OVH Community, your new community space.

Server gut absichern?


cha
15.06.08, 13:23
Zitat Zitat von F4RR3LL
und das findest du ned mit google ..au weia

Apache/sql/php5 http://www.tim-bormann.de/?section=145#mod_1291
lighttpd/sql/php5/ssl/htaccess http://wiki.nixhelp.de/doku.php/howto/lighttpd-xxl
lighttpd/sql/php5/ssl/chrooted http://wiki.nixhelp.de/doku.php/howto/lighty-chrooted


viel spaß
Ich hab den Baum vor lauter Wald nicht gesehen

Danke, der erste Link scheint mir gut weiter zu helfen.

F4RR3LL
14.06.08, 23:20
und das findest du ned mit google ..au weia

Apache/sql/php5 http://www.tim-bormann.de/?section=145#mod_1291
lighttpd/sql/php5/ssl/htaccess http://wiki.nixhelp.de/doku.php/howto/lighttpd-xxl
lighttpd/sql/php5/ssl/chrooted http://wiki.nixhelp.de/doku.php/howto/lighty-chrooted


viel spaß

cha
14.06.08, 22:03
Ich finde es toll, wie einem hier geholfen wird

Eine Frage hab ich aber noch:
Ich möchte nun PHP5, MySQL5 und phpMyAdmin installieren. Gibt es dafür eine Anleitung für eine Grundkonfiguration für phpMyAdmin? Könnt ihr mir die Sachen verraten, die sicherheitstechnisch dabei unbedingt zu beachten sind? (Denn als phpMyAdmin-Zugang ein root ohne Passwort ist wohl total unsicher,.. aber wie setze ich ein Passwort?)

Danke und mfg
Der nervende cha

sledge0303
14.06.08, 15:16
@Daniel

Nein, wenn das Skript mit den IPTables-Rules sich in /etc/network/if-up.d/ befindet, wird es bei Systemstart automatisch ausgeführt.
Voraussetzung ist allerdings dessen Ausführbarkeit und die Hoffnung dass derjenige der das nutzen will auch weiß was er macht...
Jedenfalls, wenn bestimmte Ports nicht benutzt werden, weil es kein Proggie gibt welches diese nutzt, wieso sollte man diese mit Reject abblocken?
Der Request auf diese Ports läuft selbst auch ohne ins leere.

IP Rules eignen sich in erster Linie für lokales Routing auf dem Server, so wie Sven es mit dem XeN beschrieben hat.
Man kann temporär sich ärger vom Hals halten, die Logs kürzen wenn IPs geblockt werden, aber du weisst selbst wie schnell man heute sich mit einer neuen in das Netz einloggen kann...

PS: wenn mein Großprojekt abgeschlossen ist, wird diesbezüglich ein kleiner Artikel auf *nixhelp erscheinen ... sprich bin momentan voll ausgebucht und der Rest geht für Frau und Kind drauf

cha
14.06.08, 00:21
Zitat Zitat von AlexanderB
Wenn du alle Dateien bearbeiten willst, nimm sftp.
Danke für deine Antwort!

sftp scheint ja eine gute Lösung zu sein, da es ja scheinbar genau das selbe Protkoll wie SSH nutzt und man somit nichts zusätzlich installieren muss.

Danke! Ich werde es morgen testen. FTP kommt gleich wieder runter

F4RR3LL
13.06.08, 23:32
Zitat Zitat von schwarzlicht
Hallo Sven, was mir gerade auffällt, fehlt bei Deinem HowTo nicht ein REJECT für alles was nicht passt?

Daniel
Fehlen tut es meiner Ansicht nach in dem kleinen Script nicht. Oder wo hättest Du es gern noch?
Ich selber nutze IPTABLES eh nur noch auf Servern mit Xen fürs Routing. Auf allen anderen habe ich mir das erspart.
Und nochmal zum /etc/network/if-up.d/iptables <- wenn das mit chmod x versehen ist klappt das 1a beim Boot. Das muss also in kein rc2.d oder rc3.d.

AlexanderB
13.06.08, 22:57
Zitat Zitat von cha
Hallo!

Ich bin gerade dabei, FTP einzurichten. Ich habe mich für proftpd entschieden.

Nun eine Frage: Wie unsicher ist es, wenn ich per FTP auf ALLE Dateien zugreifen kann? Das wäre das Praktischste, aber ich habe Bedenken wegen der Sicherheit.
Mein FTP-Passwort ist ein 10-stelliges generiertes Passwort mit Ziffern und Buchstaben.
Was gibt es zu beachten, wenn ich auf ALLE Dateien Zugriff habe?

edit:
Es ist ein eigener FTP-User, der nicht die Berechtigung hat, Dateien zu verändern, da der Eigentümer root ist.

edit2:
Wäre es sicherer, wenn ich den FTP-Server bei Nichtgebrauch immer herunterfahre? Kann ich es dann auch so belassen, dass ich alle Dateien "sehe"?

Danke und lg
cha
Nein.

FTP arbeitet ohne Verschlüsselung - ist also NIE richtig sicher.

Wenn du alle Dateien bearbeiten willst, nimm sftp.

Ein Herunterfahren des FTPs bringt wenig, macht eher mehr arbeit.
Ich starte den FTP per inetd ( begrenzt auf 5 Instanzen ).

Alternativ, wenn es wirklich FTP sein muss, nimm ftps

Gruß.

cha
13.06.08, 22:41
Hallo!

Ich bin gerade dabei, FTP einzurichten. Ich habe mich für proftpd entschieden.

Nun eine Frage: Wie unsicher ist es, wenn ich per FTP auf ALLE Dateien zugreifen kann? Das wäre das Praktischste, aber ich habe Bedenken wegen der Sicherheit.
Mein FTP-Passwort ist ein 10-stelliges generiertes Passwort mit Ziffern und Buchstaben.
Was gibt es zu beachten, wenn ich auf ALLE Dateien Zugriff habe?

edit:
Es ist ein eigener FTP-User, der nicht die Berechtigung hat, Dateien zu verändern, da der Eigentümer root ist.

edit2:
Wäre es sicherer, wenn ich den FTP-Server bei Nichtgebrauch immer herunterfahre? Kann ich es dann auch so belassen, dass ich alle Dateien "sehe"?

Danke und lg
cha

schwarzlicht
12.06.08, 02:49
Zitat Zitat von F4RR3LL
es muss gehen ohne den Eintrag in rc2.d hab das mehrfach schon selber so laufen gehabt. Ich mache in ein paar Tagen meinen Server eh neu... da werde ich das nochmal genau nachrecherchieren was hier ned passt. Aber es muss definitiv nicht iin rc2.d rein.
Gruß Sven
Hallo Sven, was mir gerade auffällt, fehlt bei Deinem HowTo nicht ein REJECT für alles was nicht passt?

Daniel

F4RR3LL
08.06.08, 18:57
Zitat Zitat von schwarzlicht
Stimmt - das wird nicht von selbst gestartet, habe es so gemacht:
Code:
ln -s /etc/network/if-up.d/iptables.active.sh /etc/rc2.d/S30firewall
* Sorry, hatte das ganz vergessen - schon lange keinen Server mehr abgesichert mit iptables...

P.S : habe das auch überprüft - es funzt
es muss gehen ohne den Eintrag in rc2.d hab das mehrfach schon selber so laufen gehabt. Ich mache in ein paar Tagen meinen Server eh neu... da werde ich das nochmal genau nachrecherchieren was hier ned passt. Aber es muss definitiv nicht iin rc2.d rein.
Gruß Sven

k!mmel
08.06.08, 17:26
- Fail2Ban
- DenyHosts
- Ossec
- Suhosin
- Nichts unter "root" laufen lassen.
- Dienste absichern, Ports verlegen.
- Unbenötigte Dienste stoppen.
- Software aktuell halten.
- Skripte absichern.

MfG

schwarzlicht
08.06.08, 12:45
Stimmt - das wird nicht von selbst gestartet, habe es so gemacht:
Code:
ln -s /etc/network/if-up.d/iptables.active.sh /etc/rc2.d/S30firewall
* Sorry, hatte das ganz vergessen - schon lange keinen Server mehr abgesichert mit iptables...

P.S : habe das auch überprüft - es funzt

cha
08.06.08, 12:00
Kann mir denn wirklich keiner weiterhelfen?
Ich hab alles noch einmal kontrolliert, es ist aber alles korrekt, meiner Meinung.

Nach einem Neustart ergibt die Ausgabe von iptables -L:
Chain INPUT (policy ACCEPT)
target prot opt source destination

Chain FORWARD (policy ACCEPT)
target prot opt source destination

Chain OUTPUT (policy ACCEPT)
target prot opt source destination

cha
08.06.08, 00:50
Zitat Zitat von F4RR3LL
dann hast Du es nicht 100% nach howto gemacht wäre dem so würde es automatisch starten ...
gruß Sven

//edit ich vermute der chmod 700 wurde nicht gemacht
Ich bin so vorgegangen (mit root-Rechte per su):

1.) Die Datei /etc/network/if-up.d/iptables.active.sh erstellen:
Code:
cat > /etc/network/if-up.d/iptables.active.sh << "EOF"
#!/bin/sh

IPTABLES="/sbin/iptables"

$IPTABLES -F INPUT
$IPTABLES -F FORWARD
$IPTABLES -F OUTPUT
$IPTABLES -P INPUT DROP
$IPTABLES -P FORWARD DROP
$IPTABLES -P OUTPUT ACCEPT
$IPTABLES -A INPUT -i lo -j ACCEPT
$IPTABLES -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
$IPTABLES -A INPUT -p icmp -m icmp --icmp-type 5 -j DROP
$IPTABLES -A INPUT -p icmp -j ACCEPT
$IPTABLES -A INPUT -p tcp --dport 21 -j ACCEPT
$IPTABLES -A INPUT -p tcp --dport 22 -m state --state NEW -m recent --set --name SSH -j ACCEPT
$IPTABLES -A INPUT -p tcp --dport 22 -m recent --update --seconds 60 --hitcount 4 --rttl --name SSH -j LOG --log-prefix "SSH_brute_force "
$IPTABLES -A INPUT -p tcp --dport 22 -m recent --update --seconds 60 --hitcount 4 --rttl --name SSH -j DROP
$IPTABLES -A INPUT -p tcp --dport 25 -j ACCEPT
$IPTABLES -A INPUT -p tcp --dport 80 -j ACCEPT
$IPTABLES -A INPUT -p tcp --dport 443 -j ACCEPT
EOF
2.) Firewall aktivieren
Code:
/etc/network/if-up.d/iptables.active.sh
3.) Schreibrechte
Code:
chmod 700 /etc/network/if-up.d/iptables.active.sh
4.) Immutable Bit
PHP-Code:
chattr -+/etc/network/if-up.d/iptables.active.sh 
Wenn ich nun iptables -L aufrufe, erhalte ich wesentlich mehr Ausgabe und ich finde darin jene Sachen, die ich in iptables.active.sh eingetragen habe.

Nach einem Reboot ist allerdings die iptables -L-Ausgabe genau so, wie vor der Einrichtung dieser Firewall.

Ich kann es mir nicht vorstellen, dass ich etwas falsch gemacht habe. Aber wahrscheinlich ist mir irgendwo ein dummer Fehler hinein gerutscht...

edit:
Ich habe Debian Etch...

bjo
08.06.08, 00:41
Auch nett sind:
logcheck und tiger.

F4RR3LL
08.06.08, 00:00
dann hast Du es nicht 100% nach howto gemacht wäre dem so würde es automatisch starten ...
gruß Sven

//edit ich vermute der chmod 700 wurde nicht gemacht

cha
07.06.08, 23:45
Ich habe gerade iptables nach dieser Anleitung eingerichtet: http://wiki.nixhelp.de/doku.php/howto/ip_tables

Leider wird aber bei meinem Server (Debian Etch) dies nach einem Reboot nicht automatisch gestartet. Es wird nur gestartet, wenn ich es manuell starte mit /etc/network/if-up.d/iptables.active.sh

Warum ist das so und wie kann ich es bei einem Reboot automatisch laden?

schwarzlicht
06.06.08, 09:24
Ja, das mit dem höheren Resourcenverbrauch muss man abwiegen: wenn z.B. der FTP-Server nur von Dir gebraucht wird, solltest Du ihn manuell starten/beenden. MYSQL lässt Du am besten auch nur lokal "horchen" und schon könnte man auf eine Firewall verzichten.

Installiere Dir mal von MS Virtual Machine, mach Dir da dann Debian rauf und teste erst Deine Einstellungen - bevor Du Dich auf dem ROOT aussperrst.

cha
06.06.08, 09:21
Danke auch für deine Antwort, sledge0303!


Kann mir jemand ein gutes Buch für die Serverkonfiguration empfehlen? Es sollte aber eher an Anfänger gerichtet sein

sledge0303
06.06.08, 09:11
Zitat Zitat von cha
Danke für deine Tipps, schwarzlicht!

Ich hab mir gerade die zwei Links durchgelesen und finde es eigentlich relativ einfach
Ich werde dies heute Nachmittag auf meinem Server durchführen.
Hallo,

es liest sich alles relativ einfach, aber ein falscher Eintrag - Schwupps - hast dich selbst ausgesperrt und musst den Kasten im Rescue booten

Sicherheit bedeutet in erster Linie korrekte Konfiguration aller installierten Dienste...

Wie der Daniel geschrieben hat, lies dich bitte umgehend in die Matherie Rootserver ein.
Was IPtables angeht, kann man damit u.u. einiges an unerwünschten Traffic abfangen, im Gegensatz dazu fressen die Anweisungen Arbeitsspeicher und das nicht gerade wenig...

cha
06.06.08, 08:46
Danke für deine Tipps, schwarzlicht!

Ich hab mir gerade die zwei Links durchgelesen und finde es eigentlich relativ einfach
Ich werde dies heute Nachmittag auf meinem Server durchführen.

schwarzlicht
06.06.08, 05:49
Moin,

schau Dich mal hier um - ist schon ganz gut:
- SSH - Zugriffe nur per key
- SSH - Port verschieben
- IPTables
- immer den Traffic im Auge behalten (da hilft vnstat)
- Logs in /var/log - syslog 1-2 Mal täglich ist Pflicht
- passiv: mach regelmäßig Backups
und: kauf Dir ein Buch

wünsche Dir viel Spaß und Erfolg mit Deinem neuen Server.

Daniel

cha
06.06.08, 01:25
Hallo!

Ich habe heute Nachmittag meinen Isgenug 08-Server mit Ubuntu 8.04 Server bekommen. Ein Lob an OVH, dass der Rückstand der Isgenug 08-Server immer mehr aufgeholt wird.

Ich habe mich über PuTTY per SSH mit dem Server verbunden und einfach mal ein paar Sachen ausprobiert. Z.B. per wget die Downloadraten getestet, welche konstant über 10 MB/s waren. Anschließend habe ich dann alle Updates mit apt-get update + upgrade installiert.

Mein Wissen in Sachen Server ist leider eher gering. Aus diesem Grund möchte ich nichts falsch machen und frage vorher nochmals ausführlich.

Welche Sachen sollte ich als erstes erledigen, damit der Server einigermaßen sicher ist?
SSH-Port ändern? Wenn ja, auf welchen Port?
Firewall installieren? Wenn ja, welche?
Anschließend erst Apache installieren?

Welche Sachen sollten dann regelmäßig durchgeführt werden?
Logfiles kontrollieren? Wenn ja, welche und wo finde ich diese?
Updates machen -> ist klar

Ich hoffe, ihr könnt mir bei meinen ersten Schritten behilflich sein.
Danke!

lg
cha