debian lenny test server absichern was ist sinnvoll

[alias]

Hallo ich habe mir einen server zusammengebaut und debian lenny mit xen installiert.
Bevor ich mir einen root hole möchte ich etwas zum üben und lernen haben(root und keinen plan)
Also ich habe auf dem server:
1.openssh:
abgesichert: nur per key login möglich, root verboten, port geändert auf 2222

2.apache2:
abgesichert: was ist hier sinnvoll? (modsecurity? modenvaise?)

3.postfix dovecot amavis awstats clamav spamassasins roundcube phpmyadmin mysql postfixadmin:
abgesichert: was ist hier sinnvoll? (keinen ahnung wie ich das packet absichern kann?)

4.php5:
abgesichert: was ist hier sinnvoll? (suhoshi?)

5.joomla:
abgesichert: was ist hier sinnvoll?

6. firewall:
iptable (reicht das?)

7. kernel:
abgesichert: was ist hier sinnvoll? (grsecurity?)

8. intrusion detection, (sinnvoll oder nicht?)

Was ist generell sinnvoll um den server abzusichern?
Ich hae die letzte zeit viel gelesen, aber ich dachte mir frag mal die pro´s

 

[Mordor]

1.openssh:
abgesichert: nur per key login möglich, root verboten, port geändert auf 2222

Klingt doch schon mal ganz gut. Man kann sich noch überlegen hier einen fail2ban oder DenyHosts einzusetzen.

2.apache2:
abgesichert: was ist hier sinnvoll? (modsecurity? modenvaise?)

Wichtig ist auch, wer in welche Ordner gucken kann, ob ein Index der Verzeichnisse angezeigt wird, wenn man wilkürlich etwas auf dem Server aufruft. modsecurity und modevasive machen gut konfiguriert auf jeden Fall sinn.

3.postfix dovecot amavis awstats clamav spamassasins roundcube phpmyadmin mysql postfixadmin:
abgesichert: was ist hier sinnvoll? (keinen ahnung wie ich das packet absichern kann?)

Das wichtigste ist, dass du dir kein open-relay angeschafft hast. Such mal im Netz, dann findest du bestimmt ein Tutorial wie man es über eine Shell testen kannst, oder eine Seite die dir einen Test ermöglicht. Wenn du mit Hilfe eines halbwegs vernüntigen Howtos installiert hast, sollte das ganze eigentlich schon sicher sein. Wenn nicht, würde ich dir raten, mal nach einem vernünftigen Howto zu suchen, und dieses abzuarbeiten, und es zu verstehen. Eine gute Anlaufstelle ist hier Howtoforge

4.php5:
abgesichert: was ist hier sinnvoll? (suhoshi?)

Mit Suhosin verhält es sich ebenso wie mit modsecurity und modevasive: es bringt auch nur etwas, wenn es gut konfiguriert ist. Ansonsten macht es nur Probleme.
Ausserdem muss man darauf achten, dass Direktiven wie open-basedir und einige andere richtig gesetzt sind. Auf Heise gab es da mal nen interessanten Artikel hier

5.joomla:
abgesichert: was ist hier sinnvoll?

Ein sicheres PHP ist hier die halbe Miete. Ansonsten die Updates zeitnah einspielen, und evtl die Zugang zum Adminpanel nur über SSL zugänglich machen. Ansonsten sehr wählerisch bei der Auswahl von Komponenten Modulen und Plugins sein.

6. firewall:
iptable (reicht das?)

Das mit der Firewall ist schwehr zu sagen, da streiten sich die Geister. Ich habe im Moment keine Auf meinen Servern, da man sie meines Erachtens nicht benötigt. Es sind eh nur Ports von Programmen offen, die man selbst installiert hat. Also sollte man alles was man wirklich nicht benötigt auch deinstallieren. So kann dann auch kein Port auf gehen, den man nicht benötigt.

8. intrusion detection, (sinnvoll oder nicht?)

Hier würde ich die OSSEC enofegkeb, Das Tool ist einfach zu installieren und hält einen auf dem laufenden. Ausserdem könntest du dir noch RootKitHunter ansehen. Vielleicht ist das auch interessant für dich.

 

[alias]

Danke Mordor, das bringt mich schonmal weiter
Also das postfix packet habe ich mit iRed installiert
Werde mir aber die konfiguration mal genauer anschauen.
Für ssh noch fail2ban dann ist ssh schonmal sicher und kann von meiner todo liste gestrichen werden.
Beim apache weiss ich bescheid, steht alles in einem buch was ich mir gekauft habe. Nur leider steht da nix von modsecurity und modenvaise Muss ich das netz mal abgrasen.
Würde gerne das postfix packet mysql apache und php alle in eine eigene chroot stecken, kennt jemand ein gutes howto?? Wie finde ich raus welche dateien in die chroot müssen?

 

[Lord Gurke]

Das mit der Firewall ist schwehr zu sagen, da streiten sich die Geister. Ich habe im Moment keine Auf meinen Servern, da man sie meines Erachtens nicht benötigt. Es sind eh nur Ports von Programmen offen, die man selbst installiert hat. Also sollte man alles was man wirklich nicht benötigt auch deinstallieren. So kann dann auch kein Port auf gehen, den man nicht benötigt.

Sehe ich nicht so. Immer wieder gibt es Programme, die man installiert hat und laufen sollen, aber mehrere Ports öffnen - z.B. einen Management-Port.
Als Beispiel nehme ich mal Teamspeak2: Neben dem Port für die eigentliche Sprachübertragung wird auch der Query-Port geöffnet. Diesen will ich aber nicht für die ganze Welt öffnen (weiß man, ob mal jemand einen Exploit dazu findet?). Stattdessen kann ich per Firewall die zwei oder drei IP-Adressen eintragen, die den Port erreichen dürfen - für den Rest der Welt ist dieser Port zu.


@alias:
Am Besten solltest du dir noch ein Monitoring-System für den Server zulegen. Ich habe mir da selber was aus mehreren Statistik-Tools zusammengebastelt, wo ich regelmäßig reingucke.
Auf solchen Graphen lässt sich nämlich sehr schnell erkennen, ob irgendein Serverdienst etwas verdächtiges tut. Reißt zum Beispiel der Graph des Mailservers stark aus, solltest du mal nachsehen, was der da gerade so treibt.
Für praktisch jeden Serverdienst gibt es (meist mehrere) grafische Statistiktools - da solltest du einfach ausprobieren, welches dir die besten Werte liefert.

 

[fuchzga]

Also das postfix packet habe ich mit iRed installiert
Werde mir aber die konfiguration mal genauer anschauen.

In meinen Augen das Beste was man als Einsteiger machen kann. Sehr schönes Script.
Keine Angst, da kann man nichts falsch machen.