Einfach mal ein paar Buecher zu System- und Datensicherheit lesen, die sich auf das auf dem Rootserver installierte System beziehen. Ausserdem arbeiten wir mit der BLHG momentan an einem Rootserver-Howto, dessen Veroeffentlichung allerdings erst in ein paar Wochen geplant ist, da das Thema ja doch recht komplex ist. Ein Buch direkt zu Rootservern ist mir jetzt nicht bekannt, aber Buecher zu den Themen Linux-Systemsicherheit gibt's ja genug. Da es aber auch auf die eingesetzte Server-Software ankommt, denke ich, dass es ein allgemeines Rootserver-Buch auch nicht gibt. Allerdings gibt es ein paar Grundregeln, die man einfach beachten sollte:
1. Keine Software laufen lassen, die nicht benoetigt wird.
2. Gute Passwoerter verwenden (Buchstaben+Zahlen+Sonderzeichen).
3. Direkten Root-Login unterbinden.
4. SSH auf einen anderen Port als den Default-Port legen
5. Tweaking im ProcFS vornehmen:
Code:
### PROC MANIPULATION ###
# auf Broadcast-Pings nicht antworten
echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts
# halt die Klappe bei komischen ICMP Nachrichten
echo 1 > /proc/sys/net/ipv4/icmp_ignore_bogus_error_responses
# Kicke den ganzen IP Spoofing Shit
# (Source-Validierung anschalten)
echo 1 > /proc/sys/net/ipv4/conf/all/rp_filter
# Setze Default-TTL auf 61 (Default fuer Linux ist 64)
echo 61 > /proc/sys/net/ipv4/ip_default_ttl
# sende RST-Pakete wenn der Buffer voll ist
echo 1 > /proc/sys/net/ipv4/tcp_abort_on_overflow
# warte max. 30 secs auf ein FIN/ACK
echo 30 > /proc/sys/net/ipv4/tcp_fin_timeout
# unterbreche Verbindungsaufbau nach 3 SYN-Paketen
# Default ist 6
echo 3 > /proc/sys/net/ipv4/tcp_syn_retries
# unterbreche Verbindungsaufbau nach 3 SYN/ACK-Paketen
# Default ist 6
echo 3 > /proc/sys/net/ipv4/tcp_synack_retries
6. Die Datei-Integritaet durch Tools wie AIDE oder Tripwire ueberwachen, damit ein evtl. stattgefundener Angriff sofort bemerkt wird und man sehen kann, welche Dateien der Angreifer veraendert hat.
7. Ein IDS einsetzen, mit dem sich die bekannten Angriffstechniken von vornherein unterbinden lassen.
8. Einen Kernel mit Stack-Smashing-Protector einsetzen um BufferOverflow-Angriffe zu erschweren bzw. zu unterbinden.
9. Das System regelmaessig updaten.
Sicherlich gibt es noch einiges mehr, was man machen kann, aber ich denke, dass dies die wichtigsten allgemeinen Sachen sind, die man beachten sollte. Der Rest ist dann Konfigurationssache fuer die einzelnen verwendeten Server-Tools.