Rootserver sicherheit

I

i-B4se

Registered User
Hi Leute,
ich hab seit ca. 1 Woche einen Rootserver den ich ausschließlich für Gameserver und TS benutzte.
Ich hab hier jetzt seit gestern gegen 6 bis gerade eben das Forum durchsucht und sehr, sehr, sehr viele Beiträge gelesen und wollte nun gerne wissen ob mein Server einigermaßen sicher ist.

Aus den Server läuft kein Apache oder sonstige Web programme und auch keine Mail dienste.
Das einzigste was darauf läuft sind 2x Gameserver und ein TS2 Server.
Um mich einigermaßen abzusichern habe ich:
-SSH2 aktiviert und den Port verändert und auch die zeit zur anmeldung auf einige sec. runtergesetzt.
- fail2ban installiert
- DenyHosts instaliert
- login per root verboten
- plesk firewall konfiguriert
- und der ftp client wird auch nur dann gestartet wenn ich ihn mal brauch und das ist eher selten


ist das einiger maßen sicher und gibt es noch weiter möglichkeiten weil ich habe jetzt hauptsächlich gelesen das hacks durch fehler in php scripts oder mail programmen sind und ich die eh nicht brauche hab ich die direkt runtergeworfen.

wenn ihr noch weiter möglichkeiten kennt würde es mich freuen wenn ihr sie posten würden aber pls mit howto (wenn es geht oder ich such sie mir raus).

vielen dank schonmal im vorraus.
 
Wenn kein Apache und kein Mail läuft, bist du vor den meisten Attacken, die dazu dienen Spam zu versenden schonmal sicher :)

-SSH2 aktiviert und den Port verändert und auch die zeit zur anmeldung auf einige sec. runtergesetzt.
Click to expand...

Hier würde ich zusätzlich noch einloggen per Passwort komplett abschalten und auf Zertifikate umstellen.

- plesk firewall konfiguriert
Click to expand...

Das ist keine Firewall, sondern nur ein Paketfilter und der ist auf nem Rootserver völlig unnötig, da sowieso nur auf Programme zugegriffen werden kann, welche einen Port nach außen öffnen. Außerdem hast du, wenn die "Firewall" ein ist, halt noch ein zusätzliches Programm, welches, wenn darin Schwachstellen gefunden werden, evtl. sogar den Server lahmlegen kann (ddos). Also auf nem root server den Paketfilter komplett ausschalten. Und das der Server dadurch gepingt werden kann (ich schätze mal Plesk blockiert ICMP in iptables) ist auch nicht schlimm. Der einzige meiner Meinung nach, sinnvolle Einsatz von iptables auf nem standard rootserver der Folgende:

Security-by-obscurity indem du portknocking benutzt. Das ist eine Technik, die bestimmte ports erst öffnet, wenn der port knocking daemon, der auf dem server läuft, eine bestimmte "klopfsequenz" vom client erhält, welche du selbst festlegst. Der Portknockingdaemon läuft dabei auf einem niedrigeren ISO/OSI-Layer und ist unsichtbar.

Wie das ganze funktioniert, kannst du hier sehen: http://gentoo-wiki.com/HOWTO_Port_Knocking (Ist auch auf andere Distris übertragbar).

Ich benutze das schon länger für ftp und cvs-server und bisher keine Probleme gehabt. Vorteil ist halt, dass die Programme sich wie ausgeschaltet verhalten, du dich aber nicht erst per ssh einloggen musst, um sie einzuschalten, sondern das direkt vom client geht.

Alternativ dazu (hab ich auf einigen Kundenservern von mir so eingerichtet) kannst auf dem Server openvpn installieren und bestimmte Dienste (bspw. ftp oder ssh) nur über das vpn zulassen. (Clients für openvpn gibts für fast alle *nix-Systeme und auch für Windows.) Mehr Security als darüber erreichst du eigentlich nur, wenn du den Server ausschaltest ;)
 
Schonmal vielen Dank für die Antworten.
@ dcdead
Ich werde mir das morgen mal alles genau zur Brust nehmen.

Mir ging es aber vorerst mal darum ob man die Kiste eine nacht alleine lassen kann ohne das etwas damit passiert und wie ich das aus euren Post rauslesen kann, kann man sie ruhig mal alleine lassen.
Das "feintuning" werde ich mir aber morgen mal zu vornehmen und ihn so einrichten das man ihn auch mal eine nacht und 2 std. alleine lassen kann ;)
 
@dcdead

Gebe dir in fast allen Punkten recht was Sinn und Unsinn des Einsatzes von IPTables betrifft. PortKnocking ist nen sehr feines Feature- PortScan ade.

Nur einen sinnvollen Einsatz von IPTables auf einem Root-Server sehe ich jedoch.

Szenario:

Jemand verschafft sich Zugang zum System durch den SSHD (BruteForce, Wordlist, etc. (im Falle von i-B4se ausgeschlossen)) und ist nun z.B. als normaler User eingeloggt. Ohne IPTables könnte er nun diverse Programme starten die auf diversen Ports lauschen und auf Ihre Verwendung warten.

Bei Verwendung von IPtables jedoch könnte er ohne Root-Rechte keine Ports öffnen oder andere Veränderungen vornehmen.
 
Ohne IPTables könnte er nun diverse Programme starten die auf diversen Ports lauschen und auf Ihre Verwendung warten.
Click to expand...

Da find ich den Weg über grsec Patch für den Kernel aber besser. Da kann man das nämlich direkt auf Kernelebene deaktivieren. (Den Patch hatte ich vorher nicht erwähnt, ist aber sehr zu empfehlen, wobei ich nicht weiß wie sehr du die Sicherheitseinstellungen von grsec hochschrauben kannst, damit noch der gameserver problemlos läuft. Kann sein, dass es da evtl. doch einfacher wäre das mit iptables zu filtern...)
 
Last edited by a moderator:
Ich habe was gegen Ddos Atacke Gesucht bin auf dem topic gelandet.Ich möchte auch gerne paar fragen stellen.

dcdead said:
Das ist keine Firewall, sondern nur ein Paketfilter und der ist auf nem Rootserver völlig unnötig, da sowieso nur auf Programme zugegriffen werden kann, welche einen Port nach außen öffnen. Außerdem hast du, wenn die "Firewall" ein ist, halt noch ein zusätzliches Programm, welches, wenn darin Schwachstellen gefunden werden, evtl. sogar den Server lahmlegen kann (ddos).
Click to expand...

Ich benutze auch plesk 7-5 und der Firewall ist bei mir auch aktiviert wie ich sehe ist das nicht so gut,Soll ich den ausschalten oder wie?
Was ich gerne wissen möchte gibts keine sicherheit gegen Ddos Atacken?

Danke im vorraus
 
Ich bin auch schon einige Zeit auf der suche nach einer Lösung um DDos zu unterbinden
leider gibt es keine richtige Lösung :( wenn ich mich nochmal entscheiden müßte würde
ich ein Provider mit Hardware Firewall bevorzugen .
 
Gegen einen richtigen DDoS-Angriff kann maximal der Provider etwas tun, indem er den Traffic nullroutet. mod_evasive ist eine Spielerei, mehr aber auch nicht.
 
Wieso das denn bitte? Selbst im Linux Magazin wurde nur positives darüber berichtet und viele andere Siten berichten ebenfalls, es handle sich um eine ganz gute Lösung.

Für mich klingt sie auch sehr plausibel: Zu viele Requests / ip -> 403er.
 
Ich habe was gegen die Lösung aus dem ganz einfachen Grund: Ich weiß nicht wie es anderen Betreibern geht, aber von mir aus kommen einige Anfragen von Computern die Hinter einem Proxy sitzen.

Wenn da ein paar Leute hinter diesen Proxys "intensiv" surfen, ist es schon wieder aus mit dem Spaß. Ich habe dies schon öfters bei einer Partnerseite von uns erlebt.

Just my....
 
freq said:
Zu viele Requests / ip -> 403er.
Click to expand...

Was machst du mit Proxies/NAT? Da sperrst du schnell interessierte Besucher aus.

Andererseits hilft das auch nicht gegen zuviele böswillige Anfragen. Denn die kommen auch auf deinem Server, selbst die Generierung von 403er beansprucht Zeit und Ressourcen.
 
amnesie said:
Was machst du mit Proxies/NAT? Da sperrst du schnell interessierte Besucher aus.

Andererseits hilft das auch nicht gegen zuviele böswillige Anfragen. Denn die kommen auch auf deinem Server, selbst die Generierung von 403er beansprucht Zeit und Ressourcen.
Click to expand...
Ja, da hast Du schon recht. Aber ich denke, es spart immernoch einiges ein im Vergleich zur Generierung des Contents von PHP / MySQL und die Übertragung dessen.
Das mit den Proxies ist halt echt sch*** :(
 
Andere Frage: wurdest du schon Opfer eines DoS? Natürlich kann man jeden Service DoSen, aber ich selbst betreibe meine Dienste auf meinem vserverchen im Moment ohne jegliche Anti-DoS-Mechanismen (gut, der postfix hat von Haus aus einen drin).

Wenn dir einer richtig an den Karren fahren will, dann machen dessen 5000 Zombies einfach deine Anbindung/Netzwerkverbindung platt, da brauchst du dann Hilfe vom Provider/Hoster, Massnahmen aufm Host selber sind da nicht mehr sinnvoll.

(Daher bringen meiner Ansicht nach solche Spielereien keine wesentlichen Vorteile.)
 
Gegen einen DDoS kannst du lokal auf deinem Server rein gar nichts machen.
Du kannst als einzigstes die Folgen davon Mindern. Mehr auch nicht.

Mit dem eben angesprochenen Beispiel von 5000 Bots wäre die Anbindung deines Servers sogar tot wenn die einen Syn-Flood auf einen geschlossenen Port starten.
(Vorrausgesetzt der Server hat keine besondere Anbindung. Anbindung über 2 NICs an 2 unterschiedliche Router etc. Dann könnte man da evtl noch mit einer Hardware-Firewall den Traffic auf der Anbindung abschalten und nur noch die 2. Anbindung nutzen.)

Edit:
Wobei es dann natürlich wieder das gegen Argument gibt, dass wenn sich einer mit 5000 Bots auf deinen Server stürzt, dieser mit Sicherheit beide Anbindungen floodet und nicht nur eine. ;))
 
Last edited by a moderator:
freq said:
Es gibt mod_evasive. Sehr gute Lösung. Aber lässt sich bei mir leider nicht installieren!!
Click to expand...

Ich habe das mod gefunden,Bei mir ist Apache Version Apache/2.0.53 (Linux/SUSE) Drauf,Und das mod ist für mod_evasive for Apache v1.3 and 2.0, and NSAPI (SunONE),Kan ich das trotzdem instaliern.

Meine Firewall habe ich bei Plesk so konfugruiert,Ist es so ok.
Verwaltungsoberfläche von Plesk Eingang von allen erlauben
WWW-Server Eingang von allen erlauben
FTP-Server Eingang von allen erlauben
SSH- (Secure Shell) Server Eingang von allen erlauben
SMTP- (Mailversand-) Server Eingang von allen erlauben
POP3- (Mailabruf-) Server Eingang von allen erlauben
IMAP- (Mailabruf-) Server Eingang von allen erlauben
Mailpasswort-Änderungsservice Eingang von allen erlauben
MySQL-Server Eingang von allen verbieten
PostgreSQL-Server Eingang von allen verbieten
Verwaltungsoberfläche von Tomcat Eingang von allen verbieten
Samba (Filesharing in Windows-Netzwerken) Eingang von allen verbieten
Plesk-VPN Eingang von allen erlauben
Domainnamenserver Eingang von allen erlauben
Ping-Service Eingang von allen erlauben
Systemrichtlinien für einkommenden Traffic Sämtlichen anderen einkommenden Traffic erlauben
Systemrichtlinien für ausgehenden Traffic Sämtlichen anderen ausgehenden Traffic erlauben
Systemrichtlinien für Traffic-Weiterleitung Weiterleitung jeglichen anderen Traffics verbieten


mfg
 
Last edited by a moderator:
You must log in or register to reply here.
Back
Top