M
matzewe01
Guest
suexec mit CGI oder fcgi ist natürlich Pflicht.
Trotz suexec kann ich auf meinem forum phpinfo(); ausführen und ausgeben lassen ....
suexec mit CGI oder fcgi ist natürlich Pflicht.
Der Safe Mode wird mit PHP 6 zu Recht verschwinden. Sich darauf zu verlassen, dass der Safe Mode die Umgebung tatsächlich sicherer macht, ist mutig.Man kann solche Gefahren aber eingrenzen, wenn man entweder den Safe mod von PHP einschaltet und/oder das Binary als cgi parsen lässt.
Das setzt aber auch ein durchdachtes und getestetes System voraus. Die meisten Anleitungen, die es dazu im Netz gibt, laufen letztlich darauf hinaus, dass das DocumentRoot der Benutzer zumindest world-readable ist.Es läuft dann ausschließlich mit Benutzerrechten und kann zu mindestens nichts von anderen Kunden beschädigen.
Die meisten Angriffe der Script-Kiddies laufen ohnehin auf eine Bruteforce-Attacke hinaus und da tun Programme wie Fail2ban gute Dienste.
Och Jungs und Mädels,
Ich wollte doch ledigluch nur wissen ob ihr noch Tips habt.
Muss den grundsätzlich jeder Thread im SSF in einer endlosen Diskussion enden?
Unsinn vielleicht nicht. Aber es dient auch nicht zu mehr als Logdateien zu sparen ...
Wenn Squeeze released ist, würde ich dringend zu einem Upgrade raten. Grundsätzlich portiert das Debian-Team zwar Security Fixes zurück auf die packetierte Version, aber die Pakete in Lenny sind nun doch schon etwas betagter, so dass möglicherweise für das eine oder andere Paket eine bestehende Lücke gar nicht mehr unbedingt bekannt wird.Server ist ein Debian Lenny 5 AMD64
Fail2Ban ist keine wirkliche Sicherheitsmaßnahme, sondern eine Form der Untersetzung. Der Sinn liegt darin, das ständige Grundrauschen soweit zu reduzieren, dass nachgelagerte, aufwendigere Stufen Deines Verteidigungswerks nicht zu stark belastet werden.Ich habe Fail2Ban Installiert auf die Dienste die ich Laufen habe aufgeschaltet und auf 2x Retry Eingestellt BAN-Time 24H.
Grundsätzlich eine vernünftige Maßnahme, wobei einem klar sein muss, dass ein Angreifer, der ein Rootkit eingeschmuggelt bekommt, auch in der Lage sein dürfte, rkhunter zu manipulieren. Automatische Scans haben eben so ihre Grenzen. Sicherer wäre es, ein statisch gelinktes rkhunter-Binary immer von einem vertrauenswürdigen Speicherort auf den Server zu laden und dann dieses durchlaufen zu lassen.rKhunter installiert und eingestellt und lasse diesen Täglich mit einer Mail Benachrichtigung Durchlaufen.
Dabei auch daran gedacht, PAM-Authentifizierung abzuklemmen? Wird gerne mal vergessen, ermöglicht dann aber wieder durch die Hintertüre die Anmeldung per Passwort.SSH abgesichert durch Verwendung eines Private und Public Keys. Password Login abgeschaltet via SSH.
Hier gilt das gleiche wie bei Fail2Ban - verstecken ist nur eine Untersetzung. Die IP-Ranges der meisten Serverhoster sind ziemlich gut bekannt. Damit lässt sich bequem ein Portscanner füttern; der braucht dann gar keine DNS-Auflösung.Webmin und Plesk sind nur noch über meine DynDns Adressen zu erreichen.
TS3 ist ein bisschen kritisch - da tauchen immer wieder mal Lücken drin auf, die dann von einem Angreifer benutzt werden können, um Deinen Server als Bande zu benutzen (v. a. für UDP DoS Angriffe). Wenn Du den TS permanent laufen haben musst, würde ich Dir empfehlen, ein kleines Überwachungsscript auf den anzusetzen, damit Du mitbekommst, wenn der auf einmal anfängt, viel Traffic zu verursachen oder nach draußen zu telefonieren.Auf dem Server läuft zusätzlich ein TS3 unter einem Seperaten User in einem screen.
Die von Dir beschriebenen Maßnahmen zielen darauf ab, erst mal Angreifer von Deinen Diensten fernzuhalten. Die nächste Stufe wäre, mit RBAC/MAC dafür zu sorgen, dass Dienste nur Dinge tun dürfen, die Du für sie vorgesehen hast. Das verhindert zum einen, dass Angriffe zum Erfolg führen, die darauf abzielen, das Verhalten eines Dienstes gezielt zu manipulieren.Was denkt ihr was sollte ich ggf. noch machen oder was muß ich noch machen bzw. habt ihr ein paar Tipps die man umsetzen könnten.
We use essential cookies to make this site work, and optional cookies to enhance your experience.