Server ausreichend abgesichert?

julian-w

julian-w

Member
Hallo,
wollte mal Fragen, was ihr von diesen Sicherheitsvorkehrungen hält. Auf dem Server läuft (alles neuste Version) sshd, Apache2 und mysql.
Zu Sicherheit habe ich folgende Dienste und Vorkehrungen getroffen:

Allgemein:
  • fail2ban
  • Täglicher Check nach Updates (von Hand)
  • rkhunter (alle 2 Tage Prüfung)
  • chkrootkit (alle 2 Tage Prüfung)

sshd:
  • Login via KeyFiles
  • Port umgelegt
  • Root Login verboten

Apache2:
  • mod_security2 (nicht 2.5) installiert (Core-Rules noch nicht angepasst, nur ein paar wegen der PHP-Anwendungen deaktiviert)
  • php.ini überarbeitet nach diversen Online-Anleitungen

Denke mal, dass das das gröbste abfängt, bevor der Server jetzt online geht.

Zudem hab ich noch ein paar Fragen:
Ist der Einsatz von ClamAV hier noch sinnvoll, da ja kein Mailserver läuft?
Sollte man noch mod_evasive nachinstallieren und wie viele Ressourcen kostet das?

Würde mich über Rückmeldung freuen!

MfG
Julian
 
Das sind n paar schöne Ansätze, aber niemand wird Dir hier sagen, daß der Server sicher ist.

Das kann man sowieso nicht pauschal sagen.
Und Aussagen wie

julian-w said:
php.ini überarbeitet nach diversen Online-Anleitungen
Click to expand...

sagen schonmal gar nix aus.

Mach dir lieber mal Gedanken um ne Firewall,
wenn Du noch offene Ports hast, die nicht benötigt werden, sind dies die Einfallstore, da hilft dir auch kein täglicher check auf updates um die Sicherheit zu erhöhen.
 
Man kann auch mal von anderer Seite an die Sicherheit herangehen: Welche Programme sind besonders anfällig für Sicherheitslücken? Beispiel: ein sicherer Apache mit chroot() nützt wenig, wenn ein PHP-Programm schlecht programmiert wurde und Zugang zu sonst geschützten Bereichen möglich wird. Oder SQL-Injections sind auch sehr beliebt.

Andere Sache: Wem kann ich vertrauen? Wem nicht? Auf dieser Basis lassen sich regeln erstellen, z.B. für den SSH-Zugang. Greift man nur von einer bestimmten Adresse oder einem bestimmten Subnetz auf seine Hardware zu, so lassen sich so schon mal ein Großteil an unerwünschten Besuchern ausschließen.

Oder ganz simpel: sichere Passwörter. Es gibt sie sogar mnemonisch.
 
Schau dir mal Suhoshin für PHP an. Damit lassen sich auch noch einige Dinge abfangen. Vorallem kann man hier Files die über ein Webskript geuploaded werden mit ClamAV testen lassen.

Ansonsten ist noch zu sagen, dass Sicherheit ein laufender Prozess ist. Schau dir Regelmäsig die wichtigsten Security-seiten -newsletter an, halt dein System up to date und es wird schon.

Zum Thema Firewall bleibt noch zu sagen:
Ein gut konfiguriertes System wird keinen Ports offen halten, die für den Betrieb nicht nötig sind. Also ist eine Firewall nur noch eins oben drauf. Wobei eine richtig konfigurierte Firewall mit IpTables bestimmt ungewollte Pakete verwerfen kann.

Gruß Mordor
 
So,
die in der Firewall sind nur die Ports 80 und 443 für den Apachen offen und eins für den SSH-Zugang. Der Rest ist zu.

Als Websoftware wird nur Joomla und phpmyadmin verwendet, welche eigentlich recht sicher sein sollte. phpmyadmin wird noch durch .htaccess geschützt und ist in einem Unterverzeichniss mit einem Namen wie z.B.: "as8fd678sd8f678". Alles ist fast immer up-to-date (dauert max. 2 Tage, bis das Update eingespielt wird).

Das Passwort des Keyfiles ist 18 Zeichen lang mit Sonderzeichen etc., müsste also auch sicher sein.

In der php.ini habe ich folgende Werte überarbeitet:
Code: 
register_globals = off
allow_url_fopen = off
allow_url_include = off
open_basedir = /var/www/
upload_max_filesitze = 2M
disable_functions = escapeshellcmd, exec, ini_restore, passthru, popen, proc_nice, proc_open, shell_exec, system
display_errors = off

ClamAV brauch ich weniger, da höchstens ich Dateien auf den Server lade und die Virenfrei sein werden ;).

Andere Sache: Wem kann ich vertrauen? Wem nicht? Auf dieser Basis lassen sich regeln erstellen, z.B. für den SSH-Zugang. Greift man nur von einer bestimmten Adresse oder einem bestimmten Subnetz auf seine Hardware zu, so lassen sich so schon mal ein Großteil an unerwünschten Besuchern ausschließen.
Click to expand...
Das versteh ich nicht so ganz? Heißt dass, ich soll nur meine Internet-IP zulassen? Diese IP ändert sich aber doch jeden Tag?

Nachdem positiven Feedback kann der vServer jetzt wohl im Dauerbetrieb an's Netz gehen (hatte vorher den vServer immer wieder heruntergefahren, damit bloß nichts passieren kann)
 
Er hatte hier ja etwas von Subnetz geschrieben. Er wird also meinen die ersten beiden IP Blöcke von deiner IP sollst du nur frei geben. Denn diese Blöcke ändern sich nicht.
 
Hi,

oder anders: Gib nur den IP-Adressbereich Deines Providers frei.
Bei Joomla solltest Du auch bei den eingesetzten Modulen auf Aktualität und Sicherheit achten. Da sind dann auch gerne mal welche bei, die mit einer .htaccess-Datei einige Deiner PHP-Variablen für Ihre Zwecke anpassen.

-W
 
Mit der Provider-Bezogenen Subnetz-Geschichte würde ich aber aufpassen, vor allem bei der Telekom bekommt man Adressen aus immer wieder verschiedenen Subnetzen zugewiesen. Das scheint regional sehr verschieden zu sein. Kleine Anbieter haben meist du ein (großes) Subnetz. Ein IPWhois auf seine eigene Adresse verrät, welches es ist.
 
Zudem sollte man auch daran denken, wenn man mal den Provider wechselt. ;)
Gerade wenn man von einem "exotischen" Provider, bei dem kein anderer Bekannter/Verwandter ist, zu einem anderen wechselt und dann vergisst die Range anzupassen. Könnte unter Umständen etwas peinlich werden. ;)
 
Naja, dieses fünkchen Sicherheit vernachlässige ich dann lieber...
Am Ende komm ich nicht mehr in den Server und dann gibt es schönen Ärger...
 
You must log in or register to reply here.
Back
Top