VServer von Strato vorerst "sicher"???

V

vmx1

New Member
Hallo,
vorab erst mal ein Lob an alle beteiligten für dieses Forum. Ich habe in den letzten 4 Tagen quasi hier im Forum gelebt ;) . Da ich mir einen VServer bei Strato bestellt habe und nicht vollkommen unvorbereitet in diese Thematik einsteigen wollte. Ich bin zwar in den 4 Tagen kein Linux Profi geworden aber ich hoffe es reicht erstmal um nicht vom nächsten "ScriptKiddie" ausgelacht zu werden.

Bisher habe ich mich fast ausschließlich mit Microsoft BS befasst. Also war und bin ich immer noch auf Linux absoluter Anfänger. Natürlich rechne ich schon jetzt mit Antworten wie "Keine Erfahrung mit Linux und dann einen Server betreiben, dass sollte man verbieten" oder so ähnlich. Habs auf jeden Fall schon oft genung hier im Forum so gelesen. Dazu kann ich nur sagen ich bin doch hier und will an meinem Wissensstand etwas ändern.



Genutzt wird der Server (Suse Linux 9.3 + Plesk 8.1.0) als Webserver und Mailserver. Dienste laufen noch so wie bei der Standard Installation von Strato angegeben.

WEB-Server (Apache)
SMTP-Server (QMail)
IMAP/POP3-Server (Courier-IMAP)
DNS-Server (BIND)
Dr.Web Antivirus

Folgendes habe ich bereits geändert / angepasst.

SSHD_config

SSH Protokollversion 1 gesperrt
SSH Port geändert
Root Login deaktiviert

Über Yast

alle (71) Recommend und Sercurity updates eingespielt.
Neuen Benutzer angelegt (sonst könnte ich mich ja garnicht mehr per SSH anmelden:-)

Über Plesk

Alle Updates eingespielt (nichts neues installiert)
Email Relay auf "Autorisierung nötig" (SMTP) gestellt
Watchdog aktiviert (inkl. "Täglicher Sicherheitsüberprüfung")

Watchdog Ergebniss
Code: 
* Applikationsversionsprüfung
   - GnuPG 1.4.0   [ Gefährdet  ]
   - Bind DNS 9.3.1   [ OK ]
   - OpenSSL 0.9.7e   [ Gefährdet  ]
PHP Warning:  Unknown(): Unable to load dynamic library '/usr/lib/php/extensions/pgsql.so' - libpq.so.3: cannot open shared object file: No such file or directory in Unknown on line 0
   - PHP 4.3.10   [ Gefährdet  ]
   - Procmail MTA 3.22   [ OK ]
   - ProFTPd 1.3.0   [ Unbekannt ]
   - OpenSSH 3.9p1   [ OK ]
Zwischenfrage: Benötige ich überhaupt "GnuPG" und "OpenSSL" bzw. für was sind die gut und wo und wie kann ich diese deaktivieren? PHP brauche ich zwingend da meine Website in sehr großen Teilen auf PHP aufbaut.


Desweiteren habe ich mich in diesen vier Tagen mit folgenden Büchern / Websites beschäftigt:

Die Linuxfibel
RootForum.de
huschi.net
http://www.serversupportforum.de/
Plesk pdf Handbuch
Galileo Design - Der eigene Webserver (für mich absolut verständlich und sehr gut)
Linux In A Nutshell (Kann ich bestimmt später erst so richtig was mit anfangen)

So nun zur eigentlichen Frage ist der Server erstmal soweit das ich ihn alleine lassen kann oder habe ich etwas wichtiges übersehen. :D Weil ich möchte endlich wieder schlafen gehen, meine Kaffe und RedBull Reserven sind nu futsch.:D
 
Last edited by a moderator:
OpenSSL brauchst du ziemlich sicher, wenn du in irgendeiner Weise SSL oder TLS (verschlüsselte Verbindungen) machen willst. Meines Wissens ist OpenSSH schon drauf angewiesen.

GnuPG wird wahrscheinlich von yast benötigt (kenn mich mit SuSE nicht aus).

Die Frage, warum der Watchdog anfällige Dienste/Pakete meldet, yast dafür aber keine Updates anbietet, lässt sich ziemlich wahrscheinlich so erklären, daß SuSE die Fehler zwar gestopft hat, aber dafür nicht die Versionsnummer angepasst hat.
 
Yast zeigt meist nur immer das korrekt an was darüber auch installiert wurde.Habe Gnupg und Openssl selber kompiliert da es keine einzige Yast Quelle gab worüber ich die neuste Version hätte beziehen können, bzw. ich hab bis jetzt noch keine gefunden die diese Komponente in aktualisierter Version enthält

Auch wenn man die Versionen selber kompiliert hat wird Yast die alte Versionsnummer ausgeben obwohl definitve die neuste installiert ist.Watchdog wird dann aber korrekt anzeigen welche vorhanden ist.Bei selber kompilieren musst du unter suse den pfad auf /usr/ anpassen sonst hast nämlich zwei Versionen auf dem Server laufen (bin darüber nämlich beim ersten mal selber gestolpert)
 
Last edited by a moderator:
Für SuSE 9.3 gibt es meines Wissens noch Security-Support. Daher wird SuSE auch neue RPMs liefern. Vorsicht: Allerdings werden bei diesen nicht die Versionsnummern erhöht (der Watchdog wird deshalb Alarm schlagen, obwohl die installierte Version nicht anfällig ist).

Ich empfehle jedem, einzelne Pakete nicht selbst zu kompilieren und zu installieren; üblicherweise handelt man sich nur Probleme ein, wenn mehrere Versionen installiert sind bzw Paketabhängigkeiten nicht mehr stimmen; selbst wenn alles passt, fertige Pakete installieren geht schneller ;-)

Daher: Lieber mal das Source-RPM holen und dieses anpassen, dann geht wieder alles über die Paketverwaltung und man das komplette Paket problemlos deinstallieren bzw updaten.
 
danke schon mal für die schnellen Antworten. Wenn wir die "falsche" "Fehlermeldung" von WatchDog mal ausser acht lassen wie sieht es dann mit der "Sicherheit" aus.
 
Hallo,

momentan lacht das Script Kiddy noch ganz gut :-) Und zwar aus folgendem Grund: Ich hab in Deiner Aufzählung nichts vom absichern der PHP-Installation gelesen (oder habe ich da was überlesen?).

Tu Dir dazu mal folgende Page an: Linux-Magazin - php


Zweiter Punkt wäre "IP-Tables". Ist zwar unnötig sagen manche, weil IP Tables nicht wirklich gegen Angreifer absichern (unnötige Dienste abschalten ist immer gut) ...es ist aber ganz nützlich wenn einer im System ist und er mit seinem nicht root-user leider keinen FTP erfolgreich nach draußen publizieren kann, weil der Port über IP-Tables nicht freigegeben ist :-)

Viele Grüße
Sinepp
 
Sinepp said:
...es ist aber ganz nützlich wenn einer im System ist und er mit seinem nicht root-user leider keinen FTP erfolgreich nach draußen publizieren kann, weil der Port über IP-Tables nicht freigegeben ist :-)
Click to expand...

Wenn es soweit ist, würde ich die Kiste eh platt machen; lokale root-Exploits gibt es nun wirklich genug.
 
ich weiss zwar nicht ganz genau was du mit PHP instsallation absichern meinst aber PHP läuft im Safe Mode und ich bin der einzige der darauf zugreift. Es gibt also weder Kunden noch andere User die php hochladen können. Oder bin ichdamit voll amThema vorbei?

den Link aus Linux Magazin lese ich mir natürlich gerne durch.
 
vmx1 said:
den Link aus Linux Magazin lese ich mir natürlich gerne durch.
Click to expand...

Genau deswegen, weil du das noch nicht gemacht hast, weißt du auch (noch) nicht, was genau damit gemeint ist ;)

Der Artikel ist einfach und verständlich geschrieben, sollte also kein Problem sein :)
 
so hab mal das script aus Listing 1 auf den Server geschmissen folgend Meldung erschien (ausschnit der Meldung)
open_basedir restriction in effect. File(/srv/www/htdocs) is not within the allowed path(s):
Click to expand...

Kann es sein das Strato bereits einige Sachen in eine Standardinstallation integriert hat. In Plesk kann ich nämlich auch kein "Offenes Relay" einstellen (will ich auch nicht) lediglich "Geschlossenes" und "Authentifizierung". Obwohl es im Plesk Handbuch steht das man es machen könnte.

So hab gerade in der php.ini nachgeschaut open_basedir ist eingetragen zwar nicht von mir aber schon drin.
 
Last edited by a moderator:
Hallo VMX1,

bisher fand ich Deine Beiträge gut, jetzt wird es etwas...unschön sie zu lesen (Regel 3).

Ich helf Dir mal bzgl. PHP auf die Sprünge:

1) PHP Absichern macht unter anderem dann Sinn, wenn es möglich ist aus dem Internet auf Deine PHP Applikation ohne vorherigen .htaccess zuzugreifen.

2) Kommt man also IRGENDWIE direkt an eine von PHP ausgelieferte Seite, muss PHP abgesichert werden. Wie, das steht in dem von mir gezeigten Link - und da gibt es mehr als nur OpenBasedir.

Grüße
Sinepp
 
Hallo Sinep,

ich war gestern irgendwie nicht gut drauf,sorry. Ich werde mir deinen Link jetzt noch mal in aller Ruhe zu gemüte führen.

Gruß

Marcus
 
So ich bin überrascht wie viel man doch überlesen kann wenns schnell gehen muss.
Wie, das steht in dem von mir gezeigten Link - und da gibt es mehr als nur OpenBasedir.
Click to expand...
@Sinepp nochmals Danke für den Hinweis.

Ich habe mich jetzt also nochmals durch den Artikel gearbeitet. Und nun hab ich ihn auch größten Teils verstanden. Folgende Einstellungen hab ich darauhin auch in der php.ini vorgenommen:

  • open_basedir=/verzeichniss angegeben
  • register_globals=off
  • magic_quotes_gpc=on
  • disable_functions= system, exec, shell_exec, passthru, phpinfo, show_source
  • allow_url_fopen_=no


Nur mit dem Abschnitt "Apache konfiguriert PHP" hab ich ein kleines Problem. Den versteh ich zwar. Aber wo könnte ich die Einstellugen aus Listing 2 eintragen? :D direkt in der Definition der virtuellen Hosts von Apache :D soweit bin ich dann auch schon. Mir fehlt da das Verzeichniss und der Dateiname.

Ich hoffe ich habe nun nichts mehr überlesen. Desweiteren bin ich mal gespannt ob beim endgültigen Umzug noch alle PHP Scripte laufen. Ich denke aber schon.

Bis jetzt hat ja niemand mehr etwas anderes an Sicherheitslücken geschreiben. Gibt es denn nichts mehr was noch gemacht werden müsste? Das kann ich mir irgendwie nicht vorstellen, wäre aber natürlich froh, wenn das was ich bisher gemacht habe ausreichen würde.
 
Last edited by a moderator:
Wo wir gerade beim Thema Strato v-Server mit Plesk 8.1 absichern sind. Hast Du mal überprüft, ob die Veränderung der Einstellungen bezüglich Email Relay überhaupt eine Auswirkung hat?
Meine Einstellung lautete auf SMTP-Authentifizierung, es war mir aber problemlos möglich, mit Outlook auch ohne die Authentifizierung Mails zu versenden. Auch nachdem ich das Relay geschlossen habe, konnte ich noch Mails über SMTP versenden.
Kannst Du diese Erfahrungen bestätigen? Ich befürchte nun ein offenes Relay zu haben.
@alle anderen: Wirklich toll, wie hier mit Newbies wie uns umgegangen wird. Danke dafür !!!
 
"All tests performed, no relays accepted." Da bin ich erstmal beruhigt.

Danke für den Hinweis, DarkAngel, kannte ich noch nicht.
 
Hallo,
den Link hatte ich vorher schon mal in einem Techchannelbericht gesehen, natürlich auch getestet. Laut Ergebniss
All tests performed, no relays accepted
Click to expand...
scheint alles in Ordnung zu sein.

@Hunter
Kannst du "Offenes Relay" überhaupt einstellen? Bei mir geht das nämlich garnicht. Lediglich "Geschlossenes" und "Authentifizierung" sind möglich.

Gruß
Marcus
 
Offiziell natürlich nicht ;) Aber ich vertrau Plesk da nicht ganz, ob es das, was ich im Panel anklicke auch umsetzt. Und wie die Authentifizierung der Mail läuft, ist mir immer noch nicht ganz klar. Ich vermute, dass die Abprüfung auch über den Pop-Abruf gemacht wird, da es ja der gleiche Mail-Server ist. Auch wenn explizit gefordert ist, dass die Authentifizierung über den SMTP-Server erfolgen soll. Ich muss dass noch mal über die Verwendung eines Domainalias ausprobieren.
BTW: Auf welche Art und Weise wir die Verwendung bestimmter Passörter für die E-Mail untersagt? PW die bei anderen Accounts gehen, funktionieren plötzlich bei anderen nicht (was die Blacklist ausschließt), wenn ich 90% des Domainnamens verwende, läßt Plesk das PW aber klaglos zu (obwohl das angeblich unterbunden werden soll).
Außerdem funktioniert bei mir die Domainweiterleitung ohne Frames nicht, mit Frames habe ich noch nicht probiert.
Insgesamt scheint mir Plesk 8.1 noch nicht ganz ausgereift, aber insgesamt sicher einfacher, als sich als Newbie (was ich zweifelsohne leider noch bin), um die komplette Einrichtung eines Servers zu kümmern. Das habe ich nämlich mit Hilfe des Buches von Hitschler vor ca. einem halben Jahr versucht und bin damit nicht zu Rande gekommen (zumindest nicht in der Zeit, die mir zur Verfügung stand). Bei der Absicherung leistet es nun dagegen gute Dienste.
 
You must log in or register to reply here.
Back
Top