Ersten vServer absichern

[Quiet]

Hallo,
nachdem ich Zuhause ein wenig mit Debian auf einem alten Rechner rumgespielt habe, war es vor ein paar Tagen Zeit für meinen ersten vServer, eine minimale Debianinstallation von Hetzner. Die einzigen Dinge die ich daraufhin installiert und eingerichtet habe sind Apache, MySQL, phpMyAdmin, proFTPD. Meine Frage ist jetzt, ob ich irgendetwas zur weiteren Sicherung des Servers tun kann, außer der Dinge, die ich schon erledigt habe:

• Rootlogin gesperrt (arbeite mit sudo).
• SSH-Login nur per Public-Key-Authentifizierung möglich.
• Diverse andere SSH-Einstellungen, wie Portänderung, MaxAuthTries, SSH2 oder AllowUsers.
• Iptables eingerichtet.
• Hetznermonitoring eingerichtet.
• fail2ban installiert und eingerichtet.
• Regelmäßige apt-get update/upgrade.
• FTP-User eingesperrt und kein Login per SSH möglich.
• Lilo-Passwort gesetzt.
• Lange Passwörter aus Sonderzeichen, Buchstaben (klein/groß) und Zahlen.
• Apache: Läuft auf einem unpriviligiertem User, Fehlerseitensignatur und Directory-Browsing sind deaktiviert
• Es laufen nur die nötigsten Dienste (abgesehen von Apache, MySQL und proFTPD nur die Dienste aus der Minimalinstallation).

Wäre nett, wenn ihr mir noch ein paar Tipps geben könntet. An einem automatischen Backup arbeite ich noch, hab leider noch keinen passenden Hoster gefunden.
Danke und Gruß
Quiet

Edit: Sry, ausversehen in Dedizierte Server gepostet.

 

[LinuxAdmin]

MOD: in Virtuelle Server verschoben.

 

[Armin]

Hallo,

meinen Respekt hast du, du gehörst sicher zu den wenigeren wo sich sowas genau überlegen und dann einen (v)Server mieten.

 

[dante]

Morgn,

was mir da noch einfällt, weil ichs letztens selbst gebraucht habe:
mod_qos.
Damit kannst du solche Themen wie Slowloris-Angriffe ziemliche gut abfrühstücken.

Gruß
dante

 

[PapaBaer]

Moin,

auch von mir erstmal: Super Sache, erst lernen, dann loslegen. Wenn nur alle so rangehen würden. Zu den Punkten:

- Iptables eingerichtet.
Da du eh nur die Dienste laufen hast, die du brauchst, bringt n Packet-Filter an der Stelle nüscht.

- FTP-User eingesperrt und kein Login per SSH möglich.
FTP ist unverschlüsselt. Bauchst du unbedingt FTP? Dateitransfer ist auch über SFTP (=SSH) möglich.

- Lilo-Passwort gesetzt.
Öh? Ich denke das is n VServer? Die booten meiner Erkenntnis nach ohne Bootloader (außer bei Vollvirtualisierung). Und selbst dann. Vom Hostsystem komme ich immer an die Daten. Was bringt es daher, den VServer mit Passwort vor nem Reboot zu schützen, außer ne Menge Stress, weil er nicht Bootet ohne KVM. Und wieder: Öh, KVM und VServer ...

- Apache: Läuft auf einem unpriviligiertem User, Fehlerseitensignatur und Directory-Browsing sind deaktiviert
Da wäre noch Potiential das PHP weiter abzusichern, also fcgi statt mod_php, suhosin und die ganzen PHP-Settings a la openbasedir & co. Gerade in LAMP-Umgebungen ist oft nicht das Apache, sondern das PHP hinten dran das große Sicherheitsproblem.

Dazu kämen dann die ganzen Tools, die dir eine Überwachung des Systems auf Veränderungen ermöglichen. Zu nennen wäre da unter Anderem: rkhunter, tripwire, logwatch, ...

 

[Armin]

Man kann auch den slow loris mit nginx <==> apache2 gut abblocken.

- fail2ban wäre noch ein nettes script.
- ddos deflate (http://www.dreamteammoney.com/index.php?showtopic=65555)

 

[virtual2]

Ich würde sagen, der Lighttpd wäre für dich eher was.

Ebenso würde ich Ubuntu wegen der Releasezyklen statt Debian verwenden.

Trotzdem respeckt, du bist einer der wenigen, die vorher daheim gelernt haben und nicht gleich auf den Bestellbutton geklickt haben.

Verbesserungsvorschlag wäre unteranderem kein proftpd zu nutzen, da der ja kleine exploites hat, die unter Debian soweit ich weiß noch nicht behoben sind.

Ebenso ist das FTP Protokoll sehr abhörgefährdet, da die Logindaten im Klartext gesendet werden, hierfür würde ich sftp nutzen, das über deinen ssh dämon verwendet werden kann.

LG Joseph

 

[DerMitSkill]

Ebenso würde ich Ubuntu wegen der Releasezyklen statt Debian verwenden.

Damit das System immer schön aktuell, aber zugemüllt und weniger stabil ist?

Meiner Meinung nach hat Ubuntu nicht's auf 'nem Server zu suchen.

Die Desktop-Variante ist schon so'n zusammengeflickter ******..

 

[dev]

Ebenso würde ich Ubuntu wegen der Releasezyklen statt Debian verwenden.

Mit Verlaub, aber Ubuntu ist ein ziemlicher Haufen Schrott, zumindest was die Server- und Netbook-Edition angeht. Das würde ich niemals auf einer Produktivmaschine einsetzen.

Verbesserungsvorschlag wäre unteranderem kein proftpd zu nutzen, da der ja kleine exploites hat, die unter Debian soweit ich weiß noch nicht behoben sind.

Das Loch wurde in 1.3.2c reingfrickelt, im Debian stable-Zweig ist 1.3.1. Somit gibt es das aktuelle Problem bei Debian stable nicht:

http://bugs.proftpd.org/show_bug.cgi?id=3521
http://packages.debian.org/lenny/proftpd

 

[virtual2]

Sorry, mit verlaub, aber jeder etwas schlauere Serverbetreiber benutzt heute Ubuntu anstatt Debian.

Und nur so zur Info, ich bin hier in Insider Kreisen aktiv, wo z.B. Serveradministratoren von großen Firmen die neusten Infos bringen.

Und glaub mir, ich hatte vorher Debian auf meinen zwei vServern, der eine als MySQL DB Server via SSH getunnelt und der andere als Webserver mit Lighttpd und ich hatte dort mehr Ärger mit veralten Packeten als unter Ubuntu mit einem vermüllten OS.

Und ich kann dir sagen, mit Ubuntu als OS läuft die Kiste wesentlich stabiler.

Grüße,

Joseph

 

[dev]

Und nur so zur Info, ich bin hier in Insider Kreisen aktiv, wo z.B. Serveradministratoren von großen Firmen die neusten Infos bringen.

Na dann...

 

[PapaBaer]

Sorry, mit verlaub, aber jeder etwas schlauere Serverbetreiber benutzt heute Ubuntu anstatt Debian.

Tja, dann muss ich wohl doch dümmer sein als gedacht, wenn ich auf ca. 20 Maschienen seit Jahren stabil mit Debian fahre und mir damit das ganze Ubuntu-Gebastel erspare.

Im Ernst, nix gegen nen genüsslichen Flame-War, dann aber bitte Debian vs. RedHat vs. Suse vs. Gentoo vs. ... Aber Ubuntu? Sorry, ne.

 

[DerMitSkill]

virtual2, Du bist echt gut..

 

[dev]

Zumal er vor ein paar Tagen noch Debian oder Fedora "empfohlen" hat:

...
PS: Ich hätte ne Linux Kiste (Debian oder Fedora) genommen....

Fedora schätze ich ja als Desktop-Distribution, im RZ würde ich das allerdings auch nicht benutzen.

 

[voodoo44]

Sorry, mit verlaub, aber jeder etwas schlauere Serverbetreiber benutzt heute Ubuntu anstatt Debian.

Und warum tut der schlauere das, Joseph?

 

[virtual2]

Von mir aus, das ist mir sowas von egal, welchen Müll jemand auf seinem Server drauf hat.

Sorry, ich bleib bei Ubuntu Server, obwohl ich mit Debian damals angefangen habe.

@voodoo44: Da Ubuntu kürzere Releasezyklen hat.

Grüße,

Joseph

PS: Eine Person mit dem Nicknamen dev hat anscheinend das etc übersehen, außerdem gings hier um die Umstellung auf eine Linux Distribution.

 

[DerMitSkill]

@voodoo44: Da Ubuntu kürzere Releasezyklen hat.

Was auch nur etwas bringt, wenn man ein ach so toller apt-get-Serveradministrator ist

 

[virtual2]

Auf was spielst du hier an?

 

[dev]

@voodoo44: Da Ubuntu kürzere Releasezyklen hat.

Vor allem darauf ist man als Administrator scharf.

Der angesprochene proftpd Exploit (http://www.heise.de/security/meldung/Sicherheits-Update-fuer-FTP-Server-ProFTPD-1122539.html) ist übrigens in den letzten beiden Ubuntu-Releases enthalten.

Gefixt ist er erst in der proftpd-Version 1.3.3c+, lucid und maverick liefern 1.3.2c und 1.3.2e

 

[virtual2]

Vor allem darauf ist man als Administrator scharf.

Der angesprochene proftpd Exploit (http://www.heise.de/security/meldung/Sicherheits-Update-fuer-FTP-Server-ProFTPD-1122539.html) ist übrigens in den letzten beiden Ubuntu-Releases enthalten.

Gefixt ist er erst in der proftpd-Version 1.3.3c+, lucid und maverick liefern 1.3.2c und 1.3.2e

Proftpd ist mir sowas von wurscht, da ich nur den OpenSSH Server für sftp einsetze und bei mir kein proftpd läuft.