Hallo zusammen,
ich bemühe mich derzeit, einen neuen vServer - noch nicht produktiv - aber dennoch seit dem Einschalten gefährdet, so gut es geht und ohne es zu übertreiben, abzusichern. Der Server läuft unter Ubuntu 8.0.4/Plesk 9.5.4.
Mir ist bewusst, dass es nicht allein um den sicheren Shellzugang geht, sondern ebenso um eine Absicherung des Apache, Mail, MySQL etc. Bevor ich mich dem nächsten Kapitel widme, möchte ich das aktuelle wirklich verstanden haben. Deshalb dieser Post, mit Bitte um Kritik von allen Wissenden. Thema „Sicherer Zugang“.
Ich habe dabei verinnerlicht:
You MUST use a password safe like keepass, like „5R;%Y*ZNmei;3J`Ol2OF „
NEVER use the same password twice
Ich habe also folgende Schritte unternommen:
1)Strong root Password (für sudo und Virtuozzo/VZPP)
2)Neuen User angelegt, für sudo Aktivitäten
(Hard to guess username, strong password, strong passphrase)
3)RSS Key rss2/4096 mit passphrase erzeugt und für diesen User aktiviert.
4)Root Login abgeschaltet, restart ssh, User klappt. Sudo klappt.
5)Separater Plesk/Domain/FTP user hat sein Home directory unter /var/www/vhosts/mydomain.tld,
deshalb hier ein .ssh/authorized_keys (eigener Key für diesen Account) – klappt
6)PasswordAuthentication = no (Jeglicher Zutritt nur noch mit Fahrkarte)
7)Tests mit putty und Filezilla für beide user ok, root Login scheitert, wie gewünscht.
8)Alle Plesk Funktionen getestet - ok
Irgend was muss falsch sein, denn es hat alles auf Anhieb geklappt. Deshalb meine Fragen...
a) Ist das Getane prinzipiell ok?
b) zu 5) etwas Bauchschmerzen durch Ablage von .ssh im FTP-User Root. Hat zwar restriktive Rechte (Dir 700, File 600), aber gibt es vielleicht einen geeigneteren Ablageort?
c) Ich nutze (derzeit) noch den Standardport. Ist es ein MUSS, diesen zu verlegen? Falls ja – und ich habe im Plesk den Firewall noch nicht aktiviert – müsste ich dies tun, um weiterhin an meinen Server zu kommen (Port-Forwarding)? Und wichtiger noch, käme Plesk noch dran?
d)Wäre die Aktivierung des Firewalls generell zu empfehlen? Ich scheue etwas die Last und mein Server-Anbieter empfiehlt es nicht ausdrücklich, bzw. schreibt „ist oft überflüssig“. Die Inhalte der gehosteten Domains alleine würden keinen Einbruch rechtfertigen, i.d.R. Unternehmenswebsites
e) Dann bliebe noch die Frage, ob nicht auch der Plesk Standardport 8443 verlegt werden sollte. Ich greife zwar ausschließlich über https darauf zu, aber alles, was irgendwie gängig ist, bereitet mir immer Sorgen.
f) Was kann ich an dieser Stelle, in vernünftigen Kategorien gedacht, noch tun, um ein Mehr an Sicherheit zu erlangen?
Bin dankbar für alle Kritik und Anregungen,
Thomas
ich bemühe mich derzeit, einen neuen vServer - noch nicht produktiv - aber dennoch seit dem Einschalten gefährdet, so gut es geht und ohne es zu übertreiben, abzusichern. Der Server läuft unter Ubuntu 8.0.4/Plesk 9.5.4.
Mir ist bewusst, dass es nicht allein um den sicheren Shellzugang geht, sondern ebenso um eine Absicherung des Apache, Mail, MySQL etc. Bevor ich mich dem nächsten Kapitel widme, möchte ich das aktuelle wirklich verstanden haben. Deshalb dieser Post, mit Bitte um Kritik von allen Wissenden. Thema „Sicherer Zugang“.
Ich habe dabei verinnerlicht:
You MUST use a password safe like keepass, like „5R;%Y*ZNmei;3J`Ol2OF „
NEVER use the same password twice
Ich habe also folgende Schritte unternommen:
1)Strong root Password (für sudo und Virtuozzo/VZPP)
2)Neuen User angelegt, für sudo Aktivitäten
(Hard to guess username, strong password, strong passphrase)
3)RSS Key rss2/4096 mit passphrase erzeugt und für diesen User aktiviert.
4)Root Login abgeschaltet, restart ssh, User klappt. Sudo klappt.
5)Separater Plesk/Domain/FTP user hat sein Home directory unter /var/www/vhosts/mydomain.tld,
deshalb hier ein .ssh/authorized_keys (eigener Key für diesen Account) – klappt
6)PasswordAuthentication = no (Jeglicher Zutritt nur noch mit Fahrkarte)
7)Tests mit putty und Filezilla für beide user ok, root Login scheitert, wie gewünscht.
8)Alle Plesk Funktionen getestet - ok
Irgend was muss falsch sein, denn es hat alles auf Anhieb geklappt. Deshalb meine Fragen...
a) Ist das Getane prinzipiell ok?
b) zu 5) etwas Bauchschmerzen durch Ablage von .ssh im FTP-User Root. Hat zwar restriktive Rechte (Dir 700, File 600), aber gibt es vielleicht einen geeigneteren Ablageort?
c) Ich nutze (derzeit) noch den Standardport. Ist es ein MUSS, diesen zu verlegen? Falls ja – und ich habe im Plesk den Firewall noch nicht aktiviert – müsste ich dies tun, um weiterhin an meinen Server zu kommen (Port-Forwarding)? Und wichtiger noch, käme Plesk noch dran?
d)Wäre die Aktivierung des Firewalls generell zu empfehlen? Ich scheue etwas die Last und mein Server-Anbieter empfiehlt es nicht ausdrücklich, bzw. schreibt „ist oft überflüssig“. Die Inhalte der gehosteten Domains alleine würden keinen Einbruch rechtfertigen, i.d.R. Unternehmenswebsites
e) Dann bliebe noch die Frage, ob nicht auch der Plesk Standardport 8443 verlegt werden sollte. Ich greife zwar ausschließlich über https darauf zu, aber alles, was irgendwie gängig ist, bereitet mir immer Sorgen.
f) Was kann ich an dieser Stelle, in vernünftigen Kategorien gedacht, noch tun, um ein Mehr an Sicherheit zu erlangen?
Bin dankbar für alle Kritik und Anregungen,
Thomas
