Server absichern - Worauf achten?

[fragster]

Hallo Zusammen,

ich wollte mir in nächster Zeit einen kleinen Vserver zulegen auf dem ich meinen Blog + einen Teamspeak Server laufen lassen möchte... da ich mir natürlich bewusst bin das der Server dann direkt aus dem Internet erreichbar ist habe ich mich versucht ein bisschen einzulesen, aber man findet zuviele verschiedene Meinungen dazu :(

Da das OS auf dem Vserver ein Ubuntu Server wird, würde ich mich freuen falls ihr mir ein paar Tipps geben und mir sagen könntet worauf ich achten muss (bin blutiger Neuling im Webserver bereich).

[fragster]

Ich hab gerade drüber geschaut und vorallem zu dem Punkt Firewall hab ich schon viele verschiedene Meinungen gehört. Man ließt auch manchmal das es reichen soll, das man nur bestimmte Programme laufen lässt die wiederrum bestimmte Ports nutzen, weil über die anderen Ports kann ja Theoretisch nichts reinkommen wenn dort nichts lauscht, oder habe ich dort falsche Infos?

Und im Bezug auf Logs Files auswerten, kennt ihr dort gute Tools?

[fragster]

Also wäre eine Firewall erstmal kein Must-Have?

Und im Bezug auf Logs, worauf müsste man achten? Ich selber würde in den SSH-Server Logs, Apache Logs anschauen und genauso wie die Logs von dem MySQL Server, nur jetzt im Bezug auf meinem Blog wie es Teamspeak aussieht weiß ich noch nicht.
Kennste da Tools die die guten Einträgen von den bösen Einträgen Trennen?

Falls es umfangreichere Artikel über das Thema gibt würde ich mir die auch gerne durchlesen, ich möchte nämlich nicht direkt auf die Schnauze fallen )

[rudelgurke]

Also wäre eine Firewall erstmal kein Must-Have?

Nein. Erstmal das Augenmerk auf die Dienste legen die erreichbar sind und sich darum kümmern. Port 80 wirst du wohl freimachen, da bringt die Firewall auch nichts wenn dein Blog System Probleme macht.

Und im Bezug auf Logs, worauf müsste man achten? Ich selber würde in den SSH-Server Logs, Apache Logs anschauen und genauso wie die Logs von dem MySQL Server, nur jetzt im Bezug auf meinem Blog wie es Teamspeak aussieht weiß ich noch nicht.
Kennste da Tools die die guten Einträgen von den bösen Einträgen Trennen?

Logwatch oder einige ähnliche Scripte, allerdings können die nichts zwischen "gut" und "böse" unterscheiden. Einiges ist ganz normal, manches Hintergrundrauschen, auf anderes sollte (und muss) man reagieren.
Soll nur heißen solche Tools können Logfiles aufbereiten und einen Überblick geben, ein "Rundum-Sorglos" Paket gibt es nicht.

Falls es umfangreichere Artikel über das Thema gibt würde ich mir die auch gerne durchlesen, ich möchte nämlich nicht direkt auf die Schnauze fallen )

Hier im Wiki mal nachschauen und auch hier im Forum natürlich.

Für's ausprobieren - vielleicht auf dem lokalen Rechner eine VM aufsetzen - da kann nichts passieren. :)

Viel Erfolg natürlich

[fragster]

Und im Bezug auf Logs, worauf müsste man achten? Ich selber würde in den SSH-Server Logs, Apache Logs anschauen und genauso wie die Logs von dem MySQL Server, nur jetzt im Bezug auf meinem Blog wie es Teamspeak aussieht weiß ich noch nicht.
Kennste da Tools die die guten Einträgen von den bösen Einträgen Trennen?

Logwatch oder einige ähnliche Scripte, allerdings können die nichts zwischen "gut" und "böse" unterscheiden. Einiges ist ganz normal, manches Hintergrundrauschen, auf anderes sollte (und muss) man reagieren.
Soll nur heißen solche Tools können Logfiles aufbereiten und einen Überblick geben, ein "Rundum-Sorglos" Paket gibt es nicht.

Haste einen guten Ratschlag wie ich die Sachen erkenne auf die ich achten sollte? Gibt es dabei Tricks oder ist das alles nur Erfahrung die man mit der Zeit bekommt?

[Joe User]

Alles Unbekannte gilt zunächst als Böse, erst wenn man weiss, dass es nicht böse ist, kann man es zukünftig ignorieren.
Oder kurz: Erfahrung.

[Roger Wilco]

Haste einen guten Ratschlag wie ich die Sachen erkenne auf die ich achten sollte?

Wie es der Zufall so will, gibt es dazu gerade eine kleine "Hitliste" bei O'Reilly: http://broadcast.oreilly.com/2010/07/mo ... -on-l.html

[fragster]

Okay danke für eure Tipps :)

Ich werd mir dann wirklich eins von den Büchern zulegen und mich dort einarbeiten und ein bisschen Rumspielen mit einer VM.

Und matzewe01, kannst ruhig sagen dass ich in dem Gebiet nicht Fit bin, das weiß ich selber und deswegen wollte ich mich auch schlau machen damit ich später keine unangenehmen Überraschungen erlebe :lol:

Also dann... ich hoffe man ließt sich ;)

[fragster]

Mysql z.B. lässt man i.d.R. nicht aufs Netzwerk horchen sondern verbindet sich über einen lokalen Socket.

"skip network"

Meinst du damit die Zugriffsrechte in der User Tabelle so Einstellen das sich von draußen keiner Verbinden kann oder kann man bei MySQL das so einstellen das er nur auf Localhost, bzw 127.0.0.1 horcht und alle anderen Anfragen gar keine Reaktion bekommen?

Und den Rest den du geschrieben wusste ich auch schon durch das einlesen :)
Ich werd nächste Woche mal eine VM benutzen um mal zu gucken was so für Logs geschrieben werden wenn man die Diese ordentlich benutzt, vielleicht bekomm ich dann schon ein Gefühl dafür was dort normal drinsteht.