Was fehlt mir noch?
Posted: 2011-05-20 12:04
Moin,
da ich auch wieder mal nen Server neu aufsetze wollte ich mal hören was mir u.U. noch fehlt.
Am Ende soll stehen: Sicherer server mit lighttpd, mysql, php5 als fastcgi
Gemacht habe ich bis jetzt:
- /etc/passwd alle unnoetigen user raus, alle user dies nicht brauchen shell auf /bin/false
- SSH Access nur per keyfile, keyfiles alle per Passphrase gesichert
- SSH auf anderen port
- SSH rootlogin verboten
- fail2ban drauf + Grundkonfiguration
- Bei rootlogin automatisch Mail, aufs Handy
- Cron mit chkrootkit report per mail
- system is up to date
Soll noch gemacht werden:
- Suhosin drauf (PHP Sicherheit)
- webbackends alle nur per localhost abrufbar (SSH tunnel)
- fail2ban weitergehend konfigurieren
- auth.log per cron verschicken
- tripwire drauf mit automatischer Mailbenachrichtigun aufs handy
- lighty in ner chroot umgebung einrichten
- gemailte logs automatisch greppen und ggf. warnung rausschicken
Das die logmail crons, bei einem bereits übernommenen System nicht viel bringen, ausser gegen kiddies ist mir klar. Aber immerhin etwas.
Fragen:
Fehlt noch was wichtiges / elementares?
brauch www-data shell zugriff? afaik nein oder irre ich?
Bitte um Feedback
rhona
da ich auch wieder mal nen Server neu aufsetze wollte ich mal hören was mir u.U. noch fehlt.
Am Ende soll stehen: Sicherer server mit lighttpd, mysql, php5 als fastcgi
Gemacht habe ich bis jetzt:
- /etc/passwd alle unnoetigen user raus, alle user dies nicht brauchen shell auf /bin/false
- SSH Access nur per keyfile, keyfiles alle per Passphrase gesichert
- SSH auf anderen port
- SSH rootlogin verboten
- fail2ban drauf + Grundkonfiguration
- Bei rootlogin automatisch Mail, aufs Handy
- Cron mit chkrootkit report per mail
- system is up to date
Soll noch gemacht werden:
- Suhosin drauf (PHP Sicherheit)
- webbackends alle nur per localhost abrufbar (SSH tunnel)
- fail2ban weitergehend konfigurieren
- auth.log per cron verschicken
- tripwire drauf mit automatischer Mailbenachrichtigun aufs handy
- lighty in ner chroot umgebung einrichten
- gemailte logs automatisch greppen und ggf. warnung rausschicken
Das die logmail crons, bei einem bereits übernommenen System nicht viel bringen, ausser gegen kiddies ist mir klar. Aber immerhin etwas.
Fragen:
Fehlt noch was wichtiges / elementares?
brauch www-data shell zugriff? afaik nein oder irre ich?
Bitte um Feedback
rhona