Alleinigen FTP Server optimieren

[terminal]

Hallo liebe Community,

ich hoffe, ich stelle meine Frage am richtigen Ort. Die Suche hat mir durchaus weiter geholfen, allerdings blieben einige Fragen offen, so dass ich hier noch einmal konkret fragen möchte. Ich komme aus der OS X Welt, kenne mich mit Unix an der Konsole also ein wenig aus.

Ich möchte meinen vServer dahingehend optimieren, dass er mit einem schlanken und verschlüsselten FTP Programmm mit 2-3 Benutzern läuft. Alle anderen Ports und Dienste wie Mail, HTTP und mySQL möchte ich deaktivieren.

1) Welche Dienste müssten dafür quasi als Mindestmaß aktiviert bleiben?
2) Ist es richtig, dass ich alle Ports bis auf verschlüsseltes FTP und SSH sperren kann?
3) Welcher FTP Dienst eignet sich hierfür am besten? (einfach, verschlüsselt, wenig Funktionen)
4) Weitere Sicherheitsmaßnahmen?

Wie Ihr seht möchte ich den vServer auf nur die benötigten Dienste runterschrauben und so sicher wie möglich machen. Über Hilfe und Tips würde ich mich sehr freuen! Danke sehr.

 

[bibabu]

Hallo,

ich würde eine kombination aus Debian und proftpd bevorzugen. Alle weiteren Dienste muss du ja garnicht erst installieren. Alternativ hatte ich auch schonmal http://bftpd.sourceforge.net/index.html im Einsatz. Ob der allerdings alles kann was du benötigst weiß ich nicht.

 

[terminal]

Hallo und vielen Dank!

Das klingt ja schon mal nicht schlecht, aber bei dem FTP Modul vermisse ich die Verschlüsselung. Darf ich fragen warum du es nicht mehr benutzt(nur aus Interesse)? Ich glaube ich probiere es mal mit ProFTPd, benutze auch Debian. So wie ich das sehe hat mein Provider jedoch die Dienste bereits vorkonfiguiert..? Ich muss sie also händisch deaktivieren, daher meine Frage, was sind die Dienste und Module, die ich minimal aktiviert haben muss um den Server am laufen zu haben?

Nochmal, weil ich mich vorhin nicht so deutlich ausgedrückt habe: Ich möchte den Server aus ökonomischen und sicherheitsrelevanten Gründen auf das Mindestmaß reduzieren, quasi "abspecken". Dazu finde ich aber nur wenig (vielleicht hat ja jemand ein HowTo oder so ähnlich), meistens geht es nur darum den Server mit allen möglichen Diensten auszurüsten.

 

[bibabu]

Hi,

ich habe bftpd auf meinem Backupserver benutz. Inzwischen bin ich aber auf rsync umgestiegen.

Du kannst ohne weiteres Apache, lighttpd, Exim, Qmail, Postfix und SpamAssassin stoppen. Ich würde aber dazu übergehen den Server mit einem minimalen Template zu installieren.

 

[terminal]

Klingt spannend, welches minimale Template kannst du denn empfehlen?

Ah, okay. Vielen Dank. Ich nehme jetzt mal ProFTP und schalte die Dienste alle ab. Speicherauslastung geht deutlich zurück, genau so wollte ich es haben. Ports sperre ich noch, wenn ich von der Arbeit wieder daheim bin, genau wie die ssl Implementation.Die üblichen Sicherheitsmaßnahmen wie disabled root login und Portverlegung habe ich getroffen. Gibt es noch weitere Sicherheitsmaßnahmen die bei dem Betrieb als reinen FTP-Server sinnvoll sind, bzw. gibt es bei ProFTP noch etwas gesondert abzusichern?

 

[Thunderbyte]

Die Templates stellt der vServerprovider zur Verfügung, daher muss man auch dort nachsehen. Oft gibt es Minimalinstallationen, die aber für Deine Zwecke potentiell sogar schon zu viel mitbringen (Apache, MySQL, etc.).

 

[Roger Wilco]

Ports sperre ich noch

Das brauchst du nicht. Wenn kein Dienst läuft, der sich an andere Ports bindet, ist über diese auch kein Zugriff möglich. Ein Paketfilter ist dann eher noch ein weiterer potentieller Angriffsvektor.

Gibt es noch weitere Sicherheitsmaßnahmen die bei dem Betrieb als reinen FTP-Server sinnvoll sind, bzw. gibt es bei ProFTP noch etwas gesondert abzusichern?

Den Benutzern (sofern Systembenutzer) keine interaktive Loginshell sondern /bin/false oder /sbin/nologin zuweisen, evtl. den ftpd in eine chroot-Umgebung sperren und die Partition, auf der die Daten gespeichert werden mit den Mount-Optionen noexec,nosuid,nodev (oder kürzer users) einbinden.

Oft gibt es Minimalinstallationen, die aber für Deine Zwecke potentiell sogar schon zu viel mitbringen (Apache, MySQL, etc.).

Unter Minimalinstallation/Minimalsystem verstehe ich eigentlich gerade Systeme ohne vorinstallierten Web- und Datenbankserver. Im Prinzip nur Grundsystem und SSH als einzigen installierten Netzwerkdienst. Alles andere sollte nicht mehr "minimal" geschimpft werden.

 

[terminal]

@Roger Wilco:

1) Ports: Sehr gut, das ist ja quasi in der Hinsicht das "sicherste"...?

2) Sicherheit: Werde ich mir mal ansehen die weiteren Sicherheistmaßnahmen, vielen Dank!

3) Zu Minimalinstallation: Genau so etwas suche ich, dann kann ich alles nach meiner Zufriednheit einrichten! Aber jetzt probiere ich es erstmal so. Trotzdem, gibt es so etwas?

Warum ist es eigentlich so schwer HowTo´s und Anleitungen zum Thema "Wie mach ich meinen Server schlank?" zu finden? Ist es nicht so, dass dies der viel sicherere und ökonomischere Betrieb ist?

 

[Roger Wilco]

Warum ist es eigentlich so schwer HowTo´s und Anleitungen zum Thema "Wie mach ich meinen Server schlank?" zu finden?

Weil man normalerweise ein kleines, schlankes Grundsystem hat und dann lediglich installiert, was man benötigt und nicht anders herum.

 

[bibabu]

Wenn du Debian benutzt, schau dir mal das Programm "debfoster" an. Aber bitte zuerst die man Page lesen und nicht wild alles deinstallieren.

 

[terminal]

@ Roger Wilco: Das leuchtet mir ein, aber wenn ich die Standardkonfigurationen der meisten Anbieter so sehe... Naja, selbst ist der Admin.


@ bibabu: Vieln Dank für den Tipp. Ja, die man Page sollte man eigentlich immer lesen, wenn man etwas nicht kennt.