Server absichern

Dieses Thema im Forum "Debian/Ubuntu/Knoppix" wurde erstellt von g0t0, 05.02.2007.

  1. g0t0

    g0t0

    Dabei seit:
    25.05.2006
    Beiträge:
    313
    Zustimmungen:
    0
    Hy,
    Ich wollt mal wissen wie sicher mein Server ist, also folgendes habe ich schon gemacht:

    -ssh port geändert + root login deaktiviert
    -snort installiert und so ziemlich alle rulesets die ich gefunden habe (nur die sinnvollen) aktiviert
    -mod-security (für apache 1.3) Installiert + Konfiguriert
    -überflüssige software glöscht
    -firewall + iptables konfiguriert
    -portsentry Installiert + Portscanning Kontrollen etc. aktiviert und auch getestet
    -logcheck installiert
    -überflüssige benutzer (ftp benutzer z.B.) deaktiviert

    Dann hab ich noch ne frage zu Webmin, sind die apt-get pakete "sicher" und was muss ich da bei der konfiguration beachten gibt ja ne ganze menge module, sind da welche unsicher?

    Und wo bekomm ich einen Stable fail2ban Mirror her?

    mfg g0t0.
     
  2. Anzeige

    Schau dir mal diese Kategorie an. Dort findest du bestimmt etwas.
    Registrieren bzw. einloggen, um diese und auch andere Anzeigen zu deaktivieren
  3. codc

    codc /dev/null

    Dabei seit:
    12.01.2004
    Beiträge:
    607
    Zustimmungen:
    0
    Besser Keys benutzen und/oder Portknocking als Ports verschieben.

    Eine Firewall macht auf einem Server nur begrenzt Sinn. Besser die Dienste absichern und nicht den Gehirnschmalz in Iptables-Regeln stecken.

    Überflüssig wie ein Kropf - ein Portscan ist nichts anderes wie das Rauschen im Internet und nichts was einem zu denken geben sollte wenn man weiss was man tut.

    Den oder die sollte es gar nicht geben wenn du überflüssige Software sauber entfernt hast. FTP ist bei Debian ein optionales Paket.

    Webmin hat auf einem Server nur was zu suchen wenn der auf Localhost hört und über eine VPN-Verbindung angesprochen wird. Ansonsten runter damit oder willst du dir ein Scheunentor aufreissen?

    Mit Etch - ist noch nicht in stable aka sarge ....

    Und was du vergessen hast - den MTA auf Relay zu überprüfen, Tripwire, Tiger, Grsec-Kernel, SSH zu sichern also Version 2 nur zuzulassen usw.


    http://www.debian.org/doc/manuals/securing-debian-howto/index.de.html

    Viel Spass beim lesen ;)
     
  4. #3 StyleWarZ, 06.02.2007
    StyleWarZ

    StyleWarZ Profi Daten Verschieber

    Dabei seit:
    05.03.2004
    Beiträge:
    1.929
    Zustimmungen:
    0
    Hat es einen Grund warum du nicht Apache 2.2 benutzt?
     
  5. g0t0

    g0t0

    Dabei seit:
    25.05.2006
    Beiträge:
    313
    Zustimmungen:
    0
    Webmin....
     
  6. #5 supersucker, 06.02.2007
    supersucker

    supersucker Foren Gott

    Dabei seit:
    21.02.2005
    Beiträge:
    3.873
    Zustimmungen:
    0
    Ja,

    wie es schon erwähnt wurde, hat webmin auf einem Server nichts aber auch gar nichts zu suchen.

    Genauso wie swat und anderer ähnlicher Kram.

    Und zur Sicherheit:

    Wenn du das Ding wirklich sicher machen willst, war das gerade erst mal ein Anfang.

    Da solltest du zum einen beherzigen, was codc geschrieben hat.

    Zum anderen noch an paar weitere Anregungen:

    - rkhunter oder was Ähnliches was dir (evtl.) rootkits aufspürt per cron laufen lassen
    - minimalen Kernel bauen und verwenden
    - Penetrationstests laufen lassen
    - dich die nächsten 3 Monate mit SELinux beschäftigen

    Wie schon gesagt, was du bisher hast ist eigentlich nur eine minimale Basis...
     
  7. #6 Keruskerfürst, 06.02.2007
    Keruskerfürst

    Keruskerfürst Kaiser

    Dabei seit:
    12.02.2006
    Beiträge:
    1.366
    Zustimmungen:
    0
  8. g0t0

    g0t0

    Dabei seit:
    25.05.2006
    Beiträge:
    313
    Zustimmungen:
    0
    Hab ich auch schon eben in dem Debian Tutorial gelesen und sofort Installiert.
    Hatte nichts unsicheres auf meinem Server.
    Dienste wie bind usw. habe ich abgesichert, laufen in einer chrooted umgebung unter eingeschränkten benutzerrechten.

    Und was macht Webmin genau unsicher? Ich finde es ist ein gutes Werkzeug zum Server konfigurieren, bzw. was kann ich machen um webmin zu behalten? Es muss doch sicher wegen geben um webmin abzusichern.
    Habs noch nicht Installiert aber ich habe es eigentlich vor.
     
  9. #8 match3s, 06.02.2007
    match3s

    match3s Mitglied

    Dabei seit:
    30.12.2006
    Beiträge:
    46
    Zustimmungen:
    0
    Naja die meisten exploits gabs jetzt weniger direkt für webmin sondern mehr für den in perl geschriebenen httpd. Aber wen du webmin mit apache benützt ist das eigentlich nicht so wild solange du noch extra ne .htacces anlegst um das verzeichnis mit password zu schützen.
     
  10. grey

    grey -=[GHOST]=-

    Dabei seit:
    28.07.2006
    Beiträge:
    303
    Zustimmungen:
    0
    Mmh, bin ich nicht ganz der Meinung.

    Webmin ist ein Backend, welches imho Usereingaben mit rootrechten ins System durchreicht.
    Mit der .htaccess hat man zwar eine Sperre, aber die ist per BruteForce durchaus zu durchbrechen, da sie per default keine Begrenzung der missglückten Logins kennt.
    Soll heißen, dem blanken Login kann ich beibringen, daß nach 3 gescheiterten Logins der Account gesperrt wird. Mir ist noch nicht zu Ohren gekommen (soll nicht bedeuten, daß es nicht geht), daß dies mit htaccess möglich ist.
    Ein weiterer Punkt - Um das System sicher zu machen, wäre es sinnvoll, den Apache in einer chroot-Umgebung laufen zu lassen. Wird der Apache kompromitiert, ist noch nicht alles verloren.
    Gerade diese chroot-Umgebung würde allerdings den Sinn von Webmin ad acta legen. Ergo entweder chroot oder Webmin.

    Da ich allerdings den Webmin nur relativ kurz getestet habe, bin ich mir nicht aller seiner Fähigkeiten bewußt. Sollten irgendwelche Gedanken, die ich mir gerade von der Seele geschrieben habe, nicht stimmen, wäre ich für einen Klaps auf den Hinterkopf dankbar ... ;)
     
  11. Anzeige

    Vielleicht findest du HIER Antworten.
    Registrieren bzw. einloggen, um diese und auch andere Anzeigen zu deaktivieren
  12. g0t0

    g0t0

    Dabei seit:
    25.05.2006
    Beiträge:
    313
    Zustimmungen:
    0
    Also webmin ist in Perl geschrieben und benutzt den Apache nicht, weswegen .htaccess erst garnicht funktionieren wird.

    Ich habe einfach mal den port geändert, und nun muss ich mal sehen wie ich das mit den zugriffen auf das Interface regeln kann.

    Vieleicht weis ich meiner IP eine dynamische DNS zu und erlaube den Zugriff nur über diese dns, das wäre eine möglichkeit.
     
  13. seim

    seim seim oder nicht seim?

    Dabei seit:
    08.09.2006
    Beiträge:
    909
    Zustimmungen:
    0
    Ort:
    /mnt/reallife
    Was genau meinste damit ^^?
    Gucken ob APache etc. richtig konfiguriert sind?
     
Thema:

Server absichern

Die Seite wird geladen...

Server absichern - Ähnliche Themen

  1. Xen Virtuelle Server über Firewall des Hauptsystem absichern?

    Xen Virtuelle Server über Firewall des Hauptsystem absichern?: Hallo, ich möchte demnächst mit XEN ein paar VM´s einrichten und möchte diese jedoch nicht alle einzeln Firewalltechnisch konfigurieren. Zum...
  2. mailserver absichern

    mailserver absichern: hi, ich habe mir nen mailserver, basierend auf exim, fetchmail, cyrus und procmail, unter debian eingerichtet, er dient eigentlich nur als lager...
  3. CentOS 7: Falsche Metric bei regelbasiertem Routing nach Server-Reboot

    CentOS 7: Falsche Metric bei regelbasiertem Routing nach Server-Reboot: Hallo zusammen Ich möchte unseren existierenden SFTP Server durch einen neuen Server mit CentOS 7 ersetzen. Da der Server einerseits direkt via...
  4. Empfehlung für Server Distribution

    Empfehlung für Server Distribution: Hallo, ich habe hier zu Hause einen kleinen Heimserver, auf welchem ich ein paar Daten für den Zugriff im Haus, einen kleinen Web Service für...
  5. Buch-Weitergabe: Linux-Server mit Debian 6 (Squeeze)

    Buch-Weitergabe: Linux-Server mit Debian 6 (Squeeze): Autor des Buches: Eric Amberg ISBN: 3-8266-5534-0 Praxisumpfang: Backoffice-Server, Root-Server, Linux als Gateway, Server-Security Viele...