgot kämpfen mit extremen Ansichten auf verlorenem Posten.
Daß deren Handeln umsatzorientiert ist brauchen wir wohl nicht zu diskutieren.... Anbieter von Rootservern ...
Was vorinstallieren? Tools und Einstellungen die nur das Sicherheitsgefühl aber nicht die Sicherheit erhöhen? Wo siehst Du da einen Vorteil (außer für den Umsatz)?Meiner Ansicht nach sollten Anbieter von Rootservern die Option anbieten, das alles vorzuinstallieren, samt Anleitung wie man es danach pflegt.