Sind Stratos Server relativ sicher?

[Sandmann]

Ich weiss eine absolute Sicherheit gibt es nicht. Ich habe den Server mal "gecheckt", wobei das nur rudimentär natürlich war.

Also einmal offne Ports und dann hab ich noch auf Open Relays getestet.

Weitere Testmöglichkeiten stehen mir nicht zu Verfügung. Deshalb möchte ich nur wissen, ob dem einen oder anderen etwas aufgefallen ist. Aber bitte nicht hier posten was. Nur ein ja reicht, vielleicht auch noch ein Mini-Hinweis per PM mehr aber aufgrund der Öffentlichkeit des Forums nicht. Ich will ja nicht Threadstarter von Anstiftungen sein.

Aber ich bin noch relativ frisch im Umgang mit Linuxsystemen, mache mir aber viel Gedanken um die Sicherheit eines Servers. Lese viel und lerne jeden Tag neues.

Leider ist es so, dass ich in meiner Ausbildung zum Anwendungsentwickler nicht viel mitbekommen habe vom sicheren einrichten und administrieren eines
Linuxsystems.

Hat jemand vielleicht einen guten Buchtip, oder ähnliches?

Und wie schätzt ihr die Sicherheit des Stratoservers ein, man bekommt ja alles schon fertig konfiguriert.

 

[society]

Das meiste ist schon vorkonfiguriert... aber Sicherheit kann man nicht kaufen!

www.selflinux.de ist schonmal ein guter Anfang.... der Rest kommt von alleine.

 

[Sandmann]

Danke schön,

immer her mit den Lesetips

 

[Thorsten]

Hallo!
Ich würde das ganze in zwei Bereiche teilen: Zum einen stellt sich meiner Meinung nach die Frage, wie sicher ist ein Linux System? Das hängt zum einen von den 'Fähigkeiten' des Admins ab - zum anderen vom Einsatzzweck des Servers. Im Prinzip kannst du, unabhängig davon ob es sich um SuSE, RedHat, Debian, Solaris, OS/400 oder Windows handelt, immer das selbe mit diesen Maschinen machen. Dienste anbieten. Wichtig dabei ist, dass du verstehst, was dieser Dienst tut.
Es geht jetzt darum, dass diese Dienste das tun was du von ihnen verlangst bzw. erwartest. Klar soll ein Mail-Server E-Mails transportieren. Allerdings nur solche, die auch berechtigter Weise transportiert werden sollen. Hast du ein offenes Relay, macht dein Server noch immer was er eigentlich tun soll. Nur nicht so wie du es gern hättest.
Der nächste Punkt ist die eingesetzte Software. Wenn der besagte Mail-Server z.B. bei einer speziell modifizierten Nachricht plötzlich Dinge tut die er nicht tun darf (Remote Code Ausführung, Übermitteln von Passworten) ist es natürlich Aufgabe des Softwareentwicklers diesen Fehler zu beheben. Aber es ist deine Aufgabe dafür zu sorgen, dass diese korrigierte Software auch auf deinem System zu Einsatz kommt.

Der zweite große Teilbereich ist die Sicherheit der Systeme beim Provider. Selbstverständlich gehe ich davon aus, dass bei den Anbietern nur Personen physikalischen Zugriff auf die Server haben, die auch berechtigt sind und wisse, was sie tun dürfen bzw. müssen, und was nicht.

Weiterhin erwarte ich, dass der Anbieter sein eigenes Netz schützt. Was nützt mir ein sauber abgesicherter Server, wenn jeder im selben Netzsegment den IP Verkehr des anderen mitlesen kann?

Die Absicherung der eigenen Maschine ist Aufgabe des jeweiligen Server-Admins. Die Absicherung der Infrastruktur ist Aufgabe des Providers.

mfG
Thorsten

 

[Sandmann]

Danke für die deine Erklärung, an die Sache mit dem phisikalischen Zugriff und Network Sniffing hab ich noch gar nicht gedacht. Könnte eingentlich bei einer Fehlkonfiguration, also wenn der Provider sein Netzwerk nicht abgesichert hat, gegen Sniffing, jemand als Man in the Middle fungieren bei SSL-Verbindungen.

Das wäre mehr als fatal.


Eine andere Frage, würde das bedeuten, dass man eigentlich nicht eine Firewall in solchen "sicheren" Systemen braucht?

Oder macht es trotzdem Sinn, in meinem Fall jetzt, die Susefirewall einzuschalten?

 

[Schpock]

ne firewall macht keinen sinn auf dedizierten Servern da sie eigentlich ein Netzwerk schützen sollen ... und dahinter ist nixmehr
guck ma nach "linux härten"
übrigens , jeder Dienst der nicht läuft ist ein sicherer man sollte drauf achten welche Ports offen sind und eventuell für gewisse Programme überlegen andere Ports als die Standardkonfguration zu benutzen ... das allein bewirkt oft schon wunder.
Manche Dienste sind sher hackeranfällig , andere dagegen eher weniger. Zb. sind Gameserver , BNCs und Irc-Server wohl die am meißten kompromitierten Systeme während Server mit lediglich Webserver wie Apache Mysql und Mail relativ selten befallen werden. Das liegt in erster Linie wohl auch an den regelmäßigen Sicherheitsupdates für diese Dienste und möglicherweise auch am glauben der Hacker das Gameserver zb oft enorm hohe trafficaufkommen haben und einbruchversuche um zb einen ftp-server laufen zu lassen weniger schnell entdeckt werden.

 

[Huschi]

Hat jemand vielleicht einen guten Buchtip, oder ähnliches?

Suche bei Amazon nach Büchern von Ralf Spenneberg. Das ist (in etwa) der deutsche Security-Guru. Zumindest nach der Anzahl seiner Veröffentlichungen.

huschi.