Sicherheit auf meinem VPS

[warg]

Hallo,
ich möchte mir bald einen VPS (Virtual Private Server) kaufen und habe vorher einige Fragen.

Ich möchte einen Lamp Server (mit Email, DNS, usw.) auf meinem VPS aufspielen und habe einige Fragen zur Sicherheit. Reicht es aus, wenn ich dies befolge:

- SSL Login nur für bestimmte IP-Range (kann man sich sonst noch außer über SSL mit Putty einloggen?)
- Beispieluser, Beispieldatenbank und Beispielrechte bei Mysql löschen
- SSL Login Port ändern
- Passwort für Mysql root user
- nur Port 80 in der Firewall freigeben
- Benutzer Root deaktivieren und nur mit einem normalen User einloggen

Muss ich sonst noch etwas beachten?
Z.B. bei den Diensten selber, wie z.B. Apache2 oder so.

Der Server würde mit Linux laufen (CentOS 5.4 - Netinstall (minimalste)).

[papabaer]

Sorry, nein. Das reicht bei Weitem nicht aus.

Um den Sicherheitsanforderungen zu genügen ist es dringend!!! erforderlich, die Funktionsweise des Systems im Ganzen zu verstehen (inkl. aller laufender Dienste, also Apache, php, ssh, Exim/Postfix, MySQL, ...). Nur, wenn du weißt was wirklich passiert, kannst du die Sicherheitslöcher erkennen und reagieren. Alles andere ist Herumdoktern an Symptomen. Es kommt immer darauf an, wie du dein System im konkreten Einzelfall einrichtest.

Wenn du das geschafft hast, steht zusätzlich die Aufgabe an weitere Software zum Schutz des Systems zu installieren und einzurichten.

Wozu benötigst du einen Root-Server? Eine Lamp-Umgebung gibt es auch als Managed Server. Das ist viel besser und sicherer, wenn es keinen guten Grund gibt, einen eigenen Root-Server zu benutzen. Wenn du einen Root-Server nutzen musst, dann musst du auch die Verantwortung und das Wissen eines Linux-Systemadministrators mitbringen.

[warg]

Einen ganzen Root will ich garnicht - mir genügt ein VPS und ich weiß, dass ich einen brauch.
(Damit habe ich mich nun lang genug auseinandergesetzt.)
Aber gut, dann werde ich mich weiterhin bilden und sämtliche Sicherheitsanleitungen lesen, die Einstellungssachen usw. und werde den VPS halt später kaufen. Besser, als wenn ich später zur Rechenschaft gezogen werde.

[Joe User]

Einen ganzen Root will ich garnicht - mir genügt ein VPS und ich weiß, dass ich einen brauch.
(Damit habe ich mich nun lang genug auseinandergesetzt.)

Dann tue Dir und Anderen etwas Gutes und nimm einen Managed-VPS.

Aber gut, dann werde ich mich weiterhin bilden und sämtliche Sicherheitsanleitungen lesen, die Einstellungssachen usw. und werde den VPS halt später kaufen. Besser, als wenn ich später zur Rechenschaft gezogen werde.

Das ist eine sehr lobenswerte Vorgehensweise und wird Dir hier sehr hoch angerechnet. Ich hoffe Du bleibst dieser Einstellung (erst Theorie, dann Praxis) und dem RootForum weiterhin treu. Erkennbar Lernwilligen helfen wir nämlich sehr gerne.

Tip: Wenn Du konkrete Fragen hast, einfach stellen und Deine Lernwilligkeit dabei zeigen, dann bekommst Du auch konkretere Antworten.

[papabaer]

Aber gut, dann werde ich mich weiterhin bilden und sämtliche Sicherheitsanleitungen lesen, die Einstellungssachen usw. und werde den VPS halt später kaufen.

Super Sache, das ist der richtige Weg.

Und da gehts lang:

- ne alte Kiste oder VM-Ware oder VirtualBox nehmen und dort nen Debian ohne grafische Oberfläche drauf zaubern.
- klar kommen auf der Konsole
- Apache installieren, ne statische Seite anbinden, mit den Configs von Apache rumspielen.
- das gleiche mit VirtualHosts
- PHP installieren und an Apache anbinden
- an den Configs von PHP rumspielen
- ne Datenbank installieren, auf der Konsole Benutzer anlegen, an der Datenbank anmelden und mit SQL Daten eintragen, bearbeiten, löschen ...
- sich mit gängigen Angriffen beschäftigen, das eigene Setup versuchen anzugreifen
- Mail-Server installieren + Spam-Schutz, Virenschutz mit den Configs spielen
- Mailserver gegen Spam absichern (Open Relay)
- das Ganze im Schnelldurchlauf nochmal mit gentoo aufziehen
- das System an sich absichern, Denyhosts, Logwatch, Tripwire, ...
- mit dem Kernel spielen, grsecurity, pax, ...
- Firewalls, Proxys und deren Konzepte ansehen
- (was vergessen???)

Wenn du das alles gründlich angehst und wirklich verstanden hast, hast du an dieser Stelle einen ungefähren Eindruck, was so los ist. Du wirst dann mit nem viel sichereren Gefühl an die ganze Kiste rangehen, weil du selbst weißt, auf was es zu achten gilt. Wenns Fragen gibt, gerne hier stellen.

Stefan

[warg]

Ich habe auch schon Ubuntu auf der VMWare installiert (mit GUI) und es ging echt gut. Nun bin ich zur Zeit dabei, einige Anleitungen im Internet für den eigenen Webserver zu befolgen und halt wie ich das alles einstellen muss usw. Sollte ich eine Frage haben werde ich diese natürlich gerne stellen (großartiges Forum - nette Leute :) ), aber vorher doch lieber etwas googlen oder mal die ein oder andere Readme lesen.

[daemotron]

Ich habe auch schon Ubuntu auf der VMWare installiert (mit GUI) und es ging echt gut. Nun bin ich zur Zeit dabei, einige Anleitungen im Internet für den eigenen Webserver zu befolgen und halt wie ich das alles einstellen muss usw. Sollte ich eine Frage haben werde ich diese natürlich gerne stellen (großartiges Forum - nette Leute :) ), aber vorher doch lieber etwas googlen oder mal die ein oder andere Readme lesen.

Na denn mal Willkommen im RF Guter Ansatz, mit Learning by Doing (auf einer ungefährlichen "Spielwiese") kommst Du am schnellsten voran. Wenn Du mit HowTos herumspielst, noch ein Tipp: gerade für Standard-Konfigurationen (Webserver, Mailserver & Co) gibt es Anleitungen wie Sand am Meer. Bei der gebotenen Auswahl solltest Du ruhig wählerisch sein und nach Anleitungen Ausschau halten, die nicht nur das wie, sondern auch das warum erklären.

- das Ganze im Schnelldurchlauf nochmal mit gentoo aufziehen
- mit dem Kernel spielen, grsecurity, pax, ...

Auf einem VPS? Ersteres ist da wenig empfehlenswert, letzteres unmöglich...

- das System an sich absichern, Denyhosts, Logwatch, Tripwire, ...
- Firewalls, Proxys und deren Konzepte ansehen

Denyhosts (oder Fail2Ban) würde ich jetzt gerade gar nicht empfehlen - diese Tools haben ein zu hohes Amok- und Self-DoS-Potenzial. Und was meinst Du mit "Firewalls"? Doch hoffentlich kein Paketdropper auf einem Stand-Alone-System...?

[warg]

Wahrscheinlich meint er die Firewall, die bereits standartmäßig dabei ist und was Proxys sind und wie diese Arbeiten, damit ich auch später bei Angriffen bescheid weiß.

[papabaer]

- das Ganze im Schnelldurchlauf nochmal mit gentoo aufziehen
- mit dem Kernel spielen, grsecurity, pax, ...

Klar, auf nem VPS macht das keinen Sinn. Aber ich denke, es ist trotzdem wichtig ein Gefühl dafür zu bekommen, wie Linux unter der Haube funktioniert, und da finde ich Gentoo optimal. Wer nen Gentoo installiert und weiß, was er tut, hat meiner Meinung nach das Nötigste verstanden. Und auch einen Kernel sollte man mal von Innen gesehen haben. Auch wenn man aus einem VPS nicht an den Kernel kommt, so weiß man dann doch wenigstens, was da geht und z.T. auch schief geht.

- das System an sich absichern, Denyhosts, Logwatch, Tripwire, ...
- Firewalls, Proxys und deren Konzepte ansehen

Jep, alles ansehen und merken, für was welche Lösungen da sind. Man muss IPtables kennen, um zu sehen wo die Grenzen liegen bzw. andere Ansätze gesehen haben.

Über Denyhosts lässt sich streiten. Ich hab das überall laufen und bin froh, dass es die wenigen Leute abhält, die es doch auf den alternativen Port schaffen. Aber auch hier gilt m.M. Ansehen und Entscheiden ist wichtiger als Problem nicht kennen.

[warg]

Wenn ich mich mit einem normalen User einloggen will und dann dies eingebe:

Code: Select all

login root
Password: *unsichtbar eingebe*

Sagt er mir, dass der Login inkorrekt ist.
Normalerweise muss es doch auch gehen, wenn ich

PermitRootLogin no

eingestellt habe oder? Dies soll ja lediglich den sofortigen Login mit dem User "root" blockieren, aber wieso kann ich mich nicht von dem normalen User zum root anmelden?

[Joe User]

Code: Select all

su - root

[warg]

Ich habe gerade eine ganz peinliche Frage:
Ich habe sämtliches probiert, aber wie zur Hölle komme ich von

crontab -e

(nachdem ich die eingaben getätigt habe) wieder in die Konsole zurück?
(Muss ich auch irgendwie speichern?)

[Roger Wilco]

Das kommt auf den Editor an, der in der Umgebungsvariablen $EDITOR steht. Bei dir ist es vermutlich nano oder vim. Bei nano speicherst du eine Datei mit Strg+O und beendest den Editor mit Strg+X. Bei vim wechselst du mit ESC-ESC in den Kommandomodus, speicherst eine Datei mit ':w' und beendest den Editor mit ':q' (oder kombiniert mit ':x' bzw. 'ZZ').

[papabaer]

http://openbook.galileocomputing.de/unix_guru/

Schöner Einstieg in die ganzen Grundlagen.