RootForum Community

Guten Morgen,

ich möchte nach längerer Serverabstinenz wieder administrieren.
Als netzwerkbindende Dienste werden auf dieser Maschine wohl httpd, named, maild, sshd, ftpd und eventuell ein ircd (dieser aber als Standalone-ircd, also ohne Anbindung an ein IRC-Netz) laufen.

Auf der Maschine läuft natürlich ein konservativ eingestellter Paketfilter und die Netzdienste binden an keine privilegierten Ports. Den ftpd stecke ich vielleicht in eine chroot-Umgebung, mal sehen.

Den sshd werde ich ausserdem "verschleiern", hier wird ein Portknocking-Dämon auf zeitlich wechselnde Klopfsequenzen horchen.

Am meisten Kopfzerbrechen macht mir hierbei noch der knockd, er bildet anscheinend das schwächste Glied, da er als einziger mit superuser-Rechten laufen muß (abgesehen vom sshd, aber um den mach' ich mir weniger Sorgen).

Ist es sinnvoll den sshd hinter den knockd zu stellen oder wäre es von sicherheitstechnischen Aspekten eventuell doch klüger, den sshd öffentlich zu machen und auf den knockd zu verzichten?

Wo seht ihr noch Schwachstellen? Was könnte man noch besser machen?
Mir fällt eigentlich nur noch ein Integrity-Checker für das Filesystem ein.

Vielen Dank,
Joachim van Admin

Willkommen zurück Joachim.

Zunächst benötigen alle Dienste die an Ports <=1024 binden wollen und das sind alle von Dir aufgeführten Dienste, zumindest kurzfristig root-Rechte. Nach dem Binden des Ports können die Dienste ihre root-Rechte wieder abgeben.

Auf den Paketfilter kannst Du vermutlich verzichten, zumindest dann, wenn Du ihn als "Firewall" einsetzen wolltest. knockd bringt IMHO keinen echten Sicherheitsgewinn, sorgt aber wie das Verlegen des SSHd-Ports auf !=22 für ein übersichtlicheres Logfile (Keyauth setze ich mal voraus).

Den FTPd in ein Chroot zu stecken ist immer empfehlenswert, ebenso der Einsatz von vsftpd als FTPd. Den IRCd würde ich ebenfalls in ein Chroot packen, ich traue den Dingern einfach nicht.

Schwachstellen sehe ich prinzipiell in vielen Standard-Konfigurationen, hier ist auf jeden Fall aufpassen angesagt. Ansonsten das Übliche: Regelmässige und konsequente Updates aller Komponenten, vom Kernel über Dienste zu Bibliotheken und insbesondere WebApps. Letztere bitte immer direkt beim Hersteller herunterladen und manuell installieren, da die Distributoren im Regefall mit dem Patchen nicht hinterher kommen. Regelmässiges überfliegen der Logfiles gegebenenfalls zusammen mit logwatch sollte ebenso selbstverständlich sein.

Last but not least: Sobald auch nur irgendetwas merkwürdig erscheint, sofort die Kiste vom Netz nehmen und in Ruhe die Ursache finden und beheben.

Hoffe, ich habe vorerst nichts Wichtiges vergessen.

Gut, dann hat sich in den letzten Jahren keine grundsätzliche Neuerung in Sachen Sicherheit getan, alles beim Alten.

Die Sache mit dem Binden an die privilegierten Ports könnte ich auf zwei Möglichkeiten erschlagen, nämlich
a) Binden an unprivilegierte Ports und lokales Forwarding mittels Filter
b) Kerneloption welche den UID-Check beim Binden deaktiviert
Derzeit tendiere ich zu zweiterem.
Auf jedenfall ist die Sache für mich gelöst, meine Dienste binden wirklich nicht an privilegierte Ports, genau so wie ich geschrieben hatte. ;-)

Den IRCd werde ich ebenfalls in ein chroot stecken, wie empfohlen.

Bleibt noch die Sache mit dem sshd. Zum knockd kam einmal Ablehnung, einmal ein egal bis schwach positiv. Die Frage die ich mir die ganze Zeit stelle ist eben die, ob mir der knockd in Relation zum Nutzen nicht ein zu großes zusätzliches Sicherheitsrisiko einbringt, da ja jede zusätzliche Software eine weitere potentielle Schwachstelle darstellt.

Ich hab' mir auch schon überlegt, ob es eventuell Sinn machen kann, zwei sshd auf der Maschine laufen zu lassen, wobei ein "privater" nur via lokaler Verbindung erreichbar ist und der "öffentliche" sshd in einer geschützten Umgebung läuft. Man müsste sich praktisch über den öffentlichen sshd einloggen und sich von dort an den lokalen sshd verbinden.
Allerdings stellt sich auch hier wieder die Frage, ob der Nutzen den höheren Aufwand rechtfertigt. Irgendwie finde ich die Idee ganz nett, allerdings kommt sie mir andererseits auch wieder ziemlich schwachsinnig vor.

Den Rest zur Administration an Sich (Updates, Konfiguration, Logs sichten, Backups) ist natürlich das Wichtigste, setze ich aber einmal als selbstverständlich voraus.

Vielen Dank einstweilen, Joachim

Abgesehen vom Debian-Debakel damals habe ich noch keinen nur per Keyauth Zugang gestattenden SSHd kippen sehen. Insofern ist das für mich persönlich der unkomplizierteste Dienst und wird von mir nicht weiter geschützt. Aber das muss glücklicherweise jeder root für sich selbst entscheiden ;)

Ansonsten bist Du auf einem sehr guten Weg und hast offenbar nicht viel verlernt.

Gut, dann werd ich mir um den sshd keine großartigen Gedanken diesbezueglich mehr machen und den knockd vorerst einmal in LAN zum Spaß austesten.

Zum verlernen: Man ist ja auch im Heimnetzwerk immer ein bisschen am Administrieren, allerdings nicht mit der selben Konsequenz und Sorgfalt wie bei einer Maschine die mit einigen MBit direkt am Internet Exchange hängt. Da kann man ja einiges eher progressiver fahren, wenn man sowiso hinter einem dickem Gateway sitzt das praktisch alles unerwünschte in's Nirvana befördert.

Lieber Gruß, Joachim