[PUG] Root Server absichern
Einen wunderschönen Guten Tag liebe Pug Community, mich führt nach langer zeit wieder der weg zu euch, da ich mich wieder auf komplett neuem Boden in Sachen Linux bewege! Ein Freund und ich haben vor uns einen Root Server zu mieten, da die Lage in Sachen Viren bei Linux ein bisschen *hust* besser aussehen möchte ich auch auf ein Linux Server setzen. Jetzt möchte ich wissen, was ich bei einem neuen Root Server mit dem Betriebssystem Debian/Ubuntu (Der Hersteller rückt noch nicht ganz genau mit der Angabe des BS heruas) machen soll. Was ich schoneinmal gehört habe ist: - Das abändern vom SSH Port - Das verschlüsseln von der kompletten Festplatte - einem anderen User als root für Administratitische Handlungen benutzen, root aber dennoch mit einem 24 zeichen Passwort behalten, um den kleinen Hackern einen Spaß zu können *g* Jetzt mächte ich wissen, gibt es noch weitere Sachen die ich beachten muss und auserdem, wie stelle ich die ganzen Sachen an, was mir ganz komplex ist wie ist dem User root alles entziehe und ihm einen anderen user geben soll? Mit freundlichen Grüßen Stephan Schaffner -- PUG - Penguin User Group Wiesbaden - http://www.pug.org
Re: [PUG] Root Server absichern
2008/9/2 Stephan Schaffner [EMAIL PROTECTED]: Einen wunderschönen Guten Tag liebe Pug Community, mich führt nach langer zeit wieder der weg zu euch, da ich mich wieder auf komplett neuem Boden in Sachen Linux bewege! Ein Freund und ich haben vor uns einen Root Server zu mieten, da die Lage in Sachen Viren bei Linux ein bisschen *hust* besser aussehen möchte ich auch auf ein Linux Server setzen. Jetzt möchte ich wissen, was ich bei einem neuen Root Server mit dem Betriebssystem Debian/Ubuntu (Der Hersteller rückt noch nicht ganz genau mit der Angabe des BS heruas) machen soll. Lies mal in Foren wie rootforum.de die FAQ. Und such auch nach Threads mit den Schlagworten, die Du hier angerissen hast. Ausserdem gibt es noch Artikel in Richtung harden debian, wobei ich nicht weiss, wie aktuell das noch ist. Und nicht vergessen, auch die laufenden Dienste abzusichern. Christian -- PUG - Penguin User Group Wiesbaden - http://www.pug.org
Re: [PUG] Root Server absichern
Hallo Stefan, die erste Frage ist erstmal: Was soll mit dem Server gemacht werden ? Davon hängen weitere Maßnahmen ab. Ein E-Mail Server muss anders gesichert werden, als z.B. ein Webserver. Den SSH Port zu ändern bringt nichts, besser ist es Passwort/Challenge Auth abzuschalten und nur private/public Key Auth zuzulassen. Weiterhin sollte mit iptables der SSH Zugang nur für bestimmte IP-Adressen zugelassen werden. Der Rest bekommt ein connection refused. Die Festplattenverschlüsselung bringt nur was, wenn schutzbedürftige Daten da liegen. Das kann z.B. schon bei E-Mails der Fall sein. Root-Login nur über die Console zulassen, Remote nur über einen bestimmten User und sudo. Auch hier kann eine Einschränkung nach IP-Adressen erfolgen. Bleiben noch die Themen: * SELinux * chroot * Firewall (Packet- und Appl. based) Was absolut nicht auf einen Server gehört sind: * SMTP offenes Relay * Offene Proxy Server * Anonymous FTP mit Upload Möglichkeit Diese Dinge führen nämlich im besten Fall zur fristlosen Kündigung durch den Hoster. Grüße Christian Stephan Schaffner schrieb: Ein Freund und ich haben vor uns einen Root Server zu mieten, da die Lage in Sachen Viren bei Linux ein bisschen *hust* besser aussehen -- PUG - Penguin User Group Wiesbaden - http://www.pug.org
Re: [PUG] Root Server absichern
Christian Felsing schrieb: sollte mit iptables der SSH Zugang nur für bestimmte IP-Adressen zugelassen werden. Der Rest bekommt ein connection refused. Mit dieser Faustregel kommst Du aber _extremst_ schnell an den Punkt, wo sich die Katze sicherheitstechnisch in den eigenen Schwanz beißt. -martin signature.asc Description: OpenPGP digital signature -- PUG - Penguin User Group Wiesbaden - http://www.pug.org
Re: [PUG] Root Server absichern
Am Dienstag, 2. September 2008 19:00:10 schrieb Christian Felsing: Den SSH Port zu ändern bringt nichts, besser ist es Passwort/Challenge Auth abzuschalten und nur private/public Key Auth zuzulassen. Weiterhin sollte mit iptables der SSH Zugang nur für bestimmte IP-Adressen zugelassen werden. Der Rest bekommt ein connection refused. Wenn man SSH noch zusätzlich absichern will, dann sollte man eher an Portknocking denken und die Sache mit iptables vergessen. Wer sagt denn, das die IP-Adressen nicht mal schnell vom Provider geändert werden und man plötzlich vor verschlossenen Türen steht? Gruß Udo -- PUG - Penguin User Group Wiesbaden - http://www.pug.org
Re: [PUG] Root Server absichern
Udo Neist schrieb: Wenn man SSH noch zusätzlich absichern will, dann sollte man eher an Portknocking denken und die Sache mit iptables vergessen. Wer sagt denn, das die IP-Adressen nicht mal schnell vom Provider geändert werden und man plötzlich vor verschlossenen Türen steht? Portknocking? Jetzt muß ich aber doch mal ganz provokativ fragen, warum ihr euch wegen SSH so zickig anstellt. SSH komplett zutackern, weil irgendwann mal ein Debian-Maintainer einen Blackout gehabt hat, und dafür weiter unbeirrt LAMP fahren? Da fehlt doch irgendwie das Augenmaß, oder? Dann würde ich eher noch dafür plädieren, ausschließlich handgedrehte Source-Installationen von OpenSSH ans Netz zu nehmen, wo kein Dritter dran rumgepfuscht hat. -martin signature.asc Description: OpenPGP digital signature -- PUG - Penguin User Group Wiesbaden - http://www.pug.org
Re: [PUG] Root Server absichern
Am Dienstag, 2. September 2008 20:40:59 schrieb Martin Schmitt: Portknocking? Jetzt muß ich aber doch mal ganz provokativ fragen, warum ihr euch wegen SSH so zickig anstellt. SSH komplett zutackern, weil irgendwann mal ein Debian-Maintainer einen Blackout gehabt hat, und dafür weiter unbeirrt LAMP fahren? Da fehlt doch irgendwie das Augenmaß, oder? Dann würde ich eher noch dafür plädieren, ausschließlich handgedrehte Source-Installationen von OpenSSH ans Netz zu nehmen, wo kein Dritter dran rumgepfuscht hat. -martin *lach* Ich nutze kein Portknocking, verwende nur Keys. Gruß Udo -- PUG - Penguin User Group Wiesbaden - http://www.pug.org
[PUG] Folien zu den Vorträgen auf der FrOSCon (incl. wiimote :-))
Hallo zusammen, wollte Euch darauf hinweisen, dass es zu manchen Vorträgen auf der FrOSCon schon Handouts und Folien gibt. Zu finden bei den Details der einzelnen Vorträge, z.B. über die wiimote: http://programm.froscon.org/2008/events/208.en.html . Grüsse markus -- PUG - Penguin User Group Wiesbaden - http://www.pug.org
Re: [PUG] Root Server absichern
hi, Am Dienstag, den 02.09.2008, 19:00 +0200 schrieb Christian Felsing: * SELinux * chroot * Firewall (Packet- und Appl. based) bleib mal auf dem Boden :-) 1. Von SELinux würde ich die Finger lassen. Das Zeug ist Voodoo und du brauchst ein Diplom dafür, um die Möglichkeiten sinnvoll zu verwenden. Das Zeug ist für gehärtete Systeme interessant, aber nicht für einen 0-8-15 Root. Chroot sollten die Applikationen von Hause aus können. Ist das nicht der Fall, lohnt der Aufwand nicht wirklich. IPtables OK, Appl. Proxys sind für Anfänger nichts. Damit reißen die sich eher Löcher rein, als das System sicher zu machen. cu denny signature.asc Description: Dies ist ein digital signierter Nachrichtenteil -- PUG - Penguin User Group Wiesbaden - http://www.pug.org
Re: [PUG] Root Server absichern
Ich glaube dadurch, da ich hier das ganz Zeug nicht verstehe sollte ich mir lieber abraten einen Root zu bestellen ?!? Also, der Sinn und zweck des Server (Nein, nichts illegales ...) Bit Torrent Client über den TCP und UDP Port 1337 *g* und einem FTP Client, nicht anonym! Das wäre das was ich bräuchte! IPTables kannste bei mir vergessen, da erstens mein Kumpel anderen Provider hat, zweitens ich auch immer eine komplett neue IP pro Tag kriege! trozdem noch die frage - Bleiben noch die Themen: * SELinux * chroot * Firewall (Packet- und Appl. based) Was ist das alles (Ja, eine Firewall weis ich was das ist, aber welche ist da empfehlenswert?) Desweiteren wegen SSH, es kann gut möglich sein, dass mein Hoster nicht nur SSH, sondern auch eine VNC verbindung anbietet, soweit ich von anderen Kunden dieses Server eben gerade gehört habe! Ich entschuldige mich schonmal jetzt erst dass ich euch nicht von anfang an gesagt habe was ich mit dem Server vorhabe! Ich hoffe jetzt kommen NOCH preziesere Antworten, als was sie jetzt schon sind, wobei man diese Empfehlungen auch sehr gut verwenden kann! MfG Stephan -- PUG - Penguin User Group Wiesbaden - http://www.pug.org
Re: [PUG] Root Server absichern
Denny Schierz schrieb: 1. Von SELinux würde ich die Finger lassen. Das Zeug ist Voodoo und du brauchst ein Diplom dafür, um die Möglichkeiten sinnvoll zu verwenden. Das Zeug ist für gehärtete Systeme interessant, aber nicht für einen 0-8-15 Root. Ach Du Schreck. Du also auch. Ist denn _irgendwer_ auf der Liste, der mit SELinux umgehen kann und es auch tatsächlich einsetzt? (Ich bin's schonmal nicht.) -martin signature.asc Description: OpenPGP digital signature -- PUG - Penguin User Group Wiesbaden - http://www.pug.org
Re: [PUG] Root Server absichern
hi, Am Dienstag, den 02.09.2008, 21:28 +0200 schrieb Stephan Schaffner: Ich hoffe jetzt kommen NOCH preziesere Antworten, als was sie jetzt schon sind, wobei man diese Empfehlungen auch sehr gut verwenden kann! tja, also ich würde Dir in einem solchen Fall davon abraten, einen Root Server aufzustellen. Stelle dir zuerst einen Linux Rechner zu hause auf und lerne das System kennen. Denn wenn du Fragen stellst Wie kann ich meinen Server sichern (und wir standen alle mal vor dieser Frage), fehlen dir einfach die Grundlagen. Es geht ja nicht nur um die Installation selbst, sondern auch um die Pflege danach (wie bei guten Schuhen). Einen Root Server ins Netz zu stellen bedeutet einen verantwortungsbewussten Umgang mit der Technologie. Denn sollte mit dem Rechner etwas passieren, was sich deiner Kenntnis entzieht, bist du dafür verantwortlich. Ich rate Dir dazu, jemanden zu fragen, der sich mit so etwas auskennt und du Hilfsadmin bist, der ihm dann über die Schulter schaut. Auf diese weise lernst du am besten. Was die Paket- Firewall angeht, so gibt es nur eine Technik, welche IPTables ist. Es gibt nur unterschiedliche Hilfsmittel, die dir die Arbeit erleichtern, wie shorewall. cu denny signature.asc Description: Dies ist ein digital signierter Nachrichtenteil -- PUG - Penguin User Group Wiesbaden - http://www.pug.org
Re: [PUG] Root Server absichern
Am Dienstag, den 02.09.2008, 21:28 +0200 schrieb Martin Schmitt: Ist denn _irgendwer_ auf der Liste, der mit SELinux umgehen kann und es auch tatsächlich einsetzt? (Ich bin's schonmal nicht.) es gilt der Leitsatz: »SELinux zu verwenden kann dein System sicherer machen, aber keinesfalls unsicherer« Also im schlimmsten Fall tut es gar nichts. Aber da Appamor wohl sterben wird, müssen wir uns wohl damit auseinander setzen. cu denny signature.asc Description: Dies ist ein digital signierter Nachrichtenteil -- PUG - Penguin User Group Wiesbaden - http://www.pug.org
Re: [PUG] Root Server absichern
Stephan Schaffner wrote: Ein Freund und ich haben vor uns einen Root Server zu mieten, Was soll das Teil den kosten? Wollte auch schon immer mal mit sowas spielen. ;-) (Der Hersteller rückt noch nicht ganz genau mit der Angabe des BS heruas) machen soll. Ich glaube der Hersteller kann Dir das nicht sagen. :-) Schon eher der Hoster/Provider. Was ich schoneinmal gehört habe ist: - Das abändern vom SSH Port Geschmacksache. Bringt nicht viel, aber die meisten Script-Kidies blitzen meist sofort ab. - Das verschlüsseln von der kompletten Festplatte Wenn Du nicht möchtest das jemand auf 'Deine' Partition schaut. Müsste ich mich auch erstmal mit beschäftigen. Beim booten muss ja irgendwie die verschlüsselte Partition ge'mount'et werden und dafür ist wahrscheinlich auch das Passwort nötig. Vieleicht kann irgendjemand mit mehr Ahnung kurz erklären ob und wie sowas gegen physikalischen Zugriff auf den Rechner (Hoster/Provider) wirklich schützt. - einem anderen User als root für Administratitische Handlungen benutzen, root aber dennoch mit einem 24 zeichen Passwort behalten, um den kleinen Hackern einen Spaß zu können *g* Root-Anmeldung 'nur' über console reicht. Somit User via Private/Public Key auf den Rechner und dann su / sudo. Einen Root Server ins Netz zu stellen bedeutet einen verantwortungsbewussten Umgang mit der Technologie. Full Ack Denn sollte mit dem Rechner etwas passieren, was sich deiner Kenntnis entzieht, bist du dafür verantwortlich. Naja, ich glaube in Zeiten in welchen WEP noch als adäquate W-Lan Verschlüsselung angesehen wird und jeder Hobby-Admin für kleines Geld 'nen Root- oder V-Server ins Netz gestellt bekommt, wird keiner für 'nen gehackten Server verknackt nur weil er sich nicht 24h am Tag mit Security beschäftigt. Gruß, Klaus -- PUG - Penguin User Group Wiesbaden - http://www.pug.org
Re: [PUG] Root Server absichern
hi, Am Dienstag, den 02.09.2008, 22:19 +0200 schrieb Klaus Klein: Müsste ich mich auch erstmal mit beschäftigen. Beim booten muss ja irgendwie die verschlüsselte Partition ge'mount'et werden und dafür ist wahrscheinlich auch das Passwort nötig. Vieleicht kann irgendjemand mit mehr Ahnung kurz erklären ob und wie sowas gegen physikalischen Zugriff auf den Rechner (Hoster/Provider) wirklich schützt. Für einen Laptop sinnvoll, für einen Root Quark. Für Daten ist es sinnvoll, wie für Mails und Co. Root-Anmeldung 'nur' über console reicht. Somit User via Private/Public Key auf den Rechner und dann su / sudo. Nicht jeder Provider bietet eine serielle Konsole. Denn sollte mit dem Rechner etwas passieren, was sich deiner Kenntnis entzieht, bist du dafür verantwortlich. Naja, ich glaube in Zeiten in welchen WEP noch als adäquate W-Lan Verschlüsselung angesehen wird und jeder Hobby-Admin für kleines Geld 'nen Root- oder V-Server ins Netz gestellt bekommt, wird keiner für 'nen gehackten Server verknackt nur weil er sich nicht 24h am Tag mit Security beschäftigt. Das interessiert den Anwalt von Warner, Sony und Co herzlich wenig. cu denny signature.asc Description: Dies ist ein digital signierter Nachrichtenteil -- PUG - Penguin User Group Wiesbaden - http://www.pug.org
Re: [PUG] Root Server absichern
Am Dienstag, 2. September 2008 22:19:04 schrieb Klaus Klein: Stephan Schaffner wrote: Ein Freund und ich haben vor uns einen Root Server zu mieten, Was soll das Teil den kosten? Wollte auch schon immer mal mit sowas spielen. ;-) Irgendwo bei 50, 60 Euro geht es derzeit los. Ich hab noch einen älteren, der mich 40 Euro mit einer Domain und 1000GB/Monat kostet. Die 3 zusätzlichen Domains kosten extra. Was ich schoneinmal gehört habe ist: - Das abändern vom SSH Port Geschmacksache. Bringt nicht viel, aber die meisten Script-Kidies blitzen meist sofort ab. Ist eh Unsinn. - Das verschlüsseln von der kompletten Festplatte Wenn Du nicht möchtest das jemand auf 'Deine' Partition schaut. Braucht man das wirklich? Ich bin bisher ohne ausgekommen Vieleicht kann irgendjemand mit mehr Ahnung kurz erklären ob und wie sowas gegen physikalischen Zugriff auf den Rechner (Hoster/Provider) wirklich schützt. Heutzutage ist ein Brutforce-Angriff nicht mehr sonderlich schwierig und es wird meist einem auch mit schwachen Passwörtern leicht gemacht. Sowas würde ich eher in Bereichen einsetzen, in denen ein physikalischer Zugang per Tastatur möglich ist. Wobei dann auch auf die eingesetzte Verschlüsselung geachtet werden sollte. Root-Anmeldung 'nur' über console reicht. Somit User via Private/Public Key auf den Rechner und dann su / sudo. Ack. Einen Root Server ins Netz zu stellen bedeutet einen verantwortungsbewussten Umgang mit der Technologie. Full Ack dito. Denn sollte mit dem Rechner etwas passieren, was sich deiner Kenntnis entzieht, bist du dafür verantwortlich. Naja, ich glaube in Zeiten in welchen WEP noch als adäquate W-Lan Verschlüsselung angesehen wird und jeder Hobby-Admin für kleines Geld 'nen Root- oder V-Server ins Netz gestellt bekommt, wird keiner für 'nen gehackten Server verknackt nur weil er sich nicht 24h am Tag mit Security beschäftigt. Wie auch schon an anderer Stelle gesagt wurde, man sollte vorher (!) sich mit dem entsprechenden BS anfreunden und grundlegende Konzepte in Sachen Sicherheit verstehen. Ich habe bei meinem Root-Server auf die dort angebotene Webadministration verzichtet und nutze LDAP für die Userverwaltung und Mail. Auch die Webangebote konfiguriere ich lieber von Hand. Damit kann ich eventuelle Schwachstellen der Webadministration ausschliessen, zumal es bei der damaligen Software einige gravierende gab. Dafür muss ich praktisch jeden Tag die ganzen Systemmails durchguggen, ob irgendwas auffälliges ist. Für ein zweites Projekt, bei dem ich technischer Admin bin, habe ich Nagios eingerichtet und bin parallel per Instant Messenger erreichbar. Ein Rootserver macht Arbeit, das darf man nicht vergessen. Gruß Udo -- PUG - Penguin User Group Wiesbaden - http://www.pug.org
Re: [PUG] Root Server absichern
Dann kann ich das mit dem root Server an den nagel hängen =( -- PUG - Penguin User Group Wiesbaden - http://www.pug.org
Re: [PUG] Root Server absichern
hi, Am Dienstag, den 02.09.2008, 23:23 +0200 schrieb Stephan Schaffner: Dann kann ich das mit dem root Server an den nagel hängen =( mir persönlich wäre das einfach zu heikel. Setzt euch das Ding zuhause auf, lernt es mal so 2-3 Monate kennen und überlegt dann nochmal, ob ihr das wollt. cu denny signature.asc Description: Dies ist ein digital signierter Nachrichtenteil -- PUG - Penguin User Group Wiesbaden - http://www.pug.org
Re: [PUG] Root Server absichern
Am Dienstag, 2. September 2008 23:27:08 schrieb Denny Schierz: hi, Am Dienstag, den 02.09.2008, 23:23 +0200 schrieb Stephan Schaffner: Dann kann ich das mit dem root Server an den nagel hängen =( mir persönlich wäre das einfach zu heikel. Setzt euch das Ding zuhause auf, lernt es mal so 2-3 Monate kennen und überlegt dann nochmal, ob ihr das wollt. cu denny Da stimme ich voll zu. Ich habe auch erst mit Webspace angefangen. Die Erfahrung habe ich mir mit meinem eigenen Netz und im Beruf geholt, bevor ich dann erst als technischer Admin eingestiegen bin. Hab da auch schon Lehrgeld bezahlt, aber wir haben das bisher immer in den Griff bekommen. Teilweise sind da Stunden oder Tage draufgegangen, bis wir ein Problem analysiert und beseitigt haben. Heute sind die Server, die ich betreue, soweit abgesichert, das ich beruhigt mal ein WE nicht erreichbar sein kann und trotzdem läuft es :-) Das heißt aber nicht, das die Server nicht angreifbar sind. Gruß Udo -- PUG - Penguin User Group Wiesbaden - http://www.pug.org
Re: [PUG] Root Server absichern
Kann man überhaupt als 17 Jähriger solche Lehrgänge besuchen? Und wenn ja, kennt zufällig jemand ein paar Hinweise wo ich in Frankfurt und umgebung (wohne in Bad homburg) solche Lehrgänge sind? Weil die würde ich ja gerne besuchen. Hatte ja euer Anfängerseminar, war glaub ich am 3.3.2007, besucht und völlig zufrieden und hilfreich damit *g* MfG Stephan -- PUG - Penguin User Group Wiesbaden - http://www.pug.org
Re: [PUG] Root Server absichern
hi, bisher fehlt mir in der diskussion ein meines erachtens nach ganz wichtiger punkt: Systempflege. Viele sind ja immer noch der meinung, never touch a running system sei die richtige strategie, aber das gilt GANZ SICHER nicht für root-server im internet. da heisst es, regelmäßig security-meldungen lesen und das system mit distributionspakten, notfalls auch mal selber von hand, zu patchen und zu pflegen. ausserdem sind so hilfreiche sachen wir tripwire, tenshi und snort noch nicht genannt worden, was ich an dieser stelle auch nochmal tun möchte, das aber nicht als empfehlung für den Stephan, da würde ich mich echt einigen vorschreibern anschliessen und raten, damit noch ein wenig zu warten und zu lernen, die bereitschaft scheint ja da. sven -- PUG - Penguin User Group Wiesbaden - http://www.pug.org
