"einfachen" Debian-Webserver sicher machen...

[snake1979]

Hallo,

werde/möchte demnächst einen auf debian-Linux basierten Webserver ans Netz hängen. Mach mir um die Sicherheit noch etwas sorgen. Hab zwar Unixkenntnisse, aber richtig ans Internet noch nichts gehängt. Ab und an Ausfallzeit wären für mich kein Weltuntergang, mir geht es in erster Linie dadrum, den Server vor kriminellen Missbrauch zu schützen.

Hab nun schon einiges hier und im Netz gelesen, bei ein paar Sachen bin ich jedoch nicht ganz sicher. Im Prinzip fühle ich mich mit folgenden Minisicherheitskonzept auf der sicheren Seite:
1. außer Datenbank, Webserver und ssh keine weiteren Net-Dienste laufen lassen (also auch kein inetd etc).
2. Datenbank und Webserver unter eigenen, möglichst eingeschränkten Nutzern laufen lassen. Deren entsprechende Security-Mailinglisten lesen, und ggf. schnell patchen.
3. für sämtliche Software (außer eben Datenbank und Webserver) ausschließlich Debianpakete nehmen und debian-Sicherheitsmailinglist abonieren. Vorteil: wenn dort Warnungen auftreten, einfach via apt-get upgrade/update die Pakete auf den neuesten Stand bringen, ist letzendlich wie Windows-update(oder ??)
4. So wenig wie möglich unter root arbeiten/ laufen lassen, lange Passwörter,...
5. logfiles beobachten, mit nmap/ netstat regelmäßig nach ungewünschten Sachen suchen
6. Hohen Webserverport mit iptables auf Port 80 forwarden

Sollte ich damit halbwegs auf der sicheren Seite sein (vorausgesetzt Webserver und Datenbank sind sicher)? Oder (wenn manchen Guru jetzt die Haare zu Berge stehen) doch besser einen managed-Server nehmen?

Danke + Grüße
Michael

[timeless2]

1. außer Datenbank, Webserver und ssh keine weiteren Net-Dienste laufen lassen (also auch kein inetd etc).

Prinzipiell nur die Dienste laufen lassen, die du auch verwendest. Diese natürlich vernünftig konfigurieren.

2. Datenbank und Webserver unter eigenen, möglichst eingeschränkten Nutzern laufen lassen. Deren entsprechende Security-Mailinglisten lesen, und ggf. schnell patchen.
3. für sämtliche Software (außer eben Datenbank und Webserver) ausschließlich Debianpakete nehmen und debian-Sicherheitsmailinglist abonieren. Vorteil: wenn dort Warnungen auftreten, einfach via apt-get upgrade/update die Pakete auf den neuesten Stand bringen, ist letzendlich wie Windows-update(oder ??)

Weshalb Datenbank und Webserver selber bauen?

4. So wenig wie möglich unter root arbeiten/ laufen lassen, lange Passwörter,...

SSH über Key authentifizieren und Authentifikation über Passwort abschalten.

5. logfiles beobachten, mit nmap/ netstat regelmäßig nach ungewünschten Sachen suchen

Rootkithunter & Co.

[snake1979]

Hi Timeless,

3. für sämtliche Software (außer eben Datenbank und Webserver) ausschließlich Debianpakete nehmen und debian-Sicherheitsmailinglist abonieren. Vorteil: wenn dort Warnungen auftreten, einfach via apt-get upgrade/update die Pakete auf den neuesten Stand bringen, ist letzendlich wie Windows-update(oder ??)

Weshalb Datenbank und Webserver selber bauen?

Was meinst Du mit selber bauen? Wieso ich keine Pakete dafür einsetze? Der Webserver ist eher exotisch (Caucho Resin), für den habe ich kein Paket gefunden. Ok, bei Datenbank sollt ich noch schauen (sofern ich Dich jetzt überhaupt richtig verstanden habe).

Danke & Grüße
Michael

[webby123]

Hallo,
bisher habe ich noch nicht viel Erfahrung mit Debian. Habe via Webmin neue User angelegt, allerdings können diese via ftp in höhere Verzeichnisse rein. Wie kann ich das unterbinden?

[Roger Wilco]

Wie kann ich das unterbinden?

Mit einer entsprechenden Konfiguration deines FTP-Daemons, wenn er dieses Feature unterstützt. Zur einfacheren Suche sei mal das Stichwort "chroot" genannt.