Bewertung/Kommentierung meiner Sicherheitsmaßnahmen erbeten

[iflash]

Liebe Gemeinde,

nach langen, langen, laaaaangen Recherchen, vielen Fragen & noch mehr Büchern habe ich nun meinen ersten - irgendwann ist immer das erste Mal - Root-Server (Suse 10.2.) aufgesetzt. Dabei wurden folgende Sicherheitsaspekte beachtet:

Server:
1. SSH: ohne root, IPs auf Provider begrenzt, User-Password 16 Stellen, zufälliger Zahlen/Buchstaben-Mix
2. FTP: IPs auf eigenen Provider begrenzt, User-Password wie SSH (aber natürlich ein anderes)
3. Plesk 8.3 (bitte nicht hauen, Plesk hilft *mir* wirklich sehr viel): IPs auf Provider begrenzt; Passwort wie FTP aber wiederum anders
4. Dienste: Alles bis auf Mail, SSH, FTP & apache abgeschaltet.
5. Cronjob: chkrootkit

Web:
1. SSL-Verschlüsselung aller Seiten mit kritischen Daten
2. IDS gegen PHP/Web-Angriffe

Sonstiges:
1. täglicher Log-File-Check
2. tägliches Backup
3. Regelmäßige updates
4. noch mehr lesen.

Eine Einschätzung oder weitere Empfehlungen eurerseits würden mir viel bedeuten.

Lieben Gruß


iFlash

[daemotron]

Du kannst noch was rausholen, wenn Du den sshd auf Pubkey-Authentifizierung umstellst und FTP durch sftp ersetzt (ftp würde ich nur für anonymous Zugriffe verwenden, also z. B. für einen Mirror o. ä.).
Ansonsten: was meinst Du mit "IDS gegen PHP/Web-Angriffe"?

[iflash]

Hallo jfreund,

danke für die Empfehlung. Werd ich mich gleich dransetzen.

Ansonsten: was meinst Du mit "IDS gegen PHP/Web-Angriffe"?

Sorry, wahr falsch/verwirrend ausgedrückt. Gemeint war ein PHP-IDS, das hilft, SQL-Injections, XSS und verwandte Attacken zu erkennen/abzuwehren. Die Server-Applikation (in PHP) prüft/filtert zusätzlich alle Usereingaben (auch wenn ich mir sicher bin, dass ich irgendwo bestimmt was übersehen habe) 8O.

Gruß

iFlash

[Joe User]

IPs auf Provider begrenzt

Und was machst Du, wenn Du einen anderen Provider nutzen musst (Urlaub, Krankenhaus, Inet-Cafe, etc...)?

[iflash]

IPs auf Provider begrenzt

Und was machst Du, wenn Du einen anderen Provider nutzen musst (Urlaub, Krankenhaus, Inet-Cafe, etc...)?

Oje, richtig, was mach ich dann bloß? Shit. Ich muss alles wieder umstellen. #-o

Just kiddin. In so einem Fall packe ich meinen fiesesten Trick aus und stelle - jetzt halt dich fest! - einfach die IPs um. 8) Und eins ist mal ganz sicher: Vom Inet-Café aus werde ich meinen Server garantiert weder administrieren noch neu über FTP mit neuem Kram "beladen".

[Roger Wilco]

IPs auf Provider begrenzt

Und was machst Du, wenn Du einen anderen Provider nutzen musst (Urlaub, Krankenhaus, Inet-Cafe, etc...)?

In so einem Fall packe ich meinen fiesesten Trick aus und stelle - jetzt halt dich fest! - einfach die IPs um.

Wie, wenn du gar nicht mehr auf die Kiste kommst, weil dein Provider einen anderen IP-Block zugewiesen bekommen hat und nur noch Adressen aus diesem vergibt oder du bereits im Krankenhaus liegst? Sowas kommt ja immer geplant...

Ansonsten: Wenn eine serielle Konsole vorhanden ist, kannst du den sshd ja auch einfach beenden und nur bei Bedarf starten. Ist genau so sinnvoll...

[iflash]

Wie, wenn du gar nicht mehr auf die Kiste kommst, weil dein Provider einen anderen IP-Block zugewiesen bekommen hat und nur noch Adressen aus diesem vergibt oder du bereits im Krankenhaus liegst? Sowas kommt ja immer geplant...

Ansonsten: Wenn eine serielle Konsole vorhanden ist, kannst du den sshd ja auch einfach beenden und nur bei Bedarf starten. Ist genau so sinnvoll...

Hmm, dass der Provider seine IPs einfach so ändern lönnte, damit habe ich in der Tat nicht gerechnet. Kommt denn sowas tatsächlich vor? So mir nichts, dir nichts?

Serielle Konsole ist eine tolle Idee, weil vorhanden.

[Roger Wilco]

Hmm, dass der Provider seine IPs einfach so ändern lönnte, damit habe ich in der Tat nicht gerechnet. Kommt denn sowas tatsächlich vor? So mir nichts, dir nichts?

Bei normalen Dialup-Anschlüssen ist das durchaus möglich, wenn sich der Kundenstamm erweitert oder der ISP seine Netze neu organisiert.

[Joe User]

Hmm, dass der Provider seine IPs einfach so ändern lönnte, damit habe ich in der Tat nicht gerechnet. Kommt denn sowas tatsächlich vor? So mir nichts, dir nichts?

Ja, selbst beim Marktführer und öfter als man glaubt...

[iflash]

Käme ich denn dann noch mittels serieller Konsole auf den Rechner? Und könnte dann die ips ändern? Ich denke schon, oder?

[Joe User]

Ja, aber ohne alle neuen IP-Ranges zu kennen, nützt Dir diese Möglichkeit nicht viel. Spare Dir diese Fehlerquelle einfach und sichere Deine Dienste sinnvoll ab.

[iflash]

Danke, Joe. Werde ich machen.