Die Abschottung: Wie geht es nun weiter?

[dev]

Aloha,

da ich ja ein braver und armer Noob bin, habe ich mir nicht wie alle anderen gleich einen vServer oder Root zum Probieren hingestellt, sondern nur mit Debian 4 als Minimalinstallation in einer schicken virtuellen Maschine geübt. Naja, bin trotz aller Hürden auch vorangekommen und brauche nun ganz pragmatischen Input für die reine LAMP Kiste.

Im Moment sieht es so aus:

SSH

• SSH Port != 22
• SSH Port per iptables für alle gesperrt -> Freischaltung via Portknocker für meine IP mit wechselnder TCP/UDP Sequenz
• ausschliesslich PKI Login (mit Passwort für den Key) erlaubt
• Passwort/ChallengeAuth off
• root Login verboten

FTP

• kein FTP Daemon
• FTP via SSH FTP in das gechrootete Home-Dir des minderpriveligierten Users
• kein SSH Login für diese User, nur gechrootete SFTP Funktionalität

AMP

• PHP per fcgi/suxec in den Apache eingebunden
• PHP: sicherheitskritische Ini-Values gesetzt (openbasedir, upload, executiontime, disabled_functions)
• Suhosin integriert
• MySQL an localhost gebunden
• secure_installation für MySQL ausgeführt

Sendmail

• lauscht nur an localhost, keine Serverdienste, nur MTA

Sonstiges

• alle Dienste in den Runleveln deaktivert, die nicht benötigt werden
• kein Confixx oder solches Zeug
• Pakete werden nur aus den offiziellen Debian stable bezogen

Was ich als nächstes in Angriff nehmen würde, ist das "Backuppen" der Logs auf eine andere Maschine (für den "Ernstfall"), das Einrichten von Logwatch allgemein und mod_security für den Apachen.

Was kann ich noch tun, wo sind Schwachstellen (sieht man mal von PHP Skripten ab, da habe nämlich nur ich die Kontrolle drüber)?

/dev

[Mordor]

Fail2ban wäre noch eine nette geschichte, denn das macht dir das Leben etwas einfacher. Auch OSSEC macht einem das Leben noch etwas einfacher, da es den Server bis zu einem gewissen Punkt überwacht. Ansonsten fallen mir persönlich keine weiter Sicherheitsrelevanten dinge auf die Schnelle ein.

Über IpTables scheiden sich ja die Geister. Ich für meinen Teil habe einige Regeln auf dem Server aktiviert, und lasse bestimmte Paktet mitloggen.

Zum Thema Apache bleibt noch zu sagen, dass man überlegen könnte ob man eAccelerator und/oder Zend-Optimizer installiert, da dies die Performance erhöht. Ausserdem bleibt noch zu sagen, dass wenn nur du die Möglichkeit hast PHP-Skripte zu erstellen und zu ändern, dann wäre mod-php auch keine schlechte wahl gewesen. Das Modul ist etwas schneller als fastcgi.

Gruß Mordor

[dev]

Mhhhh, fail2ban bei RSA only Authorization und knockd? Was soll das bringen? Damit trickse ich mich wohl selbst aus hrhr.

Bei den PHP Acceleratoren habe ich in Verbindung mit fcgi gelesen, dass es keine Drehzahl auf den Tacho bringt (bedingt durch die wechselnden Userprozesse).

Klar - ich hätte php5-mod nehmen können. Sollte allerdings doch mal ein Skript als Angriffsvektor funktionieren, hat man einen privilegierteren Amokläufer als mit suexec PHP.

/dev

[Mordor]

Fail2ban bringt dir ja nicht nur was im Sinne von SSH, sondern auch wenn du mal nen Mailserver am laufen hast, oder doch mal FTP benötigt werden sollte. Da kommts nur auf die Konfiguration drauf an.

Mit eAccelerator und FastCGI hab ich leider keine Erfahrungen. da müsste dir jemand anderes weiter helfen.

[traced]

Respekt, für einen "Änfänger" gut die Hausaufgaben gemacht! Das freut´ doch mal

lg Basti

[dev]

traced: Danke. Meinen Linux-"Erstkontakt" mit einer eigens installierten virtuellen Probiermaschine hatte ich am 24.09.2008.

@Mordor: Ok, stimmt. F2b geht ja auf das auth.log. Aber im Moment läuft ja nix ausser dem Apachen.


Könnte ich denn mit so einer Maschine "in echt" ins Netz? Die Logs habe ich im Blick und weiss, wo ich was suchen muss, die ständige Wartung des OS ist mir bewusst. Auf der Konsole bewege ich mich zwar noch holperig, aber ich komme mit den Hoch- und Runtertasten bzw. Tab bzw. 'whatis', 'whereis' und 'man *' ganz gut zurecht

Meine PHP-Skripte sind sicher, ausserdem habe ich eine recht ausgeklügelte htaccess, die auch als "weblication" Firewall funktioniert, sprich auf bestimmte Muster und Bots anspringt. Wird ein 404 generiert (Rumspielen mit den URL Parametern?) kriege ich eine E-Mail mit diversen Parametern von "meinen" Seiten. Ist auch für die Fehlersuche ganz hilfreich.

Ausserdem sind heisec und diverse andere Security Listen in meinem Newsreader.

Wann weiss man, ob man darf? Ich persönlich halte mich mittlerweile für fit und verantwortungsbewusst genug, aber ich will nicht an meiner eigenen Hybris zugrunde gehen

/dev

[Mordor]

Ich persönlich würde jetzt mal sagen, dass das ein ziemlich gutes Grundwissen ist, was du dir da angeeignet hast, was dir die ganzen Skriptkiddis schon mal vom Hals hält, bzw. sollten dir diese keine Probleme machen.

Wichtig ist halt nur, dass du dir im klaren bist, dass Sicherheit ein vortlaufender Prozess ist, an dem man stetig weiter arbeitet. Aber so wie das klingt, hast du dir das schon bewusst gemacht.

Wie oben schon gesagt, schau dir noch mal OSSEC an. Das Tool ist ziemlich gut, vorallem weil es auch über Probleme in Mysql-Tabellen informiert, über fehlgeschlagenen Angriffe, nach Root-kits sucht und und und.

Dann wünsch ich mal viel Spaß bei der ersten Onlinekiste. Denn dem sollte eigneltich nichts im Wege stehen.

Gruß Mordor

[Firewire2002]

Aus Sicht der Sicherheit spräche nichts dagegen, so eine Kiste ans Netz zu lassen.
Ganz ehrlich, wäre mir die sogar zu sicher. Da würde mir das administrieren keinen Spass mehr machen. Aber muss jeder Admin für sich selbst entscheiden. Es wird immer ein Kompromiss zwischen Komfort und Sicherheit bleiben.

[Saint2000]

Auf jedenfall haben wir jetzt mal einen Referenzthread für die ganzen "Ich hab keinen Plan von Linux aber nen rootserver" Threads

Vielleicht wäre chkrootkit noch ne Möglichkeit. Und übrigens Logwatch ist wirklich gut, freue mich jeden Morgen über die Mail die er mir auf Arbeit schickt.

[traced]

Ich denke auch dass Du problemlos so loslegen kannst. Und, da Du dich wirklich auch mit der Materie beschäftigt hast, wirst Du dich als Admin auch sicher gut einleben. Falls wirklich was unklar ist einfach drauf los fragen hier

[dev]

Zitat:

Zitat von Saint2000

Auf jedenfall haben wir jetzt mal einen Referenzthread für die ganzen "Ich hab keinen Plan von Linux aber nen rootserver" Threads

Hehe. Dieser Satz erinnert mich ja an das hier. Gestern gefunden - ist auch schön zu lesen.

Stichwort: chkrootkit - das habe ich mir schon im Rahmen angesehen und einen Testscan gemacht. Aber da ich muss ich auch noch mal forschen, was genau alles dahinter steckt. Mache ich mit OSSEC zusammen.

Eine Anmerkung zu meiner obigen Konfiguration: Ich war etwas zu schnell. Im Moment habe ich nur einen Schlüssel für meinen einen SSH Benutzer generiert - damit funktioniert natürlich kein Webuser via SFTP bei ausgestelltem Passwort Login.

Das muss ich heute mal noch überprüfen und wahrscheinlich auf die PKI Methode verzichten und mich neben dem Portknocker auf fail2ban beschränken.

Danke für Eure motivierenden Worte!

/dev

[Mordor]

Der Artikel ist der Hammer

[dev]

Ich bin es noch einmal: Die tägliche Arbeit gestaltet sich recht gut.

Mittlerweile läuft auch mod_security und ich bastele mir Regeln bzw. verlagere die vorhandenen aus den htaccess Dateien in das Modul. Ich filtere da u. a. gegen 150+ 'schlechte' Bots, Image Hotlinking, Referrer Spam und Remote Code Inclusion.

Daneben hat der eAccelerator den Apachen noch einmal schneller gemacht, das Modul funktioniert gut mit php als Fast CGI. Ich habe mit meinem Standard CMS die PHP Renderzeit bei gecachten Seiten von 0.25 Sek auf <0.19 Sek drücken können, +20% sind ein Wort Dabei sind auch die Load Peaks auf den CPUs verringert worden.

Logwatch schickt mittlerweile täglich seine E-Mail und chkrootkit bzw. rkhunter tun auch ihren Dienst.

Beim Monitoring habe ich mich für Munin entschieden: Ein (anderer virtueller) Server holt die Daten vom Node ab, Zugriff bzw. die Darstellung erfolgt in einem htpasswd geschützten Bereich auf dem vServer.

Ein paar Dinge fehlen noch:

• monit zur lokalen Diensteüberwachung und ggf. Restart
• ein externer Dienst zur Überwachung und SMS-Benachrichtigung
• mod_evasive bei Reload-Dauerfeuer bzw. aggressiven Bots (meine PHP Skripte haben aber auch Throttling eingebaut)
• ein Backupkonzept, das nicht über FTP läuft <- das ist meine grösste Sorge im Moment, trotz 7-Tage Full- bzw. inkrementellen Backups von DB-Dumps und vHosts.

Nun muss ich endlich mal OSSEC probieren

[Elradon]

Ich glaub auch, dass hier mal ein Musteranfänger von sich hören lässt! und ich glaube auch, dass mir dieses Thema, wenn ich mich mal wieder mit Serveradministration beschäftigen werde, sehr gut weiterhelfen wird. Ich stelle mir bloß eine Frage, die sicherlich auch andere, die dieses Thema lesen werden, haben könnten: wo hast du das Wissen her? Hast du ein spezielles Buch / mehrere Bücher, Onlinetutorials gelesen? Schon allein eine Liste, wie die im ersten Beitrag zu erstellen, bekommen viele Anfänger, mich eingeschlossen, nicht auf die Reihe...

[marneus]

Ich habe den Thread mal Sticky gesetzt. Meiner Meinung nach beschreibt es recht anschaulich und dennoch mit der nötigen Kürze wichtige Maßnahmen bei der Inbetriebnahme eines Servers.

--marneus