Zusätzliche Absicherung der Mail-Dienste per F2B

  • Thread starter Thread starter Deleted member 14254
  • Start date Start date
D

Deleted member 14254

Guest
Hallo liebes Forum,

ich hätte eine kurze Frage noch zu Möglichkeiten, nicht nur SSH per F2B abzusichern.

Bis jetzt schützt F2B bei mir ausschließlich SSH. Nur hatte ich schon seit längerem ebenfalls andere Dienste, wie Postfix ebenfalls vor, per F2B zu schützen. Mit anderen Worten hat F2B ja bekanntlich viele Filter und Actions onBoard, die man aktivieren kann.

Ich erinnere mich auch hier an einen Thread, der darüber schreibt. Doch ist es dort so, das es für nicht nötig befunden wird, Postfix noch zusätzlich zu schützen.

Bei mir ist Postfix "hardened-flag" kompiliert, hat somit also schon einen gewissen "Selbstschutz" mit der Umstellung zum Hardened-Profil von gentoo erworben. Ich möchte natürlich das Möglichste tun, was in meiner Macht steht. Doch übertieben soll es -klar- auch nicht werden.

Eine weitere Frage wäre: ApacheBadBots-Schutz per F2B: Nutzt die Jemand von Euch?

Das wäre aus jetziger Hinsicht meiner Frage auch schon alles.

Ich bedanke mich im Voraus für jede Hilfe und Anregung :)
 
fail2ban kümmert sich bei mir um die bösen Jungs die versuchen meine Mailserver als Relays zu missbrauchen oder vielfach sich versuchen mit einem Mailaccount anzumelden, d.h. ist es jedenfalls sinnvoll "f2b" einzusetzen.
 
Last edited by a moderator:
benutzte es auch,pro Tag hab ich so mind. 5-10 Angriffe auf mein Mailserver abwehren können genauso wie bei FTP.Kann ich nur jedem empfehlen
 
Fail2bain fällt für mich in die Kategorie Snake Oil. Wenn du dein System sauber konfigurierst, dann brauchst du derartige Dinge nicht. Fail2bain dient dir bestenfalls zur Reduzierung der Länge deiner Logfiles.

Eine "saubere Konfiguration" für SSH schaut für mich z.B. so aus: 4096bit Keys mit langen Passphrases. SSH lauscht nur auf eine non-public IP, die via VPN zu erreichen ist. Root-Login ist deaktiviert, die Shell-User sind auf ein Minimum reduziert (i.d.R. genau einer). Wozu brauche ich dann noch Fail2bain?

Was den Apache betrifft, solltest du mit mod_security und mod_evasive auf der sicheren Seite sein. Aber auch hier kommt es auf die Konfiguration an. Für mod_security bietet m.W. auch eine Firma ein kostenpflichtiges Regex-Abo an, zu vertretbaren Kosten (~100$ pro Jahr?).
 
Also VPN und root Login deaktiviert ... finde ich unnötig.
Da hab ich am Server echt andere Sorgen und die liegen idr im Webbereich..


Gruß Sven
 
also das finde ich auch bissl übertrieben mit einer nonpublic IP und Admin deaktiviert.Ich habe Passwort deaktiviert und Anmeldung über Key File und den Port geändert und auf SSH habe ich keine Angriffsversuche mehr verzeichnen können.Und Fail2ban läuft für Mail,FTP und bald auch Apache bzw paar laufen schon
 
Sicherheit ist ja eine sehr subjektive Angelegenheit. :)

Für mich ist ja z.B. FTP per se ein unsicherer Dienst, weshalb das auf keinem meiner Server läuft. Warum sollte ich das auch überhaupt brauchen, wo ich doch bereits SSH laufen habe und somit sftp nutzen kann?

Weniger ist halt doch oft mehr. Eben mehr Sicherheit. Und warum sollte ich Dienste wie SSH, die nicht öffentlich zugänglich sein _müssen_, nicht hinter einem VPN "verstecken"? VPN ist aus meiner Sicht eine Allzweckwaffe. Nur _ein_ Dienst mehr und ich kann damit zick andere Dienste sehr effektiv absichern.
 
Kannst Du, und dann passiert dir was nem Kollegen passiert ist, VPN stürzt ab. Somit sind alle daran gebundenen Dienste erstmal nicht erreichbar, sprich 1 Dienst kann X andere Ausschalten. Dann heißt es reboot oder wenns dumm läuft rescue (sofern vorhanden).
Es kommt natürlich ganz stark drauf an was mit dem Server überhaupt gemacht wird. Hast Du wie bei mir Vereine o.ä drauf, brauchst Du einfach alles das auf dem Server was den Rattenschwanz an Lücken nach sich zieht.
Da gibts ja wenn wir grade bei SSH sind auch noch so tools wie knockd. Aber ich weiß nicht, das machts für mich nicht sicherer. Ich hab nur eine Stelle mehr die Ausfallen kann und abgesehen von evtl kleineren Logs keinen wirklichen Sicherheitszugewinn.

Gruß Sven
 
Ich persönlich halte OpenSSH für deutlich sicherer implementiert und programmiert als jede VPN-Lösung. Insbesondere OpenVPN fehlen elementare (Security-)Features:
OpenVPN is not compatible with IPSec, IKE, PPTP, or L2TP
Click to expand...
Ich wage mal die Behauptung, dass ein VPN-Server schneller geknackt ist, als ein OpenSSH-Server.
 
Hallo Joe,

ich stimme deiner Kernaussage bzgl. der Sicherheit von OpenSSH zu, deine Kritik
an OpenVPN finde ich aber unberechtigt.

Der fehlende Support für IPSec, IKE, PPTP, or L2TP ist lediglich darauf zurückzuführen, das OpenVPN ein eigenes Protokoll verwendet, welches mit IPSec grundsätzlich nicht kompatibel ist.

Wenn man sich die Komplexität von IPSec vor Augen führt ist das vermutlich sogar ein Vorteil :-)

Im Gegenzug landet man bei IPSec schnell auf den kleinsten gemeinsamen Nenner wenn man diverse Systeme gleichzeitig unterstützen will - meist IKEv1 mit pre-shared secret, und das ist auch nicht so doll...

beste Grüße,
Nils
 
Hallo an @lle helfenden und ratgebenden "Hande" hier :))

Sorry zunächst, das ich mich nach meiner Frage solange nichts mehr von mir hören ließ. Hatte die letzten 2 Wochen einiges (auch einige Arzttermine) um 'die Ohren'. - Den Server habe ich natürlich dennoch jeden Tag geupdatet ;)

Also was meine derzeitigen Sicherheitsmassnahmen angeht:

Server-Zugang:
Fail2Ban SSH/SSHD-DDoS
SSH-Port ist 'umgebogen'.
Pub-Key-Auth mit 16384kb-Key. Passwort-Auth ist komplett deaktiviert.
Gentoo-Hardened-Kernel mit PaX (Code-Randomization beispielsweise, damit der temporäre Verbleib von ausführbaren Programmbestandteilen im RAM zufällig gesteuert wird. Man hat also keine direkte "Vermutung", bzw. Randomization lässt keine Schlussfolgerung mehr zu, wo sich welches Programm im RAM befindet)
Hardened-Toolchain

Apache:
Edit: Apache mpm-peruser
.htaccess - Dateien als Schutz für die Admin-Panels (wie $CMS usw.)
Die Panels wie Postfix-Admin/phpmyadmin sind mit .htaccess geschützt, die nur eine bestimmte IP erlauben...

Hatte bei der Konfiguration des f2b lediglich die zusätzlichen möglichen Jails bemerkt und dachte daran evtl. die Apache-BadBots zu aktivieren. Nur habe ich das noch nie gemacht. Habe leichte befürchtungen, das ich mir anschließend evtl. "selbst im Weg" stehen könnte.
 
Last edited by a moderator:
You must log in or register to reply here.
Back
Top