Sicherheitskonzept

[volker23]

Hallo

folgendes Sicherheitskonzept hat mein VServer bisher:

SSH-Login nur mit Schlüsselpaar erlaubt

SSH auf anderen Port gelegt

FTP deaktiviert (in Suse YAST/Netzwerkdienste)

Firewall aktiviert (S4Y Power Firewall, also IPTables)

Was könnt ihr mir sonst noch emfehlen? Freue mich über eure Tips!

 

[MrMasterJPsy]

Arbeite dich hier mal durch...


Securing debian



Cu jPsy

 

[volker23]

Ich habe aber Suse....

 

[Guin]

habe aber Suse

Egal, ein paar Sachen kann man trotzdem rausziehen.


Generell scheinst du den richtigen Weg zu gehen.
- nicht benoetigte Dienste deaktivieren (deinstallieren)

Die aktivierten Dienste sollte man auf den aktuellen Stand halten. Dazu besucht man entweder die dazugehoerigen HP in regelmaessigen Abstaenden oder man traegt sich in Mailinglisten ein.

Eventuell noch mod_evasive installieren. Das verhindert zu viele Zugriffe je Zeiteinheit auf den Webserver.

 

[volker23]

Bei den nichtbenötigten Netzwerkdiensten finde ich unter Yast/Netzwerkdienste/Netzwerkdienste (xinetd)
nur noch die Dienste imap, imaps und pop3.

Das ist doch sehr sicher, oder? Da müssten ja alle gefährlichen Dienste aufgelistet sein, oder?

 

[Guin]

Ein smpt Dienst muesste auch noch laufen. Sonst koenntest du keine Mails senden.
"Gefaehrlich" ist Ansichtssache. Wenn das z.B. ohne Authentifizierung konfiguriert ist, dient dein Mailserver als offenes Relay (was sehr unschoen ist).

 

[volker23]

Es gibt es smptpd... ist aber nicht installiert (steht dran)! Kann aber Mails versenden?!!
Wie kann das sein?

 

[BMF]

Hi,


eine Frage, willst du einen Alcatraz Server machen oder wieso willst du die ganzen Dienste deaktvieren / sperren ??


Viele Grüße
BMF

 

[volker23]

Was ist ein Alcatraz Server? Ich will einfach nur nicht gehackt werden.....

 

[volker23]

Die Ausgabe von netstat -ntap liefert folgendes:

:~ # netstat -ntap
Active Internet connections (servers and established)
Proto Recv-Q Send-Q Local Address           Foreign Address         State       PID/Program name
tcp        0      0 0.0.0.0:25              0.0.0.0:*               LISTEN      6106/master
tcp        0      0 0.0.0.0:993             0.0.0.0:*               LISTEN      21543/xinetd
tcp        0      0 127.0.0.1:10024         0.0.0.0:*               LISTEN      7372/amavisd (maste
tcp        0      0 127.0.0.1:10025         0.0.0.0:*               LISTEN      6106/master
tcp        0      0 0.0.0.0:3306            0.0.0.0:*               LISTEN      5980/mysqld
tcp        0      0 0.0.0.0:110             0.0.0.0:*               LISTEN      21543/xinetd
tcp        0      0 0.0.0.0:143             0.0.0.0:*               LISTEN      21543/xinetd
tcp        0      0 0.0.0.0:80              0.0.0.0:*               LISTEN      13963/httpd2-prefor
tcp        0      0 0.0.0.0:465             0.0.0.0:*               LISTEN      6106/master
tcp        0      0 0.0.0.0:22              0.0.0.0:*               LISTEN      7812/sshd
tcp        0    744 62.75.186.122:22        85.180.18.239:2226      ESTABLISHED 17840/0
tcp        0      0 62.75.186.122:110       85.180.18.239:3403      TIME_WAIT   -

Da gibts doch nix mehr zm deaktivieren, oder?

 

[Guin]

Imap SSL, Imap, Smpt (25, 945), POP3, externes MySQL,FTP

Aud den Ports dieser Dienste wird noch gelauscht.

(Alcatraz ist die "ausbruchssichere" Gefaengnisinsel)

 

[Mercenary]

Was ist ein Alcatraz Server? Ich will einfach nur nicht gehackt werden.....

http://de.wikipedia.org/wiki/Alcatraz
(Sehr schoene Bilder ;>.)

Nun das Bestreben alles moegliche dicht zu machen ist ja erstmal ganz ok (und trivial), bei einem Server ist die Anforderung an ein "Sicherheitskonzept" aber eine etwas andere, schliesslich zeichnet sich ein Server gerade dadurch aus, dass er Dienste nach aussen bereitstellt.
Die Massnahme "Zugriff verweigern" sei es durch Abschalten eines Dienstes oder durch IPTables ist da nur der trivialste Weg.
Das, wodurch dein Server denn angreifbar ist sind die Dienste, welche Du tatsaechlich bereit stellen willst und davon lese ich in diesem Thread noch herzlich wenig.(Auch wenn z.B. Guin antizipiert, dass Dein webserver wohl noch erreichbar sein soll )
In diesen Faellen geht "sicher machen" nur durch Konfiguration wozu auch das Thema Rollenkonten beitraegt.

Ciao,
Mercy.

 

[volker23]

Dann fang du doch mal an !

 

[djrick]

In diesen Faellen geht "sicher machen" nur durch Konfiguration wozu auch das Thema Rollenkonten beitraegt.

Ist jetzt ein bisschen offtopic, aber kennst du die Kollumne "Zwichen Kicken und Oppen"? (http://swg.gamona.de/forum/archive/index.php/t-2588.html)
Es geht in diesem Beitrag eigentlich um Chatter, und weiß Gott ich kann mich unter den Profis zählen wenn man diesem Beitrag glauben schenken mag. Jedenfalls jedes mal wenn ich jemanden sehe, wie dich, der keine Umlaute schreibt muss ich immer wieder an diese Kollumne denken...

Umlaute benutzt er nie. Nicht weil das nicht ginge -- nein, er zeigt damit, dass er aus einem Land vor unserer Zeit stammt.

Sorry ist nicht böse gemeint