Serversicherheit + Programmeauswahl

[debianer1]

Ich habe mal ein paar Fragen u.a. zu einer Serverprogrammauswahl (sollte für Debian 6 passen), die ich mal eingegrenzt habe, aber mich nicht ganz entscheiden kann, welche folgenden Programme für folgende Anwendungen in Klammern am besten aus Erfahrungswerten her wären bzw. falls zufällig parat wie installieren und starten:

- snort +tiger+logcheck + swatch + portsentry + checksecurity + scanlogd + tripwire (Hackererkennung)

- samhain + debsecan (Fehlercheck sinnvoll?)

+ welches der genannten Programme kann folgendes: Angriffe und Serverfehler+ Dienstausfall + nur relevante/kritische logeinträge aus logfiles als email verständlich und so kurz wie möglich automatisiert versenden können?

+ lohnt sich sanitizer (email scanner) zu installieren? scant das programm automatisch im hintergrund wie ein virenprogramm über die neu erhaltenen emails im Postfach und deren anhänge nach viren und halten diese auf/ bzw. autom. löschen?

+ Wo kann man die Anzeige der Serverversionsnr. (die mit Versionsnr. von Apache/Mysql/PHP) auf Webseite/fehlerseite / Server Konsole deaktivieren?

+ Ist auf Debian 6 Server mit neustem php HTTP Komprimierung standardmässig aktiviert? Oder evtl. aktivieren über mod_deflate? wie / wo aktivieren? php.ini oder httpd.conf oder apache.conf?

+ wie kann ich sftp nutzen statt ftp? einfach WinSCP über Port 22 funktioniert nicht wirklich, auch wenn daemon sftp läuft? Muss ich da in der Konfig noch was ändern?

+ kann man von aussen herausfinden, welche dienste/ports „lauschen/listen“?

+ dateiuploadverzeichnis rechtevergabe geht bei mir Upload nur mit 775 und Dateien darin zur Webanzeige geht nur mit 604. Ist das ok/sicher?

 

[Nuck Nuck]

Gibt es einen Grund nicht auf ein aktuelles System zu setzen?

 

[Alderon]

Hmm Sicherheit und EOL schließen sich gegenseitig aus, sobald das System am Internet hängt. Debian 6 dürfte im Februar 2014, also in ein paar Monaten EOL sein. Von daher wäre es sinnvoll, wenn Du Dein Konzept von Anfang an darauf auslegst, damit Du auch noch die nächsten Jahre davon profitieren kannst.

Oder handelt es sich um einen OpenVZ Container, für den nur Debian 6 zur Verfügung gestellt wird? Falls ja, würde ich an Deiner Stelle erst einmal mit dem Hoster sprechen, ob nicht aktuelle Images bereitgestellt werden können, das ist ja auch in dessen Interesse, denn gehackte Kisten bereiten ihm nur Ärger.

IMO macht es auch erst dann Sinn über ein konkretes Konzept zu sprechen, da Debian 7 gegenüber 6 ja wieder einige Änderungen aufweist.

 

[PapaBaer]

ein konkretes Konzept

Das ist der entscheidende Punkt. Du brauchst ein Konzept. Du hast einfach alles in einen großen Topf geworfen, was die Google-Suche zu Sicherheitsthemen auswirft, ohne zu wissen, was die einzelne Software tut oder wozu man sie sinnvoll einsetzt. So als ob man 5 Virenscanner installiert, weil das ist ja dann sicher.

Also, wie kommst du nun aus deinem Eintopf zu einem Konzept? Du setzt dich jetzt mal hin und findest raus, wozu die von dir genannte Software gut ist und was sie im Einzelfall konkret macht. Dann hast du eine ungefähre Vorstellung, was technisch möglich ist.

Dann setzt du dich an deinen Server und überlegst für deinen Einsatzzweck, was an Schutzmaßnahmen sinnvoll ist. Daraus leitest du ein Konzept ab, mit welchen technischen Prinzipien (nicht mit welcher Software) du die Sicherheit auf deinem Server herstellen willst.

An diesem Punkt können wir gern noch einmal diskutieren, ob deine Ideen so Sinn machen.

Und ganz am Ende kommst du zurück zu deiner Software und leitest aus deinem Konzept ab, welche Software du mit welcher Konfiguration installierst, um deine Vorstellung von Sicherheit umzusetzen.

 

[debianer1]

?

ich habe schon alles angepasst und das sind meine konkreten Restfragen zu meinem Konzept, die ich nun stelle, es muss nix neu überdacht werden, da is alles schon fertig/ nicht rückgängig machbar zeitlich/finanziell (waren schon einige Fragen/offenen Probleme, die Fragen hier bleiben halt übrig, bitte konkret die Fragen versuchen zu beantorten!?), und nur allgemein auf Webserver (Apache,PHP,MySQL) und Webseiten/Community Einsatz bezogen und generelle Sicherheitstipps/Programmempfehlung) nicht zu speziell, meine Software ist selbstgeschrieben, also homogen in php, keine Plugins, typo3 CMS Dschungel usw.! Ich nehme immer neuste Debian (6.x, 7 bietet Provider noch nicht an) und hab natürlich nur 1 Virenscanner mit clamav drauf, dazu noch passend rkhunter und chkrootkit, falls ihr das noch wissen wolltet? Was wäre noch passend zu diesem Konstrukt?

 

[TerraX]

Mangels konkreter Fragestellung ein paar Ansatzpunkte zum Thema Sicherheit:

- SSHd-Konfiguration
- Apache-Konfiguration inkl. VHost
- PHP-Konfiguration (php.ini)
- mySQL-Konfiguration und Rechte-Vergabe
- logwatch wäre zu empfehlen
- bei einer eigen erstellten Anwendung, diese einem Sicherheits-Audit unterziehen (insbesondere Parameterprüfungen und SQL-Injections)
- mod_security wäre eine Überlegung wert, muss aber gezielt und mit Kenntnis eingesetzt werden
- Backup-Konzept
- möglichst identische Testumgebung
- für den Quellcode eine ordentliche (lokale) Versionsverwaltung (git, svn ...)
- Monitoring-Konzept

- der Sicherheitsgewinn durch ClamAV ist fragwürdig, kommt aber auf die Anwendung an

Das sind so die wesentlichsten Punkte, die mir einfallen. Last but not least, Sicherheit entsteht nicht durch "Sicherheitsanwendungen" sondern durch das gesamte Konzept und insbesondere einem aktiven Sicherheitsmanagement.

 

[debianer1]

Übersicht in Konzept neu aufnehmen:

Die meisten der Punkte liefen schon davor ok in meinem schon erstellten Sicherheitskonzept! Es können aber durch diese Übersicht nochmal paar neue Aspekte dazukommen, danke!

Bitte noch auf meine Restfrage oben eingehen, wenn möglich:
Datei+VZ (Verzeichnis) Rechte so erstmal generell ok/sicher oder ergibt sich dadurch eine Sicherheitslücke mit 604 statt 600 für Dateien (mit den vergebenen Rechten 600 lassen sich Fotos in einer Webseite nicht anzeigen, mit 604 gehts dann!? aber nur manuell/lästig, chmod geht nicht in php Script wegen Rechteeinschränkung nehme ich an, reagiert bei Scriptausführung nicht, bzw. Rechte danach nicht geändert! Is natürlich schwer zu sagen, wie in meinem bisherigen System verhindert wird,evtl. kann man ja am Anfang/Erstellung des VZ schon was verändern, so dass er automatisch auf 604 die Dateien im Upload darin umstellt? wie zuvor erwähnt, muss ich evtl. dieses VZ als anderer User hochladen? Wie sollte user heissen?


ok sind (von Übersicht letzter Antwort):
- SSHd-Konfiguration
- Apache-Konfiguration inkl. VHost
- PHP-Konfiguration (php.ini)
- möglichst identische Testumgebung
- für den Quellcode eine ordentliche (lokale) Versionsverwaltung (git, svn ...)



werde dazunehmen:

- cronjob für regelmässiges Backup-Konzept, sonst manuell Backup+Update kein Problem (nur wie kann man apt-get update und upgrade in einem cronjob unterbringen zur Automatisierung? Weil wäre ja über SSH root eingeloggt nur machbar? Muss das auch in Cronjob rein? Wie müsste der Cronjob aussehen!? Am besten noch mit Backup (Download) konkreter Unterverzeichnisse, ohne das Sicherheit durch den Cronjob verloren geht, nicht das ich da fürs Update das root Passwort reintun soll, was wäre die beste automat. Lösung für Update und Backup?

- mySQL-Konfiguration und Rechte-Vergabe = wie sollte privileges table aussehen bzw. was sollte niemals drin stehen? nur für einen web1 Kunden standardmässig = eigene Nutzung nur vorerst, auch keine externen SQL Verbindungen notwendig = nur auf 1 DB soll nur 1 User/Webseite zugreifen sollen)

- Firewall? IPtables, finde die nicht, bzw. schwer zu verändern, wenn nicht als Datei konkret vorhanden (in Debian 6.x), falls jmd. die Basic Rules kennt, die man im Netz immer nehmen sollte? Dann kann ich mal checken, ob da alles stimmt!

- bei einer eigen erstellten Anwendung, diese einem Sicherheits-Audit unterziehen (insbesondere Parameterprüfungen und SQL-Injections)

= ist eigentlich ok, weil darauf habe ich mich spezialisiert als Programmierer.
Suche hier mal einen "Freund" als Hacker der mal testen kann/darf, ob er reinkommt und wo noch Lecks übersehen habe! ) Die Progs dazu (mind. 5 schon probiert, funktionieren alle nicht richtig, sei es schon bei Installation bzw. beim Start?) welches funktionierende Prog unter Win7 Client würdet ihr empfehlen zum Check von XSS und SQLInjection. Gibt auch Firefoy Addons dafür, aber habe nicht das Gefühl, dass die richtig funktionieren?! Weil die sagen da wären keine Sicherheitslücken, aber eine muss ich doch als Mensch übersehen haben, oder?

- Monitoring-Konzept (IDS+IPS fehlen mir halt noch, weiss nicht welche von den aufgezählten von oben gut wären neben logwatch? Bitte um konkrete Beantwortung welche Progs von oben ich nehmen sollte!?)

neu:
- URL Filter gut? + wie erstellen/verwenden?
- SPAM Filter welcher gut + wie erstellen/verwenden?

- SSH Keys wie erstellen/verwenden? Braucht man das wirklich noch zusätzlich um wesentlich sicherer zu werden, wenn SSH Zugriff über putty schon verschlüsselte Verbindung ist?

kann das auch alles ewig googlen, macht ja kein Spass, lieber mit euch mal herausfinden interaktiv Die Webseite wird übrigens für nen ganz wichtigen guten Zweck laufen

 

[TerraX]

kann das auch alles ewig googlen, macht ja kein Spass, lieber mit euch mal herausfinden interaktiv

Ich schlage vor, dass Du Dir ein gutes Buch zum Thema Linux und Server kaufst. Da wirst Du auch systematisch an das Thema herangeführt. Die ganze Basics wird Dir hier vermutlich niemand vorkauen. Bei Deinen ganzen Grundsatzfragen weiß man ja gar nicht, wo man konkret ansetzen soll.

 

[Alderon]

Es soll nicht nur Dir Spaß bringen, sondern auch den Leuten, die Dir in ihrer Freizeit kostenlos helfen. Von daher sehe ich das wie TerraX, auf konkrete Fragen wirst Du konkrete Antworten erhalten.
Auf allgemeine Fragen auch eher allgemeine Antworten.

 

[debianer1]

konkrete Fragen, aber nur hohle Antworten hier!

Die Fragen sind alle sowas von konkret, ich glaube ihr könnt sie nicht beantworten weil IHR grundlegend keine Ahnung habt und nur d(r)umrumredet, sonst wenn ihr Ahnung hättet, hätte man schon längst die Fragen grob/tendenziell beantworten können!
Ich habe schon Linuxbücher gelesen, diese konkreten Restfragen werden in keinem Buch geklärt (100% sicher!), sonst beweist doch mal eure Ansicht, indem ihr mir die Seite in dem jew. Buch nennt, wo die konkrete Antwort stehen sollte!?!?!!?!

 

[debianer1]

Grundlegendes Foren-/Verhaltensproblem!

ausserdem will ein normaler mensch mit menschen zusammenarbeiten, weil das grundlegend mehr spass macht im Leben (was labert ihr für ein *******?!), nur weil ihr *********** nur mit euch selbst und Büchern klarkommt, weil die euch nicht interaktiv antworten oder kritisieren können! Ich gehe mal davon aus, dass Ihr die Kritik nicht mal vertragt/gewöhnt seid, wie alt seid ihr, lernt erstmal (zusammen)leben, bevor ihr andere anmacht!

MOD: Beleidigungen entfernt!

 

[Huschi]

Kein Grund gleich ausfällig zu werden.

Das Problem ist, dass wir so tief in der Materie stecken, dass Deine für Dich konkreten Fragen für uns schon wieder zu allgemein formuliert sind.
Dazu kommt, dass viele Deiner Fragen man auch leicht bei Google eingeben könnte. Z.B. die Frage zu den ssh-Keys.

Um mal ein paar Deiner Fragen anzugehen:

- snort +tiger+logcheck + swatch + portsentry + checksecurity + scanlogd + tripwire (Hackererkennung)

Was ist hier die Frage?

- samhain + debsecan (Fehlercheck sinnvoll?)

Ein Fehlercheck ist immer Sinnvoll.

+ welches der genannten Programme kann folgendes: Angriffe und Serverfehler+ Dienstausfall + nur relevante/kritische logeinträge aus logfiles als email verständlich und so kurz wie möglich automatisiert versenden können?

Keins. Ich kenne auch kein anderes Programm, welches eine "verständliche und kurze, nur auf relevante/kritische ..." Zusammenfassung liefert. Ein bisschen mitdenken und verstehen sollte der Server-Admin schon selber.

+ lohnt sich sanitizer (email scanner) zu installieren?

Welchen denn konkret?

scant das programm automatisch im hintergrund wie ein virenprogramm über die neu erhaltenen emails im Postfach und deren anhänge nach viren und halten diese auf/ bzw. autom. löschen?

Wenn Du es so einrichtest, sollte er das tun.

+ Wo kann man die Anzeige der Serverversionsnr. (die mit Versionsnr. von Apache/Mysql/PHP) auf Webseite/fehlerseite / Server Konsole deaktivieren?
+ Ist auf Debian 6 Server mit neustem php HTTP Komprimierung standardmässig aktiviert? Oder evtl. aktivieren über mod_deflate?

Das sind keine "konzeptionellen Dinge" sondern konkrete Einstellungen. Sag Du uns, ob schon mod_defalte aktiviert ist. Wir können das von hier aus nicht sehen.

+ wie kann ich sftp nutzen statt ftp? einfach WinSCP über Port 22 funktioniert nicht wirklich, auch wenn daemon sftp läuft? Muss ich da in der Konfig noch was ändern?

Hängt stark von der gesamt Konstellation ab. Manchmal reicht es dem User eine Shell zu geben. manchmal muss man mehr dafür tun.

+ kann man von aussen herausfinden, welche dienste/ports „lauschen/listen“?

Ja. Nennt sich Portscanner. Z.B. nmap. Man kann auch von innen schauen mit netstat.

+ dateiuploadverzeichnis rechtevergabe geht bei mir Upload nur mit 775 und Dateien darin zur Webanzeige geht nur mit 604. Ist das ok/sicher?

Gegen was soll es denn absichern? Prinzipiell: desto weniger Rechte, umso sicherer.

huschi.

 

[TerraX]

+ Wo kann man die Anzeige der Serverversionsnr. (die mit Versionsnr. von Apache/Mysql/PHP) auf Webseite/fehlerseite / Server Konsole deaktivieren?

http://httpd.apache.org/docs/current/mod/core.html#servertokens

+ Ist auf Debian 6 Server mit neustem php HTTP Komprimierung standardmässig aktiviert? Oder evtl. aktivieren über mod_deflate? wie / wo aktivieren? php.ini oder httpd.conf oder apache.conf?

Nein - Du wirst das Apache-Modul aktivieren und entsprechend Deinen Wünschen konfigurieren müssen. Ersteres hast Du ja bereits in der üblichen Fachliteratur gelesen und ist abhängig von Deinem conf-Konzept für den Apachen, bei letzterem wird Dir hier geholfen http://httpd.apache.org/docs/2.2/mod/mod_deflate.html

+ wie kann ich sftp nutzen statt ftp? einfach WinSCP über Port 22 funktioniert nicht wirklich, auch wenn daemon sftp läuft? Muss ich da in der Konfig noch was ändern?

Das legst Du in der /etc/ssh/sshd_config fest. Anleitungen dafür sogar in Deutsch gibt es wie Sand am Meer. Die Suchworte "Debian" und "sftp" sollten reichen.

Wenn Du keine Lust hast, Dir selber Sachverhalte zu erarbeiten, ist das okay. Erwarte aber nicht, dass das andere dann freiwillig und kostenlos für Dich tun. Bitte - Danke - bye bye! EOD.