Linux Server absichern

G

Geicher

New Member
Guten Tag,
da ich mich gerne mit Linux in Sachen Sicherheit ein bisschen weiterbilden möchte, habe ich mir einfach mal den alten Rechner vom Dachboden geholt und Ubuntu 10.04 LTS inklusive neuester Updates installiert. (Ein Root Server ist mir aktuell noch zu riskant, da ich noch ein paar Bücher vor mir habe :))

Nun zur Frage, was sollte ich alles beim Absichern des Servers beachten?

Ich habe schon:
  • SSH Port geändert
  • root Zugang verboten
  • extrem langes superuser (root) Passwort
  • einen speziellen Key für SSH
  • tägliche Traffic Kontrolle
  • auth.log Check

Was sollte noch vorgenommen werden, um einen Angriff vorzubeugen?
Außerdem würde mich interessieren, was neben Betrachtung des auth.log und des Traffics noch für wichtige Logs o.ä. im Auge behalten werden sollten.

Ich würde mich sehr über Antworten von Euch freuen!

lg Geicher
 
Bisher passt das. Hängt davon ab, was als nächstes drauf kommt? Webserver?
 
Webserver ist definitiv in Planung.
Ich denke dabei an Apache, da ich früher schon oft damit gearbeitet habe und nie Probleme hatte.
 
HTML, PHP und MySQL

EDIT: Ich merke gerade bei der Traffic Kontrolle, ich bekomme seit heute Nacht laut TCPDump Pakete einer IP aus Pakistan über Port 28960.
Der einkommende Traffic ist seitdem fast konstant auf 250 KBit's (ist ja eigentlich nicht viel...normal habe ich aber immer um die 5-10 KBit's, da auf dem Server wirklich noch gar nichts läuft)
Server Zugriffe sind nicht zu finden, aber sollte man das Ernst nehmen?


14:57:55.694738 IP 69.XXX.XXX.XXX.www > myserver.local.28960: UDP, length 15: UDP, length 15
 
Last edited by a moderator:
28960 ist ein Port welcher von Call of Duty MW2 genutzt wird. Solange auf dem Port nichts läuft, sollte dir das egal sein.
 
Testweise lief gestern ein CoD 4 Server drauf, den habe ich heute morgen als ich das ganze gesehen habe sofort gestoppt habe.

Soll ich den Server lieber Offline lassen?
 
Was den Traffic auf dem Port des CoD-Server betrifft, kann ich vielleicht für etwas Aufklärung sorgen.
Source Port 80 ist ein Indiz dafür, dass es keine regulären Pakete eines Spielers sind. Ganz im Gegenteil, CoD und einige andere Gameserver lassen sich wunderbar zu DDoS Bots umfunktionieren. Prinzip:
"getstatus" Anfrage mit gespoofter Source IP und einem beliebigen Port, in der Regel Zielport des Opfers (meistens Port 80, hab aber auch schon paar andere gesehen, welcher das ist, ist meistens eh egal, weils so gut wie nie UDP Dienste sind, die da gedosst werden). Dein Server generiert den Status-Report und schickt ihn an die gefälschte IP zurück. Damit ist beim eigentlichen Täter nur ein geringes Maß an Bandbreite nötig, weil die großen Antworten die das Opfer erreichen werden von vielen Gameservern erzeugt.

Da gibt es auch schon diverse Infos dazu im Netz, inkl. Patch der das wohl fixen soll. Wobei der Patch nichts anderes macht, als die getstatus Anfragen zu limitieren.
Ich hab mir da mit paar IPTables Regeln geholfen.
 
Ohje so viel auf einmal :eek:
Ich frag mich nur, was es dem Angreifer bringt den Server lahmzulegen oO
Und wieso Port 80, bis jetzt war doch nur von 28960 die Rede?

Ich habe die IP jetzt erstmal so verbannt:
iptables -A INPUT -s DIE ANGREIFER IP -j DROP

Ist das so richtig?
 
Last edited by a moderator:
Nein, denn die IP die du als Source IP siehst, ist nicht die des Täters, sondern die des Opfers.
Du bist nur Mittel zum Zweck.
 
Und was haben die mit meinem Server vor?
Bzw. was sollte ich jetzt als nächstes tun?

Sorry für meine wahrscheinlich echt "blöden" Fragen, aber ich bin da ziemlicher Neuling...gut das ich mir noch keinen Root Server gemietet habe. :)
 
Zur Absicherung: Hier im Forum gibt es ein Thema, welches für den Anfang sehr gut geeignet ist. Dort sind z.B. Tipps wie Mail bei SSH Login und vieles mehr enthalten. Solltest du dir mal durchlesen.

Einschätzung des Sicherheitslevels meines Servers

Hallo, ich beschäftige mich in meiner Freizeit inzwischen seit etwa einem Jahr mit dem Betrieb und der Sicherheit von (v)Servern. Beim Thema Sicherheit bin ich etwas paranoid, was, so glaube ich, auch hilfreich sein kann. ;) Auf jeden Fall wollte ich euch nach eurer geschätzten Meinung...
serversupportforum.de serversupportforum.de
 
lichtmaschine said:
Zur Absicherung: Hier im Forum gibt es ein Thema, welches für den Anfang sehr gut geeignet ist. Dort sind z.B. Tipps wie Mail bei SSH Login und vieles mehr enthalten. Solltest du dir mal durchlesen.

Einschätzung des Sicherheitslevels meines Servers

Hallo, ich beschäftige mich in meiner Freizeit inzwischen seit etwa einem Jahr mit dem Betrieb und der Sicherheit von (v)Servern. Beim Thema Sicherheit bin ich etwas paranoid, was, so glaube ich, auch hilfreich sein kann. ;) Auf jeden Fall wollte ich euch nach eurer geschätzten Meinung...
serversupportforum.de serversupportforum.de
Click to expand...

Vielen Dank für den Link :)

Wobei ich mir aktuell andere Gedanken mache (siehe Posts oben)
 
Geicher said:
Und was haben die mit meinem Server vor?
Click to expand...
Das habe ich doch vorhin schon mal beschrieben: deinen Server als DDoS Bot missbrauchen.

Geicher said:
Bzw. was sollte ich jetzt als nächstes tun?
Click to expand...
  • CoD4 Server abschalten/abgeschaltet lassen
  • gepatchtes Binary nutzen
  • oder getstatus Anfragen via IPTables drosseln:
    Code: 
    iptables -A INPUT -p udp --sport 30000:65535 --dport 28960:28962 -j DROP
iptables -A INPUT -p udp --sport 7131:20000 --dport 28960:28962 -j DROP
iptables -A INPUT -p udp --sport 1:7129 --dport 28960:28962 -j DROP
iptables -A INPUT -p udp --sport 7130 --dport 28960:28962 -m string --string 'getstatus' --algo bm -m limit --limit 5/s -j ACCEPT
iptables -A INPUT -p udp --dport 28960:28962 -m string --string 'getstatus' --algo bm -m limit --limit 1/s -j ACCEPT
iptables -A INPUT -p udp --dport 28960:28962 -m string ! --string 'getstatus' --algo bm -j ACCEPT

Edit:
Ich hab die Range von 28960 bis 28962 ausgelegt, weil ich mehrere CoD4 Server betreibe.
 
Alles klar ich verstehe.
Danke Firewire schonmal für die Mühe die Du Dir gemacht hast um mir zu helfen :)
Und auch den anderen möchte ich für die tolle Hilfe danken, super Forum :)
Ich werde mir die Tips mal zu Rate ziehen.

Da sieht man auch erstmal wie schnell es gehen kann oO

Um auf Firewire zurückzukommen:
Wenn der CoD Server abgeschaltet ist, bietet der Port 28960 auch keine Angriffsfläche oder?
 
Last edited by a moderator:
Nein, du wirst zwar noch eine ganze Weile mit den getstatus Anfragen bombardiert, aber irgendwann hörts auf.
Wenn du wie du schreibst zu Hause hostest, geh ich mal von einer dynamischen IP + DynDNS aus. Da sollte es schon reichen, wenn du den DynDNS nicht mehr aktualisierst. Ich würd wetten der steht auf diversen öffentlichen Listen von CoD4 Servern.
 
You must log in or register to reply here.
Back
Top