Hallöchen alle zusammen,
ich bin gerade dabei ein möglichst sicheres System aufzusetzen. Ich bin mir bewusst dass das nicht bedeutet, dass ich jetzt einmal alles richtig mache, sondern dass ich daran immer weiter arbeiten muss.
Ich hab mir jetzt mal in einer VM Debian 5.0 Minimal Installation installiert.
Ich würde jetzt gerne sehen welche Dienste auf dem Server alle laufen, und die Dienste die ich gar nicht brauche wegschmeißen, bzw. blockieren
Ziel des Servers: Web(Apache MYSQL PHP) Mail FTP [OpenVPN(-Client)]
Meiner Meinung nach kann ich also alle anderen Dienste deaktivieren. Aber welche Dienste tragen zu einem sauberen Debian betrieb bei? Den DNS-Service sollte ich nicht abschalten. z.B.
Aber was gibt es noch so für Sachen die ich abschalten kann?
Gibt es ein Programm mit dem ich die Ports des Server Scannen kann?
Dann kommen wir zu meiner zweiten Frage:
Zurzeit nutze ich IPTables die nur einen Zugriff auf SSH (Port != 22)weiterleitet. Ansonsten alle einkommende Pakete verwirft. Bald will ich natürlich Mail HTTP FTP auch freigeben...
Momentan erlaube ich alle ausgehenden Verbindungen. Würde es denn Sinn machen dies auch zu unterbinden? Ich stell mir das Szenario so vor, dass sich jemand bei mir einhackt, und ein Programm einbettet welches z.B. BruteForce Attacken auf andere Server ausführen will. Was aber wenn dieses Programm nun keinen Port nach außen findet?
Fraglich wäre dann aber wieder welche Ports ich freigeben müsste, für einen normalen (server) Debian betrieb, und ob das Programm nicht auch diese Ports nutzen könnte. Aber wenn einer Port 88998 konfiguriert und dieser ist zu ist das EIN weiterer Schritt ...
Theoretisch ist es möglich. Aber funktioniert dann das System noch?!
Das Ziel ist es halt, dass WENN ein Hacker in meinem System ist, oder irgendein Exploid ausnutzt nicht sofort über meinen Server andere Server kompromittieren kann.
Natürlich wäre man in der Lage WENN man Zugriff auf das System hat die IPTABLES zu editieren, ABER es ist EIN Schritt mehr zu Sicherheit.
Also zwei Punkte:
Stichwort Chroot? Wie sicher ist es wirklich? Ich les immer nur dass man da easy ausbrechen kann. Aber wäre wieder ein Schritt mehr oder?
Wäre dankbar für ein paar Rückmeldungen.
LG OP
Edit:
Momentan habe ich nur openSSH nachinstalliert.
-Root Login verboten.
-NUR ein bestimmter User darf sich einloggen.
-Momentan nutze ich noch das Passwort verfahren, bin aber gerade parallel dabei auf Zertifikate umzustellen :]
ich bin gerade dabei ein möglichst sicheres System aufzusetzen. Ich bin mir bewusst dass das nicht bedeutet, dass ich jetzt einmal alles richtig mache, sondern dass ich daran immer weiter arbeiten muss.
Ich hab mir jetzt mal in einer VM Debian 5.0 Minimal Installation installiert.
Ich würde jetzt gerne sehen welche Dienste auf dem Server alle laufen, und die Dienste die ich gar nicht brauche wegschmeißen, bzw. blockieren
Ziel des Servers: Web(Apache MYSQL PHP) Mail FTP [OpenVPN(-Client)]
Meiner Meinung nach kann ich also alle anderen Dienste deaktivieren. Aber welche Dienste tragen zu einem sauberen Debian betrieb bei? Den DNS-Service sollte ich nicht abschalten. z.B.
Aber was gibt es noch so für Sachen die ich abschalten kann?
Gibt es ein Programm mit dem ich die Ports des Server Scannen kann?
Dann kommen wir zu meiner zweiten Frage:
Zurzeit nutze ich IPTables die nur einen Zugriff auf SSH (Port != 22)weiterleitet. Ansonsten alle einkommende Pakete verwirft. Bald will ich natürlich Mail HTTP FTP auch freigeben...
Momentan erlaube ich alle ausgehenden Verbindungen. Würde es denn Sinn machen dies auch zu unterbinden? Ich stell mir das Szenario so vor, dass sich jemand bei mir einhackt, und ein Programm einbettet welches z.B. BruteForce Attacken auf andere Server ausführen will. Was aber wenn dieses Programm nun keinen Port nach außen findet?
Fraglich wäre dann aber wieder welche Ports ich freigeben müsste, für einen normalen (server) Debian betrieb, und ob das Programm nicht auch diese Ports nutzen könnte. Aber wenn einer Port 88998 konfiguriert und dieser ist zu ist das EIN weiterer Schritt ...
Theoretisch ist es möglich. Aber funktioniert dann das System noch?!
Das Ziel ist es halt, dass WENN ein Hacker in meinem System ist, oder irgendein Exploid ausnutzt nicht sofort über meinen Server andere Server kompromittieren kann.
Natürlich wäre man in der Lage WENN man Zugriff auf das System hat die IPTABLES zu editieren, ABER es ist EIN Schritt mehr zu Sicherheit.
Also zwei Punkte:
- Welche Dienste kann ich abschießen, weil Ich sie nicht nutze, und sie potentielle Schwachstellen sind
- Wie kann ich das System abschotten dass wenn ich gehackt bin nichts rauskommt.
Stichwort Chroot? Wie sicher ist es wirklich? Ich les immer nur dass man da easy ausbrechen kann. Aber wäre wieder ein Schritt mehr oder?
Wäre dankbar für ein paar Rückmeldungen.
LG OP
Edit:
Momentan habe ich nur openSSH nachinstalliert.
-Root Login verboten.
-NUR ein bestimmter User darf sich einloggen.
-Momentan nutze ich noch das Passwort verfahren, bin aber gerade parallel dabei auf Zertifikate umzustellen :]
Last edited by a moderator: