Wie sichert ihr eure Server ab?

  • Thread starter Thread starter freakshow10000
  • Start date Start date
F

freakshow10000

Guest
Hi leute
Mich würde mal intressieren wie ihr eure Server absichert
Also bei mir siehts grade so aus
1) nur bestimmte user ssh login
2) kein pw auth nur rsa keys
3) rsa key = 4096 bit
4) rsa liegt in einem Truecrypt container die wiedrum auf einer mit Truecrypt verschlüsselten hdd liegen
5) nicht der standert ssh port und fail2ban (<-- ist zwar sinnlos aber für ftp trotzdem benutzbar ;))

Jaja ich weiß etwas übertrieben
aber ich frage mich immer
ich bin paranoid aber bin ich paranoid genug?
Ich habe keine lust eine Abuse mail von Hetzner zu bekommen das mein Server i-welche ddos angriffe fährt

Mfg
 
Hallo,

von SSH Seite siehts bei mir auch so aus. Aber wie gehts deinen ganzen anderen Diensten auf dem Server? - Sind die auch so safe? :eek:

Greetz
 
habe nichts drauf...
Laufen nur Gameserver
Kein apache o.ä
Benutze zwar proftpd, dies hat aber gründe wegen Tekbase..
Sonnst würde ich was anderes benutzen.
Nichtmal ein Mail Server läuft :P
Ok Webmin läuft.. allerdings auf einem Port dessen dimensionen ich lieber nicht nenne
 
SSH absichern ist nicht Server absichern. Du hast noch eine Menge zu tun.

Alles, was du aufzählst, sind Dienste, die weit häufiger als Einfallstor dienen als SSH. Und nur, weil es gute Gründe gibt diese einzusetzen, müssen sie natürlich trotzdem abgesichert werden. Den Port verlegen ist nicht absichern, das findet jeder mittelmäßige Portscanner sofort.

- ProFTP ist in letzter Zeit sehr häufig negativ aufgefallen. Wenn ich das nehmen würde, dann auf jeden Fall in ein chroot packen.
- Gameserver sind auch häufig eher von schwieriger Qualität, was die Sicherheitsaspekte angeht. Immer wieder werden Root-Rechte vorausgesetzt. Das würde ich auch auf jeden Fall chrooten.
- Webmin mit SSH absichern, damit niemand die Zugangsdaten abschnorcheln kann. Für Paranoide: Webmin auf ein VPN legen, dann kommt da von Außen keiner mehr ran.

Dazu kommen bei mir hostbased intrusion detection (rkhunter und tripwire) und Tools, die mir eine Auswertung der logfiles zuschicken (logwatch).

Für Paranoide ist das alles noch zu toppen: Mails bei jeder Anmeldung, Rootfilesystem read-only, Syslog auf entfernte Rechner, ...

Und dann wären da noch die Basics: Regelmäßige Sicherheitsupdates einspielen.
 
freakshow10000 said:
Hi leute
Mich würde mal intressieren wie ihr eure Server absichert
Also bei mir siehts grade so aus
1) nur bestimmte user ssh login
2) kein pw auth nur rsa keys
3) rsa key = 4096 bit
4) rsa liegt in einem Truecrypt container die wiedrum auf einer mit Truecrypt verschlüsselten hdd liegen
5) nicht der standert ssh port und fail2ban (<-- ist zwar sinnlos aber für ftp trotzdem benutzbar ;))

Jaja ich weiß etwas übertrieben
aber ich frage mich immer
ich bin paranoid aber bin ich paranoid genug?
Ich habe keine lust eine Abuse mail von Hetzner zu bekommen das mein Server i-welche ddos angriffe fährt

Mfg
Click to expand...

Hallo freakshow10000,

ich kenne viele Administratoren, die noch um einiges krasser sind, weil Sie
leider des Öfteren schon gehackt wurden :-)

Ich für meinen Teil lege schlicht den SSH-Port um, womit ich in den letzten 2
Jahren ganz gut fahre. Seit dem hatte ich nicht einen einzigen fehlerhaften
Login mehr in den Logfiles, ausser von mir selber mal.

Darüber hinaus werde ich bei einem fehlerhaften Login direkt informiert, per
Mail und nach X-Versuchen per SMS.

Aber SSH ist leider nicht der einzige Angriffspunkt. Vor kurzem gab es zum
Beispiel einen bösen ProFTP Bug, bei dem es möglich war ruck zuck eine
Root-Shell zu erhalten. Oder es gibt eine Lücke in der Webapplikation, wo
es ein Angreifer schafft ein Skript hochzuladen was $irgendwas anstellt.

Viele Grüße
Jonny
 
nevakee said:
Du kannst auch einen anderen nutzen, es muss nicht proftpd sein.
Wenn z.B. vsftpd vorher installiert ist und dann TekBase, erkennt er vsftpd automatisch und nimmt den. ;)
Click to expand...


Wow cool nice! :)
Gleich mal testen :O
 
Also ich schütze meine Server immer mal wieder anders. Meistens jedoch so:
- Root Login verbieten
- SSH Port verlegen
- Fail2Ban installieren

Sobald eine Verbindung auf den SSH Port 22 erfolgt, sofortiger IPTables Ban. Außerdem werden noch andere Ports zufällig überwacht. Connectet ein Client dahin, ist es für mich ein Protscan, und er kommt sofort in IPTables und ich bekomm ne eMail.

Bis jetzt wurde der Server noch nie gehackt ;)

Grüße
DJW-Hosting
 
You must log in or register to reply here.
Back
Top