Allgemeine Sicherheitsvorkerungen bei einem (root)Server

[seb]

Nabend, (ich versuch mich kurz zu halten)

Mein Server hat jetzt alles was ich benötige...

jetzt will ich ihn so weit wie möglich "sicher" abschotten ("ziehn stecker raus" könnter euch sparen :p )

mich würd interessieren was ihr macht um eure Kiste'n abzusichern...
im Grunde kann man ja sagen

- Nur das laufen lassen was auch benötigt wird
- Programme und System aktuell halten
- was geht noch?

SSH einstellen das man nicht mehr unter root direkt einloggen kann, nurnoch als normaler Nutzer mit su/sudo root rechte erlangen...

Firewall verwenden? einige meinen ja, andere nein, muss jeder für sich entscheiden...

ich benutze z.b. webmin und habe bei der IP-Zugriffskontrolle meinen hostnamen den ich von meinem ISP Provider bekomme eingetragen, dadurch können nurnoch Benutzer anmelden die bei dem selben Provider sind wie ich das schliesst erstmal International ne menge aus... das würde ich gerne auch bei dem System machen, soweit meine erinnerung mich trübt waren das /etc/hosts.allow und /etc/hosts.deny ?

es gibt Seiten im netz die ellenlang sind aber am Ende wars 99,9% nur sinnlos gelabert.

Ich hab jetzt noch nicht iptables benutzt, wills aber... nur muss mich da auch erst einarbeiten... bin für links dankbar!

Also, was nutzt ihr um eure Server sicher zu machen?
(Bitte nicht mit diskussionen anfangen was was wie wo besser ist oder sinnlos oder... es ist sinnvoller einfacher zu sagen was man selber verwendet/benutzt, im normalfall steht man hinter dem was man benutzt)

[Joe User]

Wirf mal einen Blick ins Archiv, dort gibt es ausreichend Informationen...

[encbladexp]

Google mal nach grsecurity, LIDS, PaX, selinux usw..

mfg Betz Stefan

[seb]

bin grad auf meinem gentoo und suche auf meinem server mit nmap nach programmen... also welche gerade laufen... offene ports...

da dies recht lange dauert... dacht ich mir ich post mal eben ^^

also grsecurity, LIDS sind ja soweid ich erkennen konnte, Security "patches" um besseren sicheren Kernel zu bekommen...

und im Archiv sind nur insgesamt 4 Seiten die ich durchgegangen bin und mal alles geöffnet habe was mit Sicherheit zu tuen hat... bzw was interessant kling... da es gestern Abend schon recht spät wurde *g* hab ich auch nicht alles behalten können... einfach zuviel Informationen ;)

was ich behalten habe, firewall macht doch nich viel sinn... aber ich weiß auch nicht mehr genau warum... daher bin ich schonwieder am zweifeln un will doch eine machen ^^ *lol*

ich werd aufjedenfall noch SSH über die rsa-keys oder wie das hieß machen... aber dennoch bin ich noch absolut unsicher...

ich will einfach dem Angreifer so wenig Ziele geben wie es geht und es ihm soweit es geht Schwer machen...

ich mein im grunde isses ja wirklich nur, das nötigste laufen lassen, und das was läuft richtig einstellen... aktuell halten und fertig. aber irgendwo irgendwas hat man evt. übersehen oder es ist noch n hintertürchen da... und schwubs...

am liebsten würde ich ja selbst mal versuchen mein eigenen server zu "hacken" um die sicherheit noch weiter zu maximieren... doch davon hab ich null ahnung... naja mal sehen...

wenn irgendwer tipps geben mag, was man noch tuen könnte... oder links... immer willkommen!

[timeless2]

ich mein im grunde isses ja wirklich nur, das nötigste laufen lassen, und das was läuft richtig einstellen... aktuell halten und fertig. aber irgendwo irgendwas hat man evt. übersehen oder es ist noch n hintertürchen da... und schwubs...

Das siehst du schon richtig. Ganz sicher wird der Server nie sein, du kannst es dem potentiellen Angreifer nur möglichst schwerer machen.

[seb]

Code: Select all

   Verwendetes System:
   Lynx/2.8.5rel.1 libwww-FM/2.14 SSL-MM/1.4.1 GNUTLS/1.0.16
   Port  Status     Dienstname
   21    open offen ftp
   22    open offen ssh
   25    open offen smtp
   53    open offen domain
   80    open offen http
   106   open offen pop3pw
   110   open offen pop3
   143   open offen imap
   443   open offen https
   465   open offen smtps
   993   open offen imaps
   995   open offen pop3s
   8443  open offen https-alt
   8880  open offen unknown
   10000 open offen snet-sensor-mgmt
   TCP-Tests abgeschlossen nach 0 h 0 m 26 s
   gescannte Ports: (65535)
   15 offen, 0 geschlossen, 2 gefiltert,

von meinem rechner aus nen port scan gibt mir das aus

Code: Select all

(The 1651 ports scanned but not shown below are in state: closed)
PORT      STATE    SERVICE  VERSION
21/tcp    open     ftp      ProFTPD 1.2.10
22/tcp    open     ssh      OpenSSH 3.8.1p1 Debian-8.sarge.4 (protocol 2.0)
25/tcp    open     smtp     qmail smtpd
53/tcp    open     domain   ISC Bind 9.2.4
80/tcp    open     http     Apache httpd 2.0.54
106/tcp   open     pop3pw   poppassd
110/tcp   open     pop3     Courier pop3d
143/tcp   open     imap     Courier Imapd (released 2004)
443/tcp   open     https?
465/tcp   open     smtps?
623/tcp   filtered unknown
664/tcp   filtered unknown
993/tcp   open     ssl/imap Courier Imapd (released 2004)
995/tcp   open     ssl/pop3 Courier pop3d
8443/tcp  open     http     Apache httpd 1.3.33 ((Unix) mod_ssl/2.8.22 OpenSSL/0.9.7e PHP/5.0.4)
10000/tcp open     http     Webmin httpd

das hat nen TCP Scan ausgegeben...
# netstat -lutp
sagt PORT 8880 wurde von httpsd geöffnet... der hat auch 8443 geöffnet, is das normal oder ok das 2 offen sind? wofür sind die? apache https läuft ja über 443

wo ist der unterschied zwischen pop3 und pop3pw ? das eine wurde von curier gestartet das andere von inetd, pop3s ist auch von curier? inetd umsonst pop3pw offen?

10000 ist webmin, den muss ich noch ausmachen.

mysql seh ich garnicht, netstat gibt ihn nur bei localhost aus also scheint schon vorkonfiguriert zu sein das nur local zugang hat...

den dns würd ich auch noch gern deaktivieren... ich weiß nurnicht ob Plesk ihn benötigt?!?

[getphp]

sagt PORT 8880 wurde von httpsd geöffnet... der hat auch 8443 geöffnet, is das normal oder ok das 2 offen sind? wofür sind die?

Benutzt du einen virtuellen Server? Wenn ja, dann lauscht an dem Port das Admin Panel von Virtuozzo ...

[andreask2]

Wenn Du den ganzen Kram eh nicht brauchst, und lokal bereits Gentoo verwendest, pack doch einfach Gentoo auch auf den Server (wenn Du Dich also damit auskennst), und installiere nur das was Du brauchst. Ich habe z.B. SSH, Apache/SSL, MySQL, Postfix und insgesamt nur 3 Ports nach außen offen.

Dann würde ich mir auf jeden Fall noch das Gentoo Sicherheits-Handbuch ansehen, und mit dem Hardened-Projekt hast Du z.B. auch direkt die Patches für grsecurity, selinux... im Kernel (hardened-sources). Als Kernel-Config Vorlage empfiehlt sich die Config von CC: http://linux.roothell.org/kernel/config/ (achte darauf, dass Du die 2-3 Ã?nderungen bzgl. Dateisystemen noch machst, wie es im Gentoo-Hanbduch steht)

[seb]

also die Ports werden von Plesk und Virtuoz.. benutzt

das ist ein RootDS also nen vServer, daher kann ich kein eigenen Kernel benutzen... stört mich aber bis jetzt nicht.
Bisher muss ich wirklich sagen die Vorkonfiguration ist wirklich gut, es läuft von anfang an nur das was benötigt wird... das einzigste was ich jetzt noch machen musste ist den SSH absichern.

ich hab vor 3 wochen beschlossen mir nen Linux mal local zu installieren... dabei viel die wahl auf Debian weil ich wie man am Anmeldedatum erkennen kann schon länger mit linux zu tuen habe aber bis datum nur über remote (SSH) ich wusst vorher wirklich net wie ein Linux aussieht also local... vor ihm stehen... und damals hatte ich nen 1&1 Server mit Suse, hab mich aber nie getraut selbst debian zu installieren weil ich eben noch nicht die Erfahrung hatte... also hab ich Debian installiert weil ich mich noch an damals erinnert habe das die meisten hier im rootforum debian beschworen haben... nachdem ich Stable drauf hatte, Testing ausprobiert, ging nix mehr... pppoe fehlte z.b. auf der 1 Disc, danach dacht ich mir, och probier ich mal Ubuntu, basiert ja auf Debian und fürs kennenlernen vlt net schlecht... war mir aber zu langsam, debian übrigens auch :p auf der suche nach einem schnelleren Unix bin ich zu FreeBSD, war genial nur leider will die aktuelle Version meine Microsoft Maus nicht, jaja ich bin nich zu blöd sie richtig einzustellen :p recherchen im Netz und im bsd forum sagen meine Maus wird einfach nicht unterstützt PUNKT. da ich aber FreeBSD so toll vom aufbau fand... wollt ich wenigstens ein Linux was BSD nahe kommt... also Gentoo is nach meiner einschätzung das FreeBSD naheste... (wegen Portage) und ganz ehrlich, ich wills nicht wieder tauschen ;) aber für den Server will ich Gentoo nicht einsetzen, ich will ein Debian System weiterhin haben um es nicht zu verlernen...