Hallo zusammen,
mein Interesse ist derzeit, einen vServer (Ubuntu 8.0.4/Plesk 9.5.4) so gut als möglich abzusichern. Die Grundsicherung ist erfolgt (ssh nur über PKI, root Login disabled, kein Login mehr mittels Password, Named ssh Users only, FTP abgeschaltet, PHP als FastCGI/suexec mit Suhosin, User gechrootet, ungenutzte Apache Module entfernt, sicherheitsrelevante hinzugefügt). Jetzt möchte ich mich dem Bereich Email Absicherung widmen – und hierbei genau so vorgehen, wie bisher. Nichts tun, ohne es vorher verstanden zu haben. Meine Idee ist, den Server weitgehend abzusichern, BEVOR ich mit Firewall und Denyhosts den (vorerst) letzten Schritt gehen werde (beides also noch nicht installiert).
Ich benötige (leider) auch Webmail. Derzeit ist Horde installiert – und hinsichtlich der diversen (m.E.) hochgefährlichen test.php Dateien in diversen Verzeichnissen abgesichert. Horde ist auch der einzige Grund, warum mod_php noch installiert ist. Ich habe es mit FastCGI alleine nicht hin bekommen und Plesk scheint diese Variante auch nicht zu unterstützen. Also 2x PHP auf dem System und Zähne knirschen.
Ich würde Webmail User gerne zwingen, sich ausschließlich über SSL/LTS anzumelden. Meine Test-Zertifikate laufen. Dummerweise können sie sich aktuell auch noch auf „normalem“ Wege anmelden. Nmap liefert im Moment folgendes Bild (nur mailrelevante Ports):
25/tcp filtered/rot (smtp Service)
106/tcp open (pop3pw Service, poppassd)
110/tcp open (pop3 Service, Courier pop3
143/tcp open (imap Service, Courier imap)
465/tcp open (smtp Service, qmail smtps)
587/tcp open (smtp Service, qmail smtp)
993/tcp open (imap Service, Courier imaps)
995/tcp open (pop3 Service, Courier pop3s)
Jetzt zu meinen Fragen:
Macht es Sinn, ausgewählte Ports (z.B. 106??, 110, 143, 587) abzuschalten?
Falls ja, kann ich die Ports auch ohne Firewall in reboot-fester Weise abschalten, also z.B. über eine Konfigurationsdatei?
Falls nein, was kann ich (ohne Firewall) machen, um meine Email Sicherheit zu erhöhen, ohne unbedarftere spätere Nutzer allzu sehr zu behindern.
Bin für jeden Input dankbar, egal ob Link, zielführendes Stichwort oder Tip für die richtige Richtung. Und bevor üble Rügen kommen. Nein, mein Mail Server ist vorerst schlafen geschickt – ich wecke ihn derzeit nur, während ich an ihm weiterbastle
Wünsch Euch schon mal ein angenehmes Wochenende – baut nicht zu sehr auf gutes Wetter. Die Regenmengen, die gerade auf mich herab prasseln, sind morgen bei Euch.
Grüße,
Thomas
mein Interesse ist derzeit, einen vServer (Ubuntu 8.0.4/Plesk 9.5.4) so gut als möglich abzusichern. Die Grundsicherung ist erfolgt (ssh nur über PKI, root Login disabled, kein Login mehr mittels Password, Named ssh Users only, FTP abgeschaltet, PHP als FastCGI/suexec mit Suhosin, User gechrootet, ungenutzte Apache Module entfernt, sicherheitsrelevante hinzugefügt). Jetzt möchte ich mich dem Bereich Email Absicherung widmen – und hierbei genau so vorgehen, wie bisher. Nichts tun, ohne es vorher verstanden zu haben. Meine Idee ist, den Server weitgehend abzusichern, BEVOR ich mit Firewall und Denyhosts den (vorerst) letzten Schritt gehen werde (beides also noch nicht installiert).
Ich benötige (leider) auch Webmail. Derzeit ist Horde installiert – und hinsichtlich der diversen (m.E.) hochgefährlichen test.php Dateien in diversen Verzeichnissen abgesichert. Horde ist auch der einzige Grund, warum mod_php noch installiert ist. Ich habe es mit FastCGI alleine nicht hin bekommen und Plesk scheint diese Variante auch nicht zu unterstützen. Also 2x PHP auf dem System und Zähne knirschen.
Ich würde Webmail User gerne zwingen, sich ausschließlich über SSL/LTS anzumelden. Meine Test-Zertifikate laufen. Dummerweise können sie sich aktuell auch noch auf „normalem“ Wege anmelden. Nmap liefert im Moment folgendes Bild (nur mailrelevante Ports):
25/tcp filtered/rot (smtp Service)
106/tcp open (pop3pw Service, poppassd)
110/tcp open (pop3 Service, Courier pop3
143/tcp open (imap Service, Courier imap)
465/tcp open (smtp Service, qmail smtps)
587/tcp open (smtp Service, qmail smtp)
993/tcp open (imap Service, Courier imaps)
995/tcp open (pop3 Service, Courier pop3s)
Jetzt zu meinen Fragen:
Macht es Sinn, ausgewählte Ports (z.B. 106??, 110, 143, 587) abzuschalten?
Falls ja, kann ich die Ports auch ohne Firewall in reboot-fester Weise abschalten, also z.B. über eine Konfigurationsdatei?
Falls nein, was kann ich (ohne Firewall) machen, um meine Email Sicherheit zu erhöhen, ohne unbedarftere spätere Nutzer allzu sehr zu behindern.
Bin für jeden Input dankbar, egal ob Link, zielführendes Stichwort oder Tip für die richtige Richtung. Und bevor üble Rügen kommen. Nein, mein Mail Server ist vorerst schlafen geschickt – ich wecke ihn derzeit nur, während ich an ihm weiterbastle
Wünsch Euch schon mal ein angenehmes Wochenende – baut nicht zu sehr auf gutes Wetter. Die Regenmengen, die gerade auf mich herab prasseln, sind morgen bei Euch.
Grüße,
Thomas
