Diverse Sicherheitsfragen

R

Rulsn

New Member
Hallo zusammen,

da mir ja schonmal hier im Forum von einem Windows-Server abgeraten wurde, arbeite ich mich derzeit auf Linux ein. Habe dazu das Buch von mitp zum Thema Debian Server Administration durchgearbeitet, es sind aber noch einige Fragen offen.

Derzeit arbeite ich auf einer vm und habe eine Minimalkonfiguration von Debian 6 laufen. Folgendes habe ich erledigt:

SSH: kein root-login, Port geändert, AllowUsers gesetzt, Protocol v2 benutzt
Tripwire installiert und konfiguriert, damit auseinander gesetzt.

Auf Lange Sicht werde ich einen Apache laufen lassen und einen Mailserver (muss mich aber erst nochmal genauer mit postfix auseinander setzen...). Da ich ohnehin clamav als daemon zur Überprüfung der Mails laufen lassen werde, ist die Frage, ob es Sinn macht ihn als Treibermodul laufen zu lassen um on-Access die Dateien zu prüfen? Macht das auf einem vServer sinn oder eher nicht?

Macht es weiterhin Sinn, neben Tripwire auch snort als IPS auf einem vServer laufen zu lassen, oder soll ich mich für eines entscheiden (kommt im Buch nicht wirklich raus).

Habe mich zudem in den Debian-Security-Mailverteiler eintragen lassen um dahingehend aktuell zu sein. Könnt ihr mir noch weitere Schritte empfehlen, ausser fail2ban (folgt noch), iptables (Frage: machen die Sinn, wenn ich nur meine besagten Dienste laufen lasse?)?

Vielen Dank und viele Grüße!
 
Das sieht doch schonmal gar nicht so schlecht aus. Gut, dass du dir soviel Mühe gibt.

Tripwire halte ich schon fast für "übertrieben", ist aber andererseits nicht wirklich verkehrt.

Ich kann dir noch schnell mit auf den Weg geben:
- SSH auf einen exotischen Port legen
- SSH-Login am besten nur mit Key
- Fail2Ban
- IPTABLES-Firewall kann hier teils sinnvoll eingesetzt werden
- Snort macht nur bedingt Sinn, finde ich
- vServer immer aktualisieren und Security-Meldungen verfolgen

Weisst du schon, welche Webseiten du auf dem Teil laufen lassen möchtest? Falls es sich um eine CMS-basierte Seite handelt, solltest du darauf achten, dass die eingesetzten Scripte keine Sicherheitslücken beherbergen. In vielen Fällen kommen die Angreifer über ein Loch in der Webseite auf den Server.
 
Last edited by a moderator:
Rulsn said:
Hallo zusammen,
SSH: kein root-login, Port geändert, AllowUsers gesetzt, Protocol v2 benutzt
Tripwire installiert und konfiguriert, damit auseinander gesetzt.

Auf Lange Sicht werde ich einen Apache laufen lassen und einen Mailserver (muss mich aber erst nochmal genauer mit postfix auseinander setzen...). Da ich ohnehin clamav als daemon zur Überprüfung der Mails laufen lassen werde, ist die Frage, ob es Sinn macht ihn als Treibermodul laufen zu lassen um on-Access die Dateien zu prüfen? Macht das auf einem vServer sinn oder eher nicht?
Click to expand...

Port des SSH zu ändern ist IMHO snakeoil. Ausschließlich Login mit public-key erlauben und schon ist Ruhe. Selbstverständlich gilt auch dafür: kein root-login usw.

Das beste IPS es besteht darin zu wissen, was auf Deinem System so passiert. Da helfen Dir logwatch und lfd recht gut dabei. Der Einsatz einer Firewall macht IMHO nur Sinn, wenn der Bedarf besteht, Traffic und dessen Wege/Richtungen auf niedrigem Niveau zu kontrollieren. Dieses Einsatzszenario ist Deinem Beitrag aber so nicht zu entnehmen.

Sicherheitstechnisch schwieriger und damit kritischer wird die Webserver-Konfiguration (Apache) und die des Mailservers (postfix). Wenn es nicht aus technischen Gründen unbedingt sein muss, würde ich eher zu lighttpd raten. Mir persönlich erscheint da die Konfiguration übersichtlicher - auch was die obligatorische Verwendung zusätzlicher Module angeht.

Wenn Du einen Mailserver betreiben willst, musst Du Dich mit dem Gesamtkomplex Spam-Abwehr (z.B. Amavis + SpamAssassin + ClamAV) befassen. Auch das Thema Blacklisting innerhalb von Postfix solltest Du Dir ansehen - spart ungemein Server-Ressourcen.
 
Den Port kann würde ich schon verändern. Dann gibts zumindest weniger "Script-Kiddy" Logeinträge welche admin/123456 probieren.

Wenn du den SSH Port höher setzt, kannst du so auch eher erkennen wenn jmd. wirklich eindringen will. :>
 
Wenn man ausschließlich nur Public-Key Auth-Methode zulässt, dann tauchen solche plumpen Versuche IMHO gar nicht erst auf, weil die schon mit der Message "no supported login method" o.s.ä. abserviert werden.
 
Ich hatte meinen SSH-Server auch eine Zeit lang auf einen anderen Port gelegt und Portsentry laufen. Da ist es fast unmöglich den SSH-Port in kurzer Zeit heraus zu finden.

Ob Sinn oder Unsinn, da scheiden sich die Geister.

Man nennt das auch Security through obscurity
 
Erstmal vielen Dank für eure Meinungen!

Habe nun noch zusätzlich logwatch und fail2ban aufgesetzt und entsprechend konfiguriert. Auch der ssh-Login ist nun nur noch per Key möglich. Habe auch den Port geändert, auch wenn diese Meinung offensichtlich umstritten scheint :)!
 
Vergiss bei all dem bitte nicht, dass Angriffe so gut wie nie über ssh erfolgen (außer man hat ein selten dämliches Passwort gesetzt). Sich so am ssh abzuarbeiten sollte dich nicht davon abhalten, all die Ecken deines Systems abzusichern, die viel eher als Einbruchsvektor dienen.

Zu beachten sind da in erster Linie Webserver, Scriptsprachen und Datenbankzugriffe. Aber auch allerlei unverschlüsselt übertragene Passwörter z.B. für eMail sind nicht ungefährlich.
 
Ja dessen bin ich mir bewusst. Jeder Service ist erstmal ein Risiko. Daher habe ich erstmal mit den Basics angefangen und werde alles nach und nach erweitern, sobald ich mich eingelesen habe. Wollte nur erstmal die grundlegenden Sicherheitsmechanismen (ssh absicher, fail2ban, logwatch) draufmachen und einrichten und dann weitergehen...
 
apticron ist auch nett. Informiert dich via Mail, wenn für deine Pakete (die via apt-get installiert wurden) updates vorliegen, inkl Informationen über Dringlichkeit etc.
Wenn du ein CMS von der Stange verwendet, wie zB Joomla ist mmN auch OSSEC nicht uninteressant
 
Ich kämpfe aktuell noch ein bisschen mit Logwatch. Hab es soweit eingerichtet bekomme auch die Mail und alles, aber z.B. wird mir die Ausgabe des Apache Logs und die Ausgabe des fail2ban Logs nicht angezeigt. Kann ich dann davon ausgehen, dass nichts Interessantes (zumindest für Logwatch interessant) drin steht oder läuft der Service nicht? Im Debug-Modus zeigt er mir bei vielen Services an, dass er aktuell drin ist und gibt das in der Mail aus. Bei fail2ban nicht, da seh ich nur, dass er das Modul prozessiert, aber habe keinerlei Ausgabe. Liegt das an dem fail2ban Skript was standardmäßig dabei ist, oder habe ich was falsch gemacht?

edit: Hat sich mitlerweiler erledigt, er zeigt die Meldungen jetzt an, warum auch immer...
 
Last edited by a moderator:
You must log in or register to reply here.
Back
Top