OVH Community, your new community space.

Sicherer Server unter ovh grSec Kernel?


Drognat
05.01.09, 01:37
Zitat Zitat von Thunderfox
gibt es /etc/init.d/ssh start und stop überhaubt, und wenn ich mich dann erstmal verbinde, wird diese Verbindung wegen dem Timeout auch nicht nach 10 Sekunden wieder unterbrochen?
Außerdem, kann man die Sequence ändern?
L.G. Andre M.
hi thunderfox,

bereits bestehende verbindungen bleiben natürlich bestehen, auch wenn der sshd gestoppt wird.

/etc/init.d/ssh ist quasi nur ein script, der als argument u.a. start / stop / restart etc erwartet.

und ja man muß sogar die sequence ändern. (eine nur dir bekannte) wobei seq_timeout > cmd_timeout sein sollte.

hier eine mustercfg für den sshd:
[opencloseSSH]
sequence = 3333,4444,5555
seq_timeout = 15
tcpflags = syn
start_command = /etc/init.d/ssh start
cmd_timeout = 10
stop_command = /etc/init.d/ssh stop


mfg
alex

p.s.: http://wiki.nixhelp.de/doku.php/howto/port-knocking

Thunderfox
06.08.08, 22:56
Soa, nun hab ich noch eine Frage zum knocking.

Wenn ich nun in die Config folgendes einfüge:
cat > /etc/knockd.conf << "EOF"
[options]
logfile = /var/log/knockd.log

[opencloseSSH]
sequence = 3333,4444,5555
seq_timeout = 10
tcpflags = syn
start_command = /etc/init.d/ssh start
cmd_timeout = 10
stop_command = /etc/init.d/ssh stop
EOF

Kann das dein das ich dadaurch evtl irgentwelche Probleme bekomme? gibt es /etc/init.d/ssh start und stop überhaubt, und wenn ich mich dann erstmal verbinde, wird diese Verbindung wegen dem Timeout auch nicht nach 10 Sekunden wieder unterbrochen?
Außerdem, kann man die Sequence ändern?

Sollte die Config evtl. lieber so aussehen?
cat > /etc/knockd.conf << "EOF"
[options]
logfile = /var/log/knockd.log

[opencloseSSH]
sequence = 3333,4444,5555
seq_timeout = 10
tcpflags = syn
start_command = /etc/init.d/ssh start
EOF

Und wie kann ich das denn wieder Stoppen?

L.G. Andre M.

PS. Gibt es irgenteine Homepage, die einen die Ports auf sicherheit scannt?

Thunderfox
06.08.08, 19:42
Ich hab jetzt soweit alles eingerichtet.

Ich habe jetzt:
- 4 Gameserver über die erforderlichen Ports eingerichtet
- 2 Teamspeak Server (8767,8888), Webinterface deaktiviert
- 1 Apache Server installiert
- 1 FTP(s) Server installiert mit getrenntbenutzbaren ftp - Benutzer

SSH einstellungen nehme ich gleich vor.

Was für Sicherheitsprogramme und Einstellungen benötige ich denn noch?
Wie gesagt, ich bin totaler Einsteiger in Sachen "Sicherheit auf Linux/Debian Roots" und weiß nicht wie was noch geschützt werden muss.
Den Mailserver installiere ich erst, wenn ich mich ein wenig eingearbeitet habe,

Thunderfox
06.08.08, 17:30
Okay, ich hab nun ma FireZilla gedowngradet, da es damit wunderbar laufen soll.
Hier ist auch eine info darüber -> http://schwobeseggl.de/

Soa, nun fehlen nur noch die zugriffrechte

F4RR3LL
06.08.08, 17:02
ne sry bin hier auf arbeit

Thunderfox
06.08.08, 17:00
könnte mir das nicht einer von euch eben schnell einrichten und sagen wo der Fehler lag?
ICQ: 242-303-563

strex
06.08.08, 16:51
Mit chmod die Rechte mit chown den Besitzer der Datei/Ordner.

Jedoch würde ich dir empfehlen erstmal einige Bücher zu lesen und daheim zu testen, sonst kann es schnell passieren, dass dein Server geschlossen wird. Entsprechende Managed Modelle sind natürlich auch möglich.

Thunderfox
06.08.08, 16:38
Und wie kann ich den nun Lese und Schreibrechte geben, also der Befehl dafür? Am besten gleich auch alle unterordner und dateien.
Die Ordner befinden sich in /home/css-s1/srcds/cstrike
bis /home/css-s1/srcds/ kann ich noch zugreifen. Der benutzer ist css1

Und was ist mit der TLS Verbindung passiert? -> Siehe letzten post

P.S. Danke das du mir so gut hilfst

F4RR3LL
06.08.08, 16:21
du musst mit deinem ftp user natürlich mindestens leserechte auf das verzeichnis haben.
Die rechte kannst du mit ls -l /verzeichnis überprüfen

Thunderfox
06.08.08, 16:13
Wird wohl kaum geblock wenn ich da noch garnichts eingerichtet habe

Außerdem kommt wenn ich den nächsten Ordner auswählen will immer:
550 bin: Permission denied
liegt das evtl. an chmod rechte?

Edit:
Das war nachdem ich 3 weitere User hinzugefügt habe.

Seitdem bekomme ich bei einer TLS Verbindung auf die Fehlermeldung:
Antwort: 150 Opening ASCII mode data connection for file list
Status: Server hat die TLS-Verbindung nicht ordnungsgemäß geschlossen
Fehler: Could not read from transfer socket: ECONNABORTED - Connection aborted
Antwort: 226 Transfer complete.
Fehler: Verzeichnisinhalt konnte nicht empfangen werden

F4RR3LL
06.08.08, 16:05
schaut so aus als wäre iptables oder ähnliches auf dem Server das den passive Port blockt. Wenn dann kann das so ausschaun.

Thunderfox
06.08.08, 15:59
Es gibt nun nur noch ein Problem mit der FTPs - Verbindung zum Server:
Status: Verbinde mit ***...
Status: Verbindung hergestellt, warte auf Willkommensnachricht...
Antwort: 220 ProFTPD 1.3.0 Server (Debian) [***]
Befehl: AUTH TLS
Antwort: 234 AUTH TLS successful
Status: Initialisiere TLS...
Status: Überprüfe Zertifikat...
Befehl: USER ***
Status: TLS/SSL-Verbindung hergestellt.
Fehler: Zeitüberschreitung der Verbindung
Fehler: Herstellen der Verbindung zum Server fehlgeschlagen

Woran könnte das liegen? Ich hab das Tutorial genau befolgt.

Ohne TLS kann ich mich ohne Probleme connecten. An Filezilla liegt das nicht, oder?

F4RR3LL
06.08.08, 14:23
zu dem ftp .. folge dem link in meiner signatur ..dort findest du ein prftpd howto das dir eigentlich aufschluss geben sollte wie es geht

Bzgl Default ..beim apachen ist default solange aktiv bis eine sites-enabled/irgendwasvondir aktiviert wird...

Thunderfox
06.08.08, 10:38
Danke, ich hab garnicht auf die Funktion AllowOverride geachtet. Und in der Default ganz am anfang war Indexes noch auf +Multiview oda soa...
Wie Deaktiviere ich Default denn? Und wozu ist das sinnvoll.

Jetzt muss ich nur noch wissen, wie ich einen sicheren FTP Server mit 5 Benutzer in 5 verschiedenen Ordnern und einen Mailserver für 3 Domains draufbekomme.

L.G. Andre

Felix
06.08.08, 00:41
Durch einfügen von
AllowOverride Indexes
in die Config sollte dies gehen.
Siehe auch http://httpd.apache.org/docs/2.0/mod...#allowoverride .

F4RR3LL
06.08.08, 00:38
.htaccess brauchste ned... desweiteren ist die datei aus sites-available auch in sites-enabled ? und funktioniert sie auch oder ist noch deine default aktiv... wenn ja ist in der default auch der part
Code:
Order Deny,Allow
Allow from all
Options -Indexes
ansonsten ist das schon soweit richtig was ich hier so auszugsweise von dir lese

Thunderfox
06.08.08, 00:21
Hi, ich hänge grad ein wenig bei der Einrichtung des Webservers. Und zwar möchte ich, dass man den Inhalt der Ordner nicht mehr sieht, wenn man auf einem Ordner ohne index geht.

Die Datei /var/www/.htaccess hat folgenden inhalt:
Options -Indexes
ebenso wie die Datei /var/www/gameuniversum/.htaccess

Die Datei /etc/apache2/sites-available/gameuniversum hat folgenden Inhalt:

ServerAdmin ***
ServerName ***
ServerAlias ***
DocumentRoot /var/www/gameuniversum

Order Deny,Allow
Allow from all
Options -Indexes



Wieso klappt dies mit Options -Indexes trotzdem nicht? Hab ich evtl ein Fehler in der Schreibweise?

F4RR3LL
05.08.08, 21:39
zu den Partitionen grundsätzlich gibts hier auch schon nen Thread. Da stehs genau drin

Mit den Domains das geht in vhosts genau.

Thunderfox
05.08.08, 21:34
Achja, wie soll ich die Festplatte am Besten Partitionieren?
Die Gameserver zusammen verbrauchen zusammen max. 10GB
Der Webserver kann ziemlich groß werden.

Kann man einfach nur eine Partition nehmen, oda wäre das nicht sehr angebracht?

Ich meine das ich auf dem Server 3 Verschiedene Pages habe, zu denen 3 verschiedene Domains leiten. Wie kann ich das nun am besten serverseitig einrichten? also mit VHosts usw.?

F4RR3LL
05.08.08, 21:22
Also alles was Du hier fragst kann ich zwar beantworten, aber nen Buch mag ich nun auch ned schreiben.
Zum Teamspeakserver solltest Du beachten das der wenn du ihn standart installierst gefloodet werden kann, das er Passwörter von Usern im Klartext speichert usw . Dazu gibts aber feine Perl scripte die wir hier im Forum schonmal besprochen haben. Musste ma suchen.

Die Domains kann man idr in der Configuration wo man seine Domain gekauft hat einstellen. Ich hab meine Sachen bei United Domains da ist das kein Problem.
Mit lighttpd oder auch mit dem Indiander kann man entsprechende den Domains unterschiedliche Präsenzen laufen lassen auch das ist np.
Bzgl dem mysql

Code:
netstat -tap | grep mysql
Ergebnis sollte sowas in der Art sein ->
Code:
tcp        0      0 localhost.localdo:mysql *:*                     LISTEN     0815/mysqld
Wenn du einen Mailserver installieren willst ... bedenke das auch hier viel schief gehen kann. Ich finde eh das nen Mailserver auf nem Root so ziemlich das schwerste ist. Zumindest für mich.

Bzgl dem Knockd muss man halt statt dem /sbin/iptables beliebigen anderen Code ausführen lassen. Bzw man kann auch einfach ein Script ausführen lassen oder oder oder.

Zum Gameserver kann ich nix sagen damit kenne ich mich ned aus. Aber haben ja hier noch massig Zocker im Forum

Gruß Sven

Thunderfox
05.08.08, 21:10
Und wie genau lasse ich den Mysql Server nur local lauschen? Muss ich noch mehr Ports auf local lauschen umstellen?
Und wie kann ich mit knocking SSH starten lassen?

Gibs noch irgentwelche Sachen bzgl. Sicherheit allgemein, die man beachten sollte? Ich bin im Bereich Linux und Sicherheit so ziemlich neu, deswegn frage ich. Meine php Scripts werde ich so sicher wie möglich gestalten und auch nochmal überprüfen lassn.

Wenn ich den Server nochmal komplett im SSH Modus resetten würde, wärst du evtl. in der Lage und bist so nett, mir den http, sftp, mail und den mysql-server Sicher einzurichten? oder mir zu erklären wie ich das mache?
Sollte ich bei den Teamspeakserver und Gameserver etwas beachten?

2. Wie kann ich es am besten einrichten, dass 3 verschiedene Internetseiten von 3 verschiedene Domains auf meinem Server leiten, ebenso mit den Mailservern.
Außerdem soll es für jedem Gameserver ein sftp Account geben. Und für jede Website auch ein sftp Account. Also insgesamt 7.

F4RR3LL
05.08.08, 20:49
Also es ist eigentlich ganz einfach, um einen Server sicher zu machen musst du ein sinnvollen mix aus zumutbarar bzw notweniger Software und gleichzeitig das was am wenigsten das System beeinträchtigt mixxen.
Ich persönlich war auch mal der Meinung das iptables absolut Pflicht ist ... das lag eher da dran das ich zB nicht wusste wie ich gewisse Ports nur noch local lauschen lasse. bzgl dem knocken, man kann mit Knocking nicht nur Ports öffnen. Du kannst damit auch das gesamte ssh starten lassen usw. Somit braucht der Dienst gar ned laufen und du sparst schon wieder iptables... sofern das wer als Argument liefert.
Wieder andere schwören auf fail2ban usw.
Umlegen von Ports sperren von root usw.
Machbar ist vieles. Es muss einfach zumutbar bleiben und man sollte keine Scheunentore öffnen.
Die meisten Lücken werden eh nicht auf ssh genutzt. Die meisten Hacks kommen dann doch eher auf falschen Php Scripten bzw kurzzeitige Exploits wegen bestehender Sicherheitslücken einer Distri.
Also lass Dich da nicht zu heiß machen
Gruß Sven
Ups ganz vergessen GRSEC ist zB interessant wenn du deinen Webserver im chroot einsetzt. Es werden viele kleine Beschränkungen auf Kernelebene gesetzt die per Default nicht vorhanden sind, allerdings auch wieder abhängig davon welche Stufe man grsec mit einbaut. Custum light medium oder high....
sofern du es genauer nachlesen magst ->
http://www.grsecurity.net/features.php

Thunderfox
05.08.08, 20:41
Wie siehts eig. mit SSH aus, sollte ich den Port sperren und einen anderen benutzen und den denn immer vorher übers knocking aktivieren, oda wie schauts aus?
Was sollte noch alles zur Sicherheit beachtet werden?
In einem anderem Board wurde mir erzählt, dass man umbedingt ne Firewall bzw. die IPTables richtig konfiguriert haben sollte.

Und was macht den Server mit einem grSecurity Patch sicherer?

F4RR3LL
05.08.08, 20:17
du brauchst keine firewall installieren .. sind ja ned bei windows.... wenn deine dienste nur auf diesen ports lauschen und du alle anderen dienste nur local lauschen lässt zB 3306 dann sind die eh ned erreichbar und nen iptables reine ressaurceenverschwendung.

Thunderfox
05.08.08, 19:47
Hi,
ich wollte mal wissen, wie man den Server über den 2.6.24.5 SMP & grSEC sicher konfigurieren kann, da man ja keine modules benutzen kann mit Firewall usw.

Auf dem Server sollte folgendes Konfiguriert werden:
- HTTP Server (Apache)
- SFTP Server
- Mailserver (exim4)
- 2 Teamspeakserver einmal Port 8767, und einmal 8888
- 4 CSS Gameserver benötigt insgesamt folgende Ports:
UDP 1200
TCP 27015
UDP 27020
UDP 27000 - 27015
TCP 27030 - 27039
Und diese müssen auch weitergeleitet werden:UDP 27015, UDP 28015, UDP 29015, UDP 26015)

Was muss ich beachten, und wie kann ich am besten eine Sichere Firewall ohne Module installieren?