lighttpd und andere Dienste Sichern

Apache, Lighttpd, nginx, Cherokee
krumme
Posts: 7
Joined: 2008-04-21 16:46

lighttpd und andere Dienste Sichern

Post by krumme » 2008-06-14 11:57

Servus,

ich tüftel jetzt seit 2 1/2 Monaten an meinem Server rum. Hab bis jetzt den Apachen deinstalliert und lighttpd mit php als fcgi drauf getan.

Daten zur Sicherheit gelöscht!

Wie oft sollte man die Logfiles durchstöbern und welche Tools zur Wartung und auswertung der Logfiles könnt ihr mir empfehlen? Sollten einfach zu bedienen sein.

Welche Tips könnt ihr mir noch zum absichern geben?

Ende des Monats kommt ein Buch raus, das ich mir kaufen will, nur leider bräuchte ich den Server schon davor.

Ja, ich weiß ich bin voll für den Inhalt auf dem Server verantwortlich, deshalb gehe ich erst online wenn er gut abgesichert ist.

mfg krumme
Last edited by krumme on 2008-06-26 21:06, edited 1 time in total.

User avatar
daemotron
Administrator
Administrator
Posts: 2635
Joined: 2004-01-21 17:44

Re: lighttpd und andere Dienste Sichern

Post by daemotron » 2008-06-14 23:35

Hi,

ich würde Deine Sicherungsmaßnahmen schon als überdurchschnittlich einstufen - da gibt's nur noch Kleinigkeiten, an denen Du drehen kannst. So könntest Du für jeden virtuellen Host PHP über ein externes Skript starten, mit einem jeweils anderen User und eigener php.ini. Wie's geht, steht entweder im RootForum-Wiki oder im Lighttpd-Wiki. PHP könntest Du noch mit Suhosin härten. Wenn Du dem Betriebssystem noch einen Panzer verpassen willst, dann schau Dir mal grsecurity an - damit würde es sich auch lohnen, einzelne Dienste (oder die PHP-Prozesse eines Vhosts) in chroot-Umgebungen zu sperren.

Für die Auswertung der Logfiles nutze ich Standard-Werkzeuge wie grep, sed oder awk. Das Auth-Log und einige andere Logfiles lasse ich von einem per Cron gestarteten Dreizeiler überwachen. Wenn es eine verdächtige Aktion gibt, bekomme ich sofort eine Mail an einen externen Account (der auch SMS-Weiterleitung kann). Die Maillogs verarbeite ich mit pflogsum, aber auch hier gibt's typische Warn-Kennzeichen, die man mit grep ganz fix rausgefiltert hat. Dann bleiben eh nur einige wenige Zeilen übrig, die man sich anschauen muss. Von der Häufigkeit her nehme ich mir täglich so ca. 30 min. Zeit für die Server. Das reicht, um Security Advisories durchzugehen, Updates einzuspielen und die Logs kurz abzugrasen. Wenn natürlich was größeres ist, werden da auch schnell mal 2-3 Stunden draus ](*,)

krumme
Posts: 7
Joined: 2008-04-21 16:46

Re: lighttpd und andere Dienste Sichern

Post by krumme » 2008-06-15 00:02

Chroot hab ich mir auch schon überlegt, gibts irgendwelche Turtorials wie man so eine Umgebung einrichtet.

Die Tools werd ich mir ansehen. Danke.

Bei dem "Dreizeiler" bräuchte ich etwas hilfe, bin im Programmieren nicht gerade gut :D bzw. noch am lernen. Geht das auch ohne Mailserver?

Gut das ich noch Schüler bin, da hab ich noch genügend Zeit :D

gibt es einen jabber server den ihr mir empfehlen könnt?

Wegen der Logfile auswetung: welche sollte man überprüfen und nach was suchen?


edit: habe jetzt auch noch suhosin und denyhosts installiert. Sollte man bei den beiden Programmen etwas ändern?



mfg krumme

opakatze
Posts: 11
Joined: 2006-07-07 12:09

Re: lighttpd und andere Dienste Sichern

Post by opakatze » 2008-06-16 17:32

Ja, "denyhosts" am Besten wieder "deinstallieren", dieses Thema wurde in diesem Forum schon heiß diskutiert und man ist zum Entschluss gekommen, dass dieser Daemon eher "gefährlich" werden kann als das er was bringt, der SSH-Daemon kommt schon alleine mit den Wörterbuchattacken klar :-D

krumme
Posts: 7
Joined: 2008-04-21 16:46

Re: lighttpd und andere Dienste Sichern

Post by krumme » 2008-06-21 20:06

gut ist deinstalliert

sonst noch irgendwelche Tips zum absichern. Das Buch was ich mir kaufen wollte kommt jetzt erst im November raus, aber so lange kann ich nicht warten :P. Hätte jemand einen guten Buchtipp?

Wenn ich das Forum durchstöbere merke ich das ich schon auf dem richtigen weg bin.

mfg krumme

User avatar
rudelgurke
Posts: 405
Joined: 2008-03-12 05:36

Re: lighttpd und andere Dienste Sichern

Post by rudelgurke » 2008-07-18 17:57

Zu suhosin - eigentlich nicht. Falls es zu Fehlern kommt mit PHP Applikationen kann via "suhosin.simulation = On" der Simulationsmodus eingeschaltet werden, in den Logs steht dann was geblockt werden würde.
Eventuell ist noch mod_security zu empfehlen und wenn Apache in einer Chroot Umgebung läuft kann es nicht schaden Dateien mit dem "immutable" Flag zu versehen, zumindest die die sich nicht ändern sollen wir Binaries oder Konfigurationsdateien - je nachdem

User avatar
Joe User
Project Manager
Project Manager
Posts: 11138
Joined: 2003-02-27 01:00
Location: Hamburg

Re: lighttpd und andere Dienste Sichern

Post by Joe User » 2008-07-18 18:03

rudelgurke wrote:Eventuell ist noch mod_security zu empfehlen

Ist mod_security endlich mit Lighttpd und anderen alternativen HTTPds nutzbar? Habe ich etwas verpasst? :-k
PayPal.Me/JoeUserFreeBSD Remote Installation
Wings for LifeWings for Life World Run

„If there’s more than one possible outcome of a job or task, and one
of those outcomes will result in disaster or an undesirable consequence,
then somebody will do it that way.“ -- Edward Aloysius Murphy Jr.

dtdesign
Posts: 391
Joined: 2006-09-05 21:12
Location: Berlin

Re: lighttpd und andere Dienste Sichern

Post by dtdesign » 2008-07-20 03:47

Nö und ich sehe auch keinen Grund dazu. Einen wirklichen Vorteil bringt es meiner Meinung nach nicht, ausser vielleicht einem in trügerischer Sicherheit zu wiegen. Das Hauptargument ist meist die Dateneingabe via POST bzw. GET! Alles was in der URL transportiert wird, kann ein One-Liner in jeder beliebigen Sprache effizienter und resourcenschonender Abfangen. Im Falle von PHP ist das Archiv PECL auf jeden Fall empfehlenswert, es gibt dort sehr viele interessante Erweiterungen (etwa filter), die einem eher helfen als irgendein 3rdparty Spielzeug.

User avatar
daemotron
Administrator
Administrator
Posts: 2635
Joined: 2004-01-21 17:44

Re: lighttpd und andere Dienste Sichern

Post by daemotron » 2008-07-20 07:54

Auch wenn wir uns jetzt vom Thema entfernen; das kann ich beim besten Willen so nicht stehen lassen. Sobald dynamische Web-Anwendungen egal in welcher Sprache und egal über welches Backend betrieben werden, muss man damit rechnen, dass entweder die Anwendung (auch selbst geschriebene!) oder das Backend Fehler enthält, die entweder bekannt sind oder einem eines Tages einen Zero Day Exploit bescheren. Je weniger Kontrolle man über die eingesetzten Anwendungen hat (Worst Case: Webhosting für Kunden, die eigene Skripte einsetzen dürfen), desto realer ist die Gefahr.

Natürlich ist der Königsweg, das Problem an der Wurzel zu packen - sprich, die Anwendung ansich gegen Angriffe zu härten. Das kann man durch Code Reviews und eine lange Reifephase erreichen, aber selbst ist keine Garantie (siehe http://www.rootforum.org/forum/view ... 55&t=43853). Ich würde also einen (richtig eingesetzte) Application Layer Filter nicht als "3rdparty Spielzeug" herabwürdigen. Ein Layer 7 Filter ist allerdings recht ressourcenintensiv, deshalb will ein Einsatz wohl überlegt sein. Aber je nach Risiko-Lage ist mod_security (z. B. in Verbindung mit einem Reverse Proxy) durchaus ein legitimer Bestandteil eines Sicherheitskonzepts, sozusagen als letzte Verteidigungslinie vor der Anwendung selbst.