Linux auf Server sicher gestalten

[Mean]

Hallo,

ich habe bisher nur Erfahrungen mit Debian und Ubuntu im Bereich Clientsoftware gesammelt. Dort ist die Angriffsgefahr ja auch nicht sooo riesig wie im Serverbereich.

Nun wollte ich mich mal erkundigen, ob es sehr schwer ist, diesen sicher zu halten. In Windows spiele ich ja (mal ganz einfach gesagt) immer die neuesten SPs ein, lasse die Firewall + Virenscanner laufen und schon ist's einigermaßen sicher.

Wie hält man denn z.B. Debian so weit sicher? Kann das jemand mal theoretisch und in groben Abrissen hier mitteilen? Ist das sehr schwer, oder reicht ein apt-get update/... upgrade oder ... dist-update (und was es da alles gibt)?

Die Frage läuft nur einfach darauf hinaus, ob ich mir selbst zutrauen kann, einen Server sicher zu halten - auch, wenn ich vielleicht mal 2 Wochen in Urlaub bin.

Danke und Grüße,

Dirk

 

[LinuxAdmin]

Regelmäßige Updates sind natürlich Pflicht. Ob man die auf einem Produktiv-System Automatisieren will (mit cron-Job) da streiten sich die Geister. Ansonsten gilt: Alles was nicht unbedingt laufen muss, wird abgeschaltet (netstat -tulpen für offene Ports beachten). SSH absichern: kein root-Login erlauben, überlegen, auf Key-Authentifizierung umzustellen; wenn man den Port verlegt, spart man sich viele Seiten dumme Scan-Einträge täglich in den Logfiles. Konfiguration sonstiger Dienste überprüfen.
Regelmäßig Sicherheitsmailinglisten lesen, ob es irgendwo dringend notwendige Patches gibt, die von der eigenen Distribution nicht bereits unterstützt werden. Logfiles kontrollieren.

 

[Mean]

Ah, ok. Das hört sich ja durchaus machbar an - auch für den Nicht-Profi

Vielleicht gibt es auch bei uns im Verein jemanden, der in der Richtung was beruflich macht und das dann übernimmt...

Danke schön und Grüße,

Dirk

 

[Zack]

Alles was nicht unbedingt laufen muss, wird abgeschaltet (netstat -tulpen für offene Ports beachten). SSH absichern: kein root-Login erlauben, überlegen, auf Key-Authentifizierung umzustellen; wenn man den Port verlegt, spart man sich viele Seiten dumme Scan-Einträge täglich in den Logfiles. Konfiguration sonstiger Dienste überprüfen.
Regelmäßig Sicherheitsmailinglisten lesen, ob es irgendwo dringend notwendige Patches gibt, die von der eigenen Distribution nicht bereits unterstützt werden. Logfiles kontrollieren.

Hallo zusammen,

kann mir jemand sagen wie das mit dem Port ändern genau geht.
Ich habe diesen geändert, doch es geht mit 22 immer noch (Neue Nummer nein).
Geändert habe ich die ssh_config - müste danach der Server neu gestartet werden ?

Wer einem Anfäger zur Sicherheit (Server) mehr zeigen kann, möge das tun.

Danke an alle...............Gruß Zack

 

[jens_s]

Hallo zusammen,


Geändert habe ich die ssh_config - müste danach der Server neu gestartet werden ?

Für den Server ist eigentlich die sshd_config zuständig.

Eine schöne Anleitung gibts dort: Wie ändere ich den SSH Port? - huschi.net

 

[Zack]

Hallo,

eine Frage noch, wie soll das denn mit dem Restar gehen.

Gruß Zack

 

[Mean]

Google --> restart sshd

Da wärst fündig geworden, z.B. hiermit: How to I restart sshd | X-Win32 Knowledge Base

 

[Zack]

Hallo,

und Danke für die Nachricht. Ich habe schon Gegooglet, aber wohl nicht das Richtige gefunden.
War jetzt auf dieser Seite habe wieder alles Versucht - und nichts geht.

Ich habe letzt vieles versucht, weder die Nummer wird eingesetzt noch der Restart geht. Mit Root und ohne Root versucht.

Weiß der Geier warum, habe in den Configs das # auch rein und raus genommen: nichts

Von jedem Userbeitrag - alles probiert - Zum Verzweifeln

Gruß Zack

 

[Zack]

Google --> restart sshd

Da wärst fündig geworden, z.B. hiermit: How to I restart sshd | X-Win32 Knowledge Base

so sieht das Ergebniss aus:

Server:~> /etc/rc.d/sshd restart
Shutting down SSH daemonkillproc: Can not read /proc/31895/exe: Permission denied
failed
grep: /etc/ssh/sshd_config: Permission denied
Starting SSH daemon/etc/ssh/sshd_config: Permission denied
startproc: exit status of parent of /usr/sbin/sshd: 1
done
server:~>

 

[Huschi]

Can not read /proc/31895/exe: Permission denied
grep: /etc/ssh/sshd_config: Permission denied
Starting SSH daemon/etc/ssh/sshd_config: Permission denied

Du bist anscheinend nicht als root drin. Entweder ein "sudo" davor setzen oder per "su -" zu root werden.

Welche Distribution hast Du denn drauf?

huschi.

 

[Zack]

MOD: Full-Quote entfernt!

Hallo,

habe das ganze x-mal probiert und nichts ging. Habe jetzt aus allen Foren die ich fand, die Daten zusammen getragen, leider war dies hier alleine nicht möglich.

Schade fand ich das alle Angaben nicht zum Ziel führten, ich kann verstehen das man Lesen soll, aber wenn es nicht mehr weiter geht...!

Nun ja, nach dem zusammen tragen der Daten, alles noch mal gemacht, und siehe da, es ging.

Als "root" + booten des ges. Systems (Suse11.1) und der Port ist ein anderer.

Bleiben leider noch so einige Punkte im unklaren, die ich noch nicht so verstehe.

Wie.......root Zugang SSH abschallten.....da fehlt mir der Sinn für, wie ich den denn wieder Einschalten könnte.

Wie ......Benutzer wieder löschen......durch das Testen habe ich einige angelegt die ja wieder weg könnten.

Tip.......Ein Buch was mit Serverbefehlen SSH mir weiter helfen könnte

Trotz allem möchte ich mich bei allen Bedanken für die Unterstützung, ohne dieses Forum wäre es nicht weiter gegangen.

MFG Zack

 

[LinuxAdmin]

Als "root" + booten des ges. Systems (Suse11.1) und der Port ist ein anderer.

Einfach so booten ist riskant: Falls das Umstellen nicht richtig geklappt hätte, wärst Du jetzt ausgesperrt...

Wie.......root Zugang SSH abschallten.....da fehlt mir der Sinn für, wie ich den denn wieder Einschalten könnte.

Man will sich nicht direkt als root über ssh einloggen. Stattdessen loggt man sich als normaler Benutzer ein und wird dann per "su" root.

Wie ......Benutzer wieder löschen......durch das Testen habe ich einige angelegt die ja wieder weg könnten.

Die manual pages sind Dein Freund:

$ man -k user |grep delete
[I]faxdeluser (8c)      - delete a fax user from the permissions file
userdel (8)          - delete an user account[/I]
$ man userdel

Tip.......Ein Buch was mit Serverbefehlen SSH mir weiter helfen könnte

Schau mal in die Bücherecke des Forums.

 

[Zack]

Hallo,

und vielen Dank für die Tipps.

Zu Booten:

Mir blieb jetzt nichts mehr übrig, alles was an Infos kam, brachten mich nicht weiter.
Jeder schrieb immer ein paar Fragmente, die dann nicht funkten, wie z.B.
restart SSH usw. (Keiner konnte mir sagen warum ich nicht neu starten konnte)

Ich finde das Thema sehr wichtig und möchte das an Sicherheit tun was geht.
Und wie Du schon gesagt hast, hätte es auch schief gehen können.
Präzise hätten die Antworten für einen Anfänger schon sein können, dann wäre ich eher fertig gewesen.

Was mir noch richtig Sorgen macht, sind folgende Punkte:

- Bin jetzt soweit mit Usern anlegen das ich "ohne root" ein Verzeichnis anlegen kann, aber ein Prog. starten geht noch nicht(entpacken).
das mit den Rechten wer was haben sollte und wie man diese einstellt.
Habe bis jetzt noch nicht das richtige gefunden.

Zu SU:

- ja, so werde ich es machen, der Neue Port geht

Zu User löschen:

- werde ich heute mal probieren

Zum Buch Tipp:

- werde mir am Monatsende eines mit SSH holen

Danke Admin für die Ausführliche Hilfe........Danke auch allen anderen

Gruß Zack

Noch etwas vergessen.......wie gefährlich ist das mit dem ausschalten des root in der INI.......wird das dann alles über den NeuUser....SU.....dann geregelt?