Such ein Tut. für die sichere Administraton von root-Server

[BlackEye]

Hallo!

Ich weiss, dass diese Art von 'billigen' Fragen hier nicht erwünscht sind. Aber da ihr nun mal die Profis seid, hoffe ich eine Antwort zu bekommen.
Ich bin für die Administration von zwei root-Server zuständig und obendrein damit auch total allein (kennt sich sonst niemand außer mir damit aus - was nicht heißen soll, dass ich mich für nen Adminking halte. Ich versuche nach bestem Wissen und Gewissen zu handeln. Wobei ich schon firm mit dem Umgang mit Linux bin). Wir (unsere Firma) stellt (unter anderem) Webhostingdienste für unsere Kunden zur Verfügung. Dabei dreht es sich allerdings nur um persönlich betreute Kunden. Also keine 'Laufkundschaft' oder wie man soetwas nennen will. Will sagen: Wir kennen jeden und die Pages, welche wir ja hosten, haben wir auch selbst erstellt.

Nun will ich schon einen sicheren Server haben, der nicht für irgendwelche Zwecke Mißbraucht werden kann. Da ich aber auch nicht 24/7 nur 'Admin' spielen kann (hab noch andere Aufgaben) wollte ich mich eben mit der 'groben' Absicherung zufrieden geben. Sprich (um mal ein paar Schlagwörter zu nennen):

• Postfix mit SASL
• qpopper mit ssl
• Apache mit suexec und suphp

Nun, wenn ich hier in diesem Foraum gerade so quer lese, kommt man ja vom hundersten ins tausendste. Sprich (vorneweg: gcc brauch ich, da Gentoo):

• rsbac
• wget und gcc <- potenzielle Gefahr!?
• grsecurity
• SELinux
• usw, etc. pp

Eine Frage, die mir einfach aufkommt ist: Wie sicher sollte mein Server in meinem Fall werden? Reichen meine momentanen Konfigurationen aus? Oder bin ich hier das allseits geliebte Scheunentor mit Hinweisschild: 'Bitte hier entlang, alle willkommen'?
Und vor allem meine Hauptfrage: Kann mir mal einer von euch Profis hier eine url oder auch ein Buch nennen, womit ich mich diesbezüglich einfach beschäftigen kann/soll/muss/'dringend muss'? Wäre euch da echt sehr dankbar!

Hoffe, dieses Topic war nicht zu tief :)

Gruß,
Martin

[floschi]

Und was genau ist nun deine Frage?

Wie sicher du deinen Server konfigurieren sollst, kann ich dir nicht beantworten, das kannst du nur selbst.

Ich versuche immer, bei meinen (die allesamt absolut unkritische Aufgaben erfüllen) ein ausgewogenes Verhältnis zwischen Zeit und Sicherheit zu finden, da ich am Tag max. 2 Stunden nachts mich damit beschäftigen kann, am WE mehr.

Viel mehr sorge ich mich da um Hardwareausfälle, denn auf die kann ich mich nicht weiter vorbereiten...

Olfi ;)

[darkman]

Hallo,

ohne Dir oder Deiner Firma zu nahe treten zu wollen, aber ich persoenlich
halte nicht viel von solchen 'Firmen'. Wenn man Hostingangebote anbieten
moechte, sollte man entsprechendes Knowhow und Manpower fuer soetwas
haben. Ich weiss das diese tollen Hoster da draussen es einem sehr einfach
machen, selber "Hoster" zu spielen, leider haben die wenigsten wirklich genug
Background um sowas richtig durchzuziehen. Trotz alle dem gibt es noch
alternativen: Shared Hosting Angebote direkt bei den Providern, Managed
Server etc. etc.

Ums kurz zu machen: fuer euren Fall gibts IMHO eigentlich nur folgende
Loesungen: jemanden Einstellen (Freelancer oder so) der sich damit auskennt
und das noetige Wissen vermitteln kann, Strukturen schaffen etc. oder sich
auf die o.g. Angebote ausrichten. Sich solche Sachen 'ergooglen' und in Howtos
zusammensuchen ist fuer den Privaten Server vielleicht(!) noch aussreichend,
aber nicht wenn man sich damit im Professionellen Rahmen bewegen will.
Da brauchts dann noch Erfahrung etc., oder was machst Du wenn nix mehr
geht? Auch im Forum Fragen ob jemand weiss was dann zu tun ist? ;)

So long,
Darkman

[BlackEye]

[...] jemanden Einstellen (Freelancer oder so) der sich damit auskennt
und das noetige Wissen vermitteln kann, Strukturen schaffen etc. oder sich
auf die o.g. Angebote ausrichten. Sich solche Sachen 'ergooglen' und in Howtos
zusammensuchen ist fuer den Privaten Server vielleicht(!) noch aussreichend,
aber nicht wenn man sich damit im Professionellen Rahmen bewegen will.
Da brauchts dann noch Erfahrung etc.

Hm, vielleicht hab ich mich auch nicht gut ausgedrückt.
Wie wird man denn ein erfahrener Admin, wenn man keine 'Anleitung' bekommt. Sonst entsteht ein typisches Henne-Ei Problem. Ich _WILL_ mich ja damit befassen und such einfach einen sachkundigen Einstieg in diese Thematik. Einstieg ist vielleicht auch schon wieder zu 'einfach' ausgedrückt und bietet eine Angriffsfläche für 'wenn Du keine Ahnung hast, lass es'-Themen, was ich ja vermeiden mag. Ich will hier ja kein 'mal eben xyz installieren und los gehts'-Howto. Ich will mich einfach weiterbilden (Unterscheidung zwischen weiter- und fortbilden) und suche entsprechende Einstiegsquellen.
Mein Anliegen ist eine Info von euch, was man sich zu gemüte führen sollte, um auf dem laufenden zu sein und Infos zu sammeln.

[...] ich persoenlich
halte nicht viel von solchen 'Firmen'. Wenn man Hostingangebote anbieten
moechte, sollte man entsprechendes Knowhow und Manpower fuer soetwas
haben

Wir bieten wie gesagt Hostingangebote für unsere Kunden an. Kunden sind bei uns Firmen, mit denen wir engeren Kontakt pflegen. Wir haben keine Kunden, die mal eben ein Hostingpaket bei uns bestellen können. Die Dinge, die bei uns auf den Server kommen, kommen in diesem Fall von uns selbst.
Der Hintergrund ist einfach der, dass wir neben Internetlösungen eigentlich Hauptgebietsmässig Intranetlösungen für Autohändler anbieten. Also Lagerabwicklung, Fibu usw... Dieses Programm bietet auch Kommunikation überreginal an, was einen vorhandenen Internet-Server vorraus setzt. Und da komme ich ins Spiel. Ich bin eben Derjenige, der diesen Server administriert. Da dieser Server noch spezielle Dienste erweisen muss, entfällt das mit dem Hostingpaket von anderen Firmen nehmen einfach. Und da ich ja, wie ich schon tippte, kein Scheunentor betreiben will, WILL ich mich ja mit diese Thematik auseinander setzen. Und deswegen die Frage nach einem Buch oder url für einen groben Ã?berblick zur echten Administration. Wenn es halt soetwas gibt :)

Gruß,
Martin

[captaincrunch]

Wie bereits gesagt: ein pauschales "dreh an Rädchen X und leg Hebel A um, dann ist die Kiste sicher" wird's definitiv nie geben (ich weiß, ich wiederhole mich).
Wie "sicher" du die Kiste machst hängt wie bereits gesagt eher von einer "Kosten- / Nutzenrechnung" ab. Ist es (umgerechnet) X Stunden deiner Arbeit wert, wenn die Kiste geknackt wurde, und du Y Stunden brauchst, um die Kiste neu aufzusetzen und das Backup zurückzuspielen?

Natürlich kann man den Server zum "Hochsicherheitstrakt" machen...für mich beispielsweise ist genau das eine der "Spielereien", an denen ich tierisch Spaß habe. Ob das jetzt aber auch auf deinen/euren Server zutrifft, vermag hier niemand zu sagen.

Einen kleinen Einstieg findest du z.B. unter http://www.linuxsecurity.com/docs/QuickRefCard.pdf . Auch sonst ist die Seite recht nett, wenn es um solche Themen geht.

Vielleicht jetzt noch als kleiner Tip in direktem Bezug auf dich: sofern du auf Gentoo Hardened setzt, regelmäßig die Updates emergest, und keine ganz groben Schnitzer bei der Konfiguration machst, bist du damit schon auf einer recht sicheren Seite, die Jungs wissen schon, was sie tun und bringen auch eine dementsprechend gute Distri unter's Volk..

[adjustman]

...sofern du auf Gentoo Hardened setzt, regelmäßig die Updates emergest, und keine ganz groben Schnitzer bei der Konfiguration machst, bist du damit schon auf einer recht sicheren Seite..

Soll das bedeuten, dass Debian (u.a.) nicht so sicher ist? Dass das das sicherste System ist?

[tomek]

Jedes System ist grundsätzlich nur so sicher wie der Benutzer es installiert/einstellt/wartet.

[adjustman]

Jedes System ist grundsätzlich nur so sicher wie der Benutzer es installiert/einstellt/wartet.

ja, das ist klar Es bezog sich NUR auf obige Aussage

[captaincrunch]

Soll das bedeuten, dass Debian (u.a.) nicht so sicher ist?

Jein. Pauschale Aussagen sind auch hier nicht möglich. Der große Vorteil von Gentoo Hardened ist nun einmal unbestreitbar, dass fast sämtliche Binaries durch die speziellen Compilerflags und den speziellen Kernel "by default" besser vor Buffer Overflows geschützt sind. Selbiges lässt sich aber auch unter Debian durchexerzieren, siehe Adamantix.

Auf der anderen Seite kannst du dir aber auch das (im Hintergrund) "sicherste" System einrichten, es aber durch besch... Konfiguration wieder so offen wie ein Scheunentor stehen lassen.

[BlackEye]

okay danke Leute. Das war das, was ich wissen wollte!

Danke und Gruß

[dodolin]

Und vor allem meine Hauptfrage: Kann mir mal einer von euch Profis hier eine url oder auch ein Buch nennen, womit ich mich diesbezüglich einfach beschäftigen kann/soll/muss/'dringend muss'?

Ok, _eine_ URL: http://www.rootforum.org/forum/viewforum.php?f=9
Und dann alles, was oben gepinnt ist.

HTH.