Server absichern / Dienste updaten

[gopha]

Nachdem ich ja die Probleme mit dem Rootkit hatte :/ , wurde / wird der Server heute neu aufgesetzt. Anstatt Suse 7.3 kommt nun Suse 8.1 drauf.

Damit so etwas nicht wieder vorkommt, wollte ich nun stärker auf Updates etc. achten.

Dazu hätte ich ein paar Fragen:

1. Welches ist das sicherste FTP Programm (+ welche Version) ?

2. Welches ist die sicherste SSH Version ? Und was muss ich bei einem Update beachten, damit ich nicht auf einmal ohne SSH Zugriff dastehe ? =)

3. Welches ist die sicherste OIdentd Version ?

4. Ich hab mal nen Server gesehen, auf dem man sich erstmal als User einloggen muss, um danach per su nach root zu wechseln. Wie kann ich das auf meinem Server einrichten ?

5.Ich benötige eigentlich nur FTP, SSH, psybnc, [o]identd, und cronjobs. Die ganzen restlichen Dienste brauche ich nicht. Welche kann ich entfernenm und wie kann ich diese dauerhaft entfernen, also nicht das diese wieder nachdem booten da sind ;)

6. Welche Kernelversion würdet ihr empfehlen ? Ich wollte 2.4.20-grsec verwenden.

Danke schonmal :)

[captaincrunch]

1. Welches ist das sicherste FTP Programm (+ welche Version) ?

Falls du den FTP-Daemon meinst, würde ich dir vsftpd sehr ans Herz legen. Die Versionen, die SuSE beeinhaltet sollten für deine Belange bei weitem reichen.

2. Welches ist die sicherste SSH Version ? Und was muss ich bei einem Update beachten, damit ich nicht auf einmal ohne SSH Zugriff dastehe ? =)

Die aktuellste, die bei SuSE dabei ist (bzw. bei den Updates enthalten ist). Für das Update solltest du auf der Shell eingeloggt bleiben, auch ein restart des sshd schmeißt die Session nicht weg.
Danach solltest du probieren, dich ein zweites Mal einzuloggen, wenn's klappt : Herzlichen Glückwunsch, wenn nicht, kannst du den Fehler immer noch mit dem ersten Login fixen.

3. Welches ist die sicherste OIdentd Version ?

Die, die bei den SuSE-Updates dabei ist ... ich denke, du erkennst langsam eine gewisse Regelmäßigkeit ?!?

4. Ich hab mal nen Server gesehen, auf dem man sich erstmal als User einloggen muss, um danach per su nach root zu wechseln. Wie kann ich das auf meinem Server einrichten ?

PermitRootLogin in der /etc/ssh/sshd_config auf No

6. Welche Kernelversion würdet ihr empfehlen ? Ich wollte 2.4.20-grsec verwenden.

Gerade als Rootkit-gebrannter solltest du eigentlich eher einen monolithischen Kernel bevorzugen. Dann ist es auch relativ egal, ob du GRSecuriry drauf hast oder nicht (OK, es bietet natürlich den einen oder anderen Vorteil).

[gopha]

Hehe Ok :-)

Noch eine Frage: Was ist ein monolithischer Kernel ?

[sascha]

Einer ohne Modulsupport.

[gopha]

So, hab jetzt den Server soweit eingerichtet ;)

Es laufen folgende von aussen "zugängliche" Dienste:

- pure-ftpd 1.0.14
- openSSH 3.5p1
- oidentd 2.07

sowie Prozesse auf den Ports 25, 110, 111 (zu welchen Programmen gehören diese?).

Sind die oben genannten Dienste soweit "up-to-date" ?

Auf den jeweilgen Websiten konnte ich keine neuen Dienste finden, bzw es waren keine Sicherheitslücken die in den neuen Version gefixt wurden.

Danke schonmal.

[alexander newald]

6. Welche Kernelversion würdet ihr empfehlen ? Ich wollte 2.4.20-grsec verwenden.

Gerade als Rootkit-gebrannter solltest du eigentlich eher einen monolithischen Kernel bevorzugen. Dann ist es auch relativ egal, ob du GRSecuriry drauf hast oder nicht (OK, es bietet natürlich den einen oder anderen Vorteil).

Schliesst sich nicht aus. grsecurity würde ich immer empfehlen.

[dea]

Und abgesehen lassen sich aktuelle LKM-Kits nicht durch monolithische Kernel abhalten (s.a. SuckIT).

Ein gutes (!) HIDS/FSI-Tool ist immer zu empfehlen. Allerdings setzt dessen Einsatz zwingend (!) voraus,dass Du Dich intensiv mit der Materie beschäftigt hast - sonst bist Du innerhalb kürzester Zeit auf einem Stand, der das HIDS als unnötigen Ballast erscheinen lässt ...

[olaf.dietsche]

sowie Prozesse auf den Ports 25, 110, 111 (zu welchen Programmen gehören diese?).

Code: Select all

grep -w -e 25 -e 110 -e 111 /etc/services
smtp            25/tcp          mail
pop3            110/tcp         pop-3           # POP version 3
pop3            110/udp         pop-3
sunrpc          111/tcp         portmapper      # RPC 4.0 portmapper TCP
sunrpc          111/udp         portmapper      # RPC 4.0 portmapper UDP

Wenn du weder NFS noch NIS laufen hast, dann solltest du den portmapper deaktivieren.

[gopha]

Was ist NFS, bzw NIS ?

Und mein zweites Problem ist, ich finde weder unter top, noch unter ps aux irgendwelche Programme die etwas mit Mail etc zu tun haben.

Wie kann ich nun die Dienste stmp und pop3 (dauerhaft) deaktivieren, da ich Mail nicht benötige.

[floschi]

Kommt drauf an ;)

Verwendest du inetd, xinetd oder laufen die als Daemons?

Daemons: Einfach stoppen

(x)inetd: In der jeweiligen /etc/(x)inetd.conf auskommentieren und den (x)inetd restarten.