Re: [PUG] Root Server absichern
Moin Martin. Wenn das so ist dann werde ich an den IP Tables weiter arbeiten, mit denne komme ich gut zurecht. Jetzt muss ich mir nur noch ein Regelkonzept überlegen wie ich das einrichte. Wenn ich die IP tables eingerichtet habe muss dann es noch irgendwie schaffen dass er die Einstellungen beibehält. Habe im Netz gelesen, dass dies über ein Init skript geht. Aber damit beschäftige ich mich, nachdem sich die IPTables ihre Regeln gefunden haben. MfG und Danke Martin, Stephan -- PUG - Penguin User Group Wiesbaden - http://www.pug.org
Re: [PUG] Root Server absichern
Stephan Schaffner schrieb: Wenn das so ist dann werde ich an den IP Tables weiter arbeiten, mit denne komme ich gut zurecht. Jetzt muss ich mir nur noch ein Regelkonzept überlegen wie ich das einrichte. Wenn ich die IP tables eingerichtet habe muss dann es noch irgendwie schaffen dass er die Einstellungen beibehält. Habe im Netz gelesen, dass dies über ein Init skript geht. Aber damit beschäftige ich mich, nachdem sich die IPTables ihre Regeln gefunden haben. Wie gesagt: Shoreline Firewall. Ich fasse iptables auch nicht direkt an, das ist mir zu seltsam. -martin signature.asc Description: OpenPGP digital signature -- PUG - Penguin User Group Wiesbaden - http://www.pug.org
Re: [PUG] Root Server absichern
Hallo Leute. Ich habe mich mit den IP Tables beschäftigt. dadurch habe ich folgendes Konzept entwickelt - iptables -A INPUT -f -s gamienator.ath.cx -j ACCEPT iptables -A OUTPUT -f -d gamienator.ath.cx -j ACCEPT iptables -A INPUT -f -s 91.121.208.0/255.255.255.0 -j ACCEPT iptables -A OUTPUT -f -d 91.121.208.0/255.255.255.0 -j ACCEPT iptables -A INPUT -f -s 213.186.33.13 -j ACCEPT iptables -A OUTPUT -f -d 213.186.33.13 -j ACCEPT iptables -A INPUT -f -p --sport 5147 -j ACCEPT iptables -A OUTPUT -f -p --sport 5147 -J ACCEPT iptables -P INPUT DROP iptables -P OUTPUT DROP gamienator.ath.cx bin ich 91.121.208.0/255.255.255.0 ist mien lokael netzwerk. Das MUSS freigegeben sein, da mein Provider alle 10 Minuten einen Ping Test auf meinen Root macht, um zu sehen, ob mein Root noch Netzwerkconnectivität hat. Die IP 213.186.33.13 tut dies genauso Port 5147 ist der Bittorrent Port. Ich denke dass es Sicher ist, oder gibt es noch Vorschläge? MfG Gamienator -- PUG - Penguin User Group Wiesbaden - http://www.pug.org
Re: [PUG] Root Server absichern
Hallo Thorsten, wir müssen langsaml mal den Tux updaten. Das Teil wird sonst noch zum Risikofaktor, Updates gibt es für Debian Sarge ja schon lange nicht mehr :-/ Eine neue HW habe ich noch da, so dass wir den Server nicht platt machen müssen. Grüße Christian Thorsten Gowik schrieb: Christian Felsing schrieb: Kritisch ist auch die Verwendung alter Distributionen, für die es keine Updates mehr gibt - Wink mit dem Zaunpfahl. Das fällt doch dann in die Kategorie Security by Obscurity ^^ Zaunpfahl, na so etwas ;) Grüße Christian Gruß zurück Thorsten PS: ich bin da immer froh das du dich so Anregierst. -- PUG - Penguin User Group Wiesbaden - http://www.pug.org
Re: [PUG] Root Server absichern
Christian Felsing schrieb: Hallo Thorsten, wir müssen langsaml mal den Tux updaten. Das Teil wird sonst noch zum Risikofaktor, Updates gibt es für Debian Sarge ja schon lange nicht mehr :-/ Eine neue HW habe ich noch da, so dass wir den Server nicht platt machen müssen. Melde dich doch mal via PM wann du Zeit hast. Gruß Thorsten signature.asc Description: OpenPGP digital signature -- PUG - Penguin User Group Wiesbaden - http://www.pug.org
Re: [PUG] Root Server absichern
Hi Leute! Ich habe schon ein problem dass ich einfach nciht auf die reihe krieg! 1. meine /etc/hosts.deny greift nicht! Oder ist es normal, wenn in der hists.deny ALL: ALL steht und in der hosts.allow nur sshd: 12.34.56.78 dass ich auf meinen FTP Server connecten kann. 2. DenyHosts macht irgendwie schwachsinn. Ich habe mich ERFOLGREICH mit 12.34.56.78 eingeloggt, habe denyhosts gesagt, nach 5 fehl versuchen IP für 1 Monat Sperren. Als ist in der hosts.deny rumgrübele, sehe ich, dass Denyhosts 12.34.56.78 hineingeschrieben hat. Liegt es daran dass ich die Private 7öffentliche Key methode nehme? MfG Gamienator -- PUG - Penguin User Group Wiesbaden - http://www.pug.org
Re: [PUG] Root Server absichern
Stephan Schaffner schrieb: Ich habe schon ein problem dass ich einfach nciht auf die reihe krieg! 1. meine /etc/hosts.deny greift nicht! Oder ist es normal, wenn in der hists.deny ALL: ALL steht und in der hosts.allow nur sshd: 12.34.56.78 http://12.34.56.78 dass ich auf meinen FTP Server connecten kann. Wenn der FTP-Server keine libwrap-Unterstützung an Bord hat, ist das zu erwarten. Warum machst Du überhaupt mit hosts.allow und hosts.deny rum? Du brauchst eine Firewall und nicht diese Relikte aus den 1980ern. Wenn Du mit iptables direkt nicht zurechtkommst, installiere Shorewall und die Beispielkonfiguration für Systeme mit nur einem Interface. -martin signature.asc Description: OpenPGP digital signature -- PUG - Penguin User Group Wiesbaden - http://www.pug.org
Re: [PUG] Root Server absichern
hallo, also das man nen key für ssh mit ner passphrase absichern sollte versteht sich eigentlich total von selber, und dass man, wenn man seinen arbeitsplatz verlässt, seinen rechner, der sowieso mit passwort geschützt ist, (ist der doch wohl hoffentlich!) sperrt versteht sich auch von selber ich schliesse mich dem martin an, dass auth über keys der sinnigste weg ist, ssh abzusichern. aber securitygewichse würde ich zusätzliche tools, die gegen brute-force helfen, nicht bezeichnen, allerdings port knocking und port umbiegen halte ich für sinnfrei. backups sind sowieso ein muss, darüber redet man nicht, man macht es einfach, auch wenns noch nicht alle begriffen haben ;-) aber nu haben wir uns ja hier richtig nen schlagabtausch geliefert, was sinnvoll ist, was nicht, was man wie wo verwenden kann/soll, dabei kann man das thema gar nicht generell so bearbeiten. jeder server ist anders, jeder braucht andere dienste, jeder muss oft einen kompromiss zwischen sicherheit und funktionalität finden, entsprechend gibt es zig ansätze und strategien, wie man damit umgeht (apache + php-sicherheit + mod_security etc.pp hat zb in der gesamten kommunikation gefehlt wie ich finde ;-) ) was haltet ihr denn davon, dass man da mal nen schickes wiki-thema zu auf macht? ich meine, es gibt sicher einige hier, die root-server (und davon sicher auch mehrere) betreiben, und sicherheit ist für alle relevant. wir haben sicher erfahrene leute hier und neulinge in der linux-welt, und auch den erfahreneren auf der liste tut es gut, andere sicherheitskonzepte zu sehen, über neue tools und deren einsatz zu lesen, denn ich kann mir weiss gott nicht vorstellen, dass wir linux-götter hier haben, die alles können und kennen ;-) und zum thema selinux: ich selber nutze es nicht, aber ich kenne durchaus ein paar leute, die darauf schwören und das einsetzen ;-) lg sven Martin Schmitt schrieb: Dieter Ries schrieb: Public/private Methode eingerichtet, Ich schätze du meinst Authorisierung vie SSH keys. Du bist dir darüber im Klaren, dass sich dann jeder der an deinem PC sitzt ohne Passwortabfrage auf deinem Server einloggen kann? Hast Du schonmal was von einer sogenannten Passphrase gehört? PasswortAuth. deaktiviert Stell dir vor deine Festplatte geht kaputt und der private key ist hin... Halte ich für eine ganz schlechte Idee. Genau dafür wurden Backups erfunden. Zusätzlich kann man sehr leicht für Redundanz sorgen, indem man Keys auf mehreren Clients hat; z.B. Laptop und Workstation. Der einzige realistische Weg, einen SSH-Server wirklich sicher zu betreiben, sind SSH-Keys und abgeschaltete Password Authentication. Der ganze andere Zirkus von wegen Firewall, Portknocking, und diesem Tool, das Bots aussperrt, ist reines Securitygewixe. Sowas kann man vielleicht als Kompromiß einsetzen, wenn man doofe User hat, die mit Keys nicht klarkommen. Aber auch dann nur nach sorgfältiger Abwägung der (durchaus vorhandenen) Alternativen. -martin -- PUG - Penguin User Group Wiesbaden - http://www.pug.org
Re: [PUG] Root Server absichern
Martin Schmitt schrieb: http://www.modpython.org/: Mod_python is an Apache module that embeds the Python interpreter within the server. Was hat der Python-Interpreter unter /usr/bin/python damit zu tun? Punkt für dich, und ein schlecht von mir gewähltes Beispiel. -martin Gruß Thorsten signature.asc Description: OpenPGP digital signature -- PUG - Penguin User Group Wiesbaden - http://www.pug.org
Re: [PUG] Root Server absichern
Thorsten Gowik schrieb: Punkt für dich, und ein schlecht von mir gewähltes Beispiel. Aber es geht ja weniger um Punkte, als um Sachen, die gewohnheitsmäßig für die Sicherheit gemacht werden, obwohl sie nicht wirksam sind. In die selbe Liga gehört z.B., daß kein C-Compiler installiert werden sollte. Wenn ich keinen installiere, installiert ihn sich der User im Zweifelsfall einfach selbst. -martin signature.asc Description: OpenPGP digital signature -- PUG - Penguin User Group Wiesbaden - http://www.pug.org
Re: [PUG] Root Server absichern
Kritisch ist auch die Verwendung alter Distributionen, für die es keine Updates mehr gibt - Wink mit dem Zaunpfahl. Grüße Christian Thorsten Gowik schrieb: Ich spreche da aus einer eigenen schmerzlichen Erfahrung ^^ In der Regel hat man das was man selber verbockt gut im Griff, interessant wird es -- PUG - Penguin User Group Wiesbaden - http://www.pug.org
Re: [PUG] Root Server absichern
Christian Felsing schrieb: Kritisch ist auch die Verwendung alter Distributionen, für die es keine Updates mehr gibt - Wink mit dem Zaunpfahl. Das fällt doch dann in die Kategorie Security by Obscurity ^^ Zaunpfahl, na so etwas ;) Grüße Christian Gruß zurück Thorsten PS: ich bin da immer froh das du dich so Anregierst. signature.asc Description: OpenPGP digital signature -- PUG - Penguin User Group Wiesbaden - http://www.pug.org
Re: [PUG] Root Server absichern
Martin Schmitt (Schmitt Systemberatung) schrieb: Aber es geht ja weniger um Punkte, als um Sachen, die gewohnheitsmäßig für die Sicherheit gemacht werden, obwohl sie nicht wirksam sind. In die selbe Liga gehört z.B., daß kein C-Compiler installiert werden sollte. Wenn ich keinen installiere, installiert ihn sich der User im Zweifelsfall einfach selbst. Ich sehe es als fahrlässig an einfach mal einen Root Server zu kaufen, nur weil halt eben die Kohle da ist. Die heutigen Dual Core Schweinchen haben genug Leistungsfähigkeit um am Tag ein paar Millionen Spams zu verschleudern, egal über welche Schwachstelle sie nun rein gekommen sind, ob das nun ein dummer PHP Skript war, oder ein Rootkit spielt da wohl keine Rolle. Die Kombination aus dicker Anbindung und Leistungsfähiger Hardware ist halt eben nicht zum spielen wenn man sich mit der Materie noch so gar nicht beschäftigt hat. Ich denke da sind sich die meisten hier auch einig. Es sollte schon klar sein, das über einen Rootserver den man nicht im Griff hat, man mit einem Bein im Knast steht im schlimmsten Fall. -martin Gruß Thorsten signature.asc Description: OpenPGP digital signature -- PUG - Penguin User Group Wiesbaden - http://www.pug.org
Re: [PUG] Root Server absichern
wow! Dass die Diskussion so ausartet hätte ich nicht gedacht O.o Nach dieser diskussion habe ich noch folgendes zu erledigen bevohr ich online gehen darf: IPTables DenyHost Abschalten aller Dienste auser - FTP, Bit Torrent client, Phython, SSH Wie ich IPTables Konfigurieren möchte, sage ich später, da ich mich erst ein bisschen mit den Tables auseinander setzen will. Sven, wegen dem Wiki eintrag, ich finde das eine klasse Idee! MfG Stephan -- PUG - Penguin User Group Wiesbaden - http://www.pug.org
Re: [PUG] Root Server absichern
Moin, ich weis nicht aber ich habe gerade das Gefühl hier wird das Kind mit dem Bad ausgeschüttet. Zum einen gibt es zig Tausend Gameserver im Internet bei denen sich kein Aas wirklich um Sicherheit schert und hier soll für eine 'private' (nicht kommerziell/professional) Geschichte, bei denen Themen wie Datenverlust etc. sich klar in Grenzen hält, mit Kanonen auf Spatzen geschossen werden. Mal abgesehen von den Daten die Stephan hier via Bit Torrent und FTP sammeln und/oder verteilen möchte sehe ich nichts was irgendwie kritisch wäre. Bei den Daten muss Stephan sich sowieso eine Backup/Restore Strategie festlegen (keine ist auch eine!) und somit für sich entscheiden wie wichtig diese für Ihn sind. (Ich glaube nicht das er alle für Ihn wichtigen Informationen auf diesem Server horten möchte. (Thema - Verschlüsseln der Platte/Partition/Files) Ansonsten geht es darum alle nicht genutzten Dienste/Zugänge abzuschalten und die genutzten sicher einzurichten. Also alles in allem eigentlich eine ideale Spielwiese um den Umgang mit einem Root-Server in der Praxis zu erlernen. ;-) Gruß, Klaus -- PUG - Penguin User Group Wiesbaden - http://www.pug.org
Re: [PUG] Root Server absichern
Klaus, was willst du mir jetzt damit sagen? Ich glaube heute nachmittag werde ich ein komplett neues Debian durfpacken, und testen was ich machen will. z.B. weis ich NICHT, wie ich einen Dienst beende ;) Ich bin froh den Server noch NICHT bestellt zu haben! -- PUG - Penguin User Group Wiesbaden - http://www.pug.org
Re: [PUG] Root Server absichern
* Stephan Schaffner ([EMAIL PROTECTED]) [03.09.08 09:10]: Klaus, was willst du mir jetzt damit sagen? Ich glaube heute nachmittag werde ich ein komplett neues Debian durfpacken, und testen was ich machen will. z.B. weis ich NICHT, wie ich einen Dienst beende ;) Also eigentlich hatte ich mich Klaus angeschlossen und gesagt mach' halt 'mal. Aber nach der letzten Aussage von Dir, Stephan: Finger weg und erst einmal zuhause mit alter Hardware, Server betreiben üben. Kann man auch ins wilde Internet per DynDNS loslassen falls man mag, aber erst nachdem Du Dir debian-administration.org durchgelesen hast. Ich bin froh den Server noch NICHT bestellt zu haben! Ich auch ;-) Sebastian -- Religion ist das Opium des Volkes. Karl Marx [EMAIL PROTECTED]@N GÜNTHER mailto:[EMAIL PROTECTED] pgpKWzgIr2DFn.pgp Description: PGP signature -- PUG - Penguin User Group Wiesbaden - http://www.pug.org
Re: [PUG] Root Server absichern
Du hast meine letzte aussage falsch verstanden! (oder ich habe nicht ganz beschrieben was ich meinte, entschuldigung) Ich habe ja noch einen PC bei mir in den Keller. Den werde ich ja hochholen und dadrauf ein bissl herum testen ;) MfG Stephan -- PUG - Penguin User Group Wiesbaden - http://www.pug.org
Re: [PUG] Root Server absichern
Stephan Schaffner schrieb: Ich bin froh den Server noch NICHT bestellt zu haben! Hmm, ja besser ist das... Also ich hatte grob 4 Jahre nun einen Root Server, seit Anfang des Jahres bin ich wieder zurück auf Webspace gezogen. Die Gründe dafür sind nicht weil ich mich mit Linux nicht auskenne, sondern einfach weil das Projekt für das die Server eigentlich waren nicht mehr existent ist. 2 Jahre lang lief der Server unter Gentoo, eine Firewall war nicht aktiv. SSH ging nur mit Key Auth. Probleme gab es keine. Grund hierfür ist wohl einfach das der Server eher ein Exot war, und die Standard SuSE/Debian Angriffsroutinen nicht passend waren um irgendwelche Schwächen auszuloten. Als nächstes ist es so: Wenn auf einem Port _kein_ Dienst läuft, ist dieser Port auch nicht offen. Da macht auch eine Firewall nichts, außer das abklopfen der Ports schneller. Das war übrigens die schönste Zeit, danach lief der Server unter Debian/Plesk und hier fingen die Probleme und der ärger dann schon an. Offene Hintertüren in schlechten PHP Skripten die dich zum Spam Verteiler machen sind da nur eines der Probleme die dich erwarten könnten. Die Suche nach solchen Problemen dauert Nächte lang und wird deine Lehrer/Arbeitgeber mächtig erfreuen wenn du am nächsten Tag vollkommen unausgeschlafen in der Schule / auf der Arbeit erscheinst. Aus der Debian/Plesk Geschichte habe ich zumindest eines gelernt: Ein selbst Administrierter Server ist besser in den Griff zu bekommen, der macht auch nur das was man auf ihm installiert, und das sollte auch nur das sein was man wirklich haben möchte. So ein Baukasten glänzt mit zahlreichen Funktionen die kein Mensch braucht. Das tolle Kundeninterface wird von so gut wie keinem wirklich genutzt. Fehleranalyse ist im Baukasten schwerer als es dies bei einer Standardinstallation ist. Und zu guter letzt, lese dir das mal durch: http://burnachurch.com/70/dein-neuer-linux-server/ so long Thorsten signature.asc Description: OpenPGP digital signature -- PUG - Penguin User Group Wiesbaden - http://www.pug.org
Re: [PUG] Root Server absichern
Hallo Martin, warum das ? Es schadet doch sicherlich nicht, wenn man auch den ssh Zugang noch zusätzlich mit einer Firewall schützt. Ich wüsste auch nicht, warum IP Adressen aus China oder Nigeria bei mir den ssh connecten sollten. Grüße Christian Martin Schmitt schrieb: Mit dieser Faustregel kommst Du aber _extremst_ schnell an den Punkt, wo sich die Katze sicherheitstechnisch in den eigenen Schwanz beißt. -- PUG - Penguin User Group Wiesbaden - http://www.pug.org
Re: [PUG] Root Server absichern
hi, ich finde, es schadet auch nix, wenn sie es tun ;-) so werden sie wenigstens zeitweise gehindert, andere server mit brute-force attacken zu belatschen. unsere strategie ist da auch einfach: passwort-auth abschalten, nur keys erlauben und denyhosts auf den ssh ansetzen, denn dürfen die halt 10mal probieren und danach wird die ip für einen monat gesperrt ;-) den ssh-port auf einen anderen port umlenken, nungut, mag vielleicht gegen script-kiddys helfen, aber besagte cracks werden meine server mit sicherheit nicht über ssh knacken, und die leute, denen ich das zutraue, die finden ssh auch auf anderen ports, versprochen ;-) lg sven Christian Felsing schrieb: Hallo Martin, warum das ? Es schadet doch sicherlich nicht, wenn man auch den ssh Zugang noch zusätzlich mit einer Firewall schützt. Ich wüsste auch nicht, warum IP Adressen aus China oder Nigeria bei mir den ssh connecten sollten. Grüße Christian Martin Schmitt schrieb: Mit dieser Faustregel kommst Du aber _extremst_ schnell an den Punkt, wo sich die Katze sicherheitstechnisch in den eigenen Schwanz beißt. -- PUG - Penguin User Group Wiesbaden - http://www.pug.org
Re: [PUG] Root Server absichern
Sven, ich habe ein anleitung gefunden, wie man unter Woody den Public Key aktiviert und root deaktiviert bei ssh, aber kennst du zufällig noch eine Quelle wo ich die denyhost einstellen kann? Obwohl, wenn ich recht überlege war meine Frage eben schwachsinnig, habe doch hier genug Links :X MfG Gamienator -- PUG - Penguin User Group Wiesbaden - http://www.pug.org
Re: [PUG] Root Server absichern
http://denyhosts.sourceforge.net/ ist nicht nur für ssh interessant sondern bietet sich auch bei anderen diensten an wir nutzen zwar fast ausschliesslich gentoo, aber ich denke dass auch andere distributionen pakete anbieten, ansonsten, ./configure, make make install ;-) sven Stephan Schaffner schrieb: Sven, ich habe ein anleitung gefunden, wie man unter Woody den Public Key aktiviert und root deaktiviert bei ssh, aber kennst du zufällig noch eine Quelle wo ich die denyhost einstellen kann? Obwohl, wenn ich recht überlege war meine Frage eben schwachsinnig, habe doch hier genug Links :X MfG Gamienator -- PUG - Penguin User Group Wiesbaden - http://www.pug.org
Re: [PUG] Root Server absichern
Danke Sven! Für debian ist es kein Problem, dafür gibt es nämlich ein Debian Paket *g* Aber Python v2.3 wird benötigt. Ob dadurch nicht wieder eine kleine Sicherheitslücke entstehen kann? Ich werde aber dieses Program an meiner Kiste heute nachmittag zuhause ausprobieren! MfG Stephan Schaffner -- PUG - Penguin User Group Wiesbaden - http://www.pug.org
Re: [PUG] Root Server absichern
Hi, Stephan Schaffner schrieb: Aber Python v2.3 wird benötigt. Ob dadurch nicht wieder eine kleine Sicherheitslücke entstehen kann? Warum sollte durch Python eine Sicherheitslücke entstehen? Ich werde aber dieses Program an meiner Kiste heute nachmittag zuhause ausprobieren! MfG Stephan Schaffner cu Dieter -- PUG - Penguin User Group Wiesbaden - http://www.pug.org
Re: [PUG] Root Server absichern
Hi Dieter! Aja, je mehr Programme sich auf dem BS befinden, desto mehre möglichkeiten gibt es den PC anzugreifen. Oder irre ich mich da in dieser Hinsicht? -- PUG - Penguin User Group Wiesbaden - http://www.pug.org
Re: [PUG] Root Server absichern
Stephan Schaffner schrieb: Hi Dieter! Hi, Aja, je mehr Programme sich auf dem BS befinden, desto mehre möglichkeiten gibt es den PC anzugreifen. Oder irre ich mich da in dieser Hinsicht? Naja, im Prinzip. also ganz theoretisch, hast du recht. Aber sowas bezeichnet man nicht als Sicherheitslücke. Wenn jemand soweit in deinen Rechner reinkommt, dass er Python code ausführen kann, dann ist sowieso was faul. cu Dieter -- PUG - Penguin User Group Wiesbaden - http://www.pug.org
Re: [PUG] Root Server absichern
Stimmt, da ist auch was Wahres dran : -- PUG - Penguin User Group Wiesbaden - http://www.pug.org
Re: [PUG] Root Server absichern
Jetzt fällt mir gerade was ein in Sachen SSH - Ich weis nicht ob dass über Denyhost möglich ist, aber im Grunde sollte der SSH nur 2 IP zulassen dürfen! (Mein Kumpel und ich haben jeweils an unseren Router eine Dynamische DNS eingerichtet) Das müsste heisen dass der Root den DynDNS eintrag auflösen muss und dadurch weis dass nur wir zugriff haben! Ich das möglich es so meinem zukünftigen Pinguin zu sagen? MfG Stephan Am 03.09.08 schrieb Stephan Schaffner [EMAIL PROTECTED]: Stimmt, da ist auch was Wahres dran : -- PUG - Penguin User Group Wiesbaden - http://www.pug.org
Re: [PUG] Root Server absichern
du, stephan, nimms nicht persönlich, aber n bisserl lesen solltest du schon bevor du fragst, sonst kriegste irgendwann keine oder nur plumpe antworten. dafür ist denyhosts nicht da, und das geht aus der doku auch ziemlich eindeutig hervor. was du jetzt wieder ansprichst ist ein firewall-thema, womit wir wieder beim thema iptables + scripting wären, und dazu gab es schon mails. also, zeig bereitschaft, selber zu lesen, und dir wird gerne geholfen, aber lass nicht den eindruck entstehen, das du alles vorgekaut bekommen willst. vielleicht ne kleine bettlektüre, und das ist wirklich absolut nicht böse gemeint: http://www.tty1.net/smart-questions_de.html liebe grüße sven Stephan Schaffner schrieb: Jetzt fällt mir gerade was ein in Sachen SSH - Ich weis nicht ob dass über Denyhost möglich ist, aber im Grunde sollte der SSH nur 2 IP zulassen dürfen! (Mein Kumpel und ich haben jeweils an unseren Router eine Dynamische DNS eingerichtet) Das müsste heisen dass der Root den DynDNS eintrag auflösen muss und dadurch weis dass nur wir zugriff haben! Ich das möglich es so meinem zukünftigen Pinguin zu sagen? MfG Stephan Am 03.09.08 schrieb *Stephan Schaffner* [EMAIL PROTECTED] mailto:[EMAIL PROTECTED]: Stimmt, da ist auch was Wahres dran : -- PUG - Penguin User Group Wiesbaden - http://www.pug.org
Re: [PUG] Root Server absichern
Hallo Sven, danke für deinen Beitrag, ich kann jetzt hier nur schlecht lesen weil ich mich in meinem Büro bei meinem Ausbildungsplatz sitze. Heute Nachmittag, wenn ich mich mit meinem Debian System noch mehr auseinander setzten werde, genau analysieren. MfG und nochmla danke für alle antworten und mühen Stephan -- PUG - Penguin User Group Wiesbaden - http://www.pug.org
Re: [PUG] Root Server absichern
Hi, eine Alternative zu einem Rootserver ist ein Managedserver da kannst du alles installieren lassen was du willst. Kostet vieleicht ein bisschen mehr aber dafür hast du damit keinen Stress. Gruß Bernhard -- PUG - Penguin User Group Wiesbaden - http://www.pug.org
Re: [PUG] Root Server absichern
Hi Bernhard. danke für deinen Vorschlag, aber mir schmeckt der Gedanke nicht dass jemand anderes als ich Zugriff auf meinen Server hat! -- PUG - Penguin User Group Wiesbaden - http://www.pug.org
Re: [PUG] Root Server absichern
So mailingliste, es gibt neuigkeiten! Ich habe einen alten P II aus meinem Keller hoch geholt, richtig zusammengeschraubt und zum laufen grebracht. Debian 4.0 (Etch) habe ich mittels der Netzwerk-Intallation der größeren CD (150MB) draufgepackt. Bei der Installation habe ich gleichzeitig die Festplatte mit LVM verschlüsseln lassen. Daraufhin habe ich mich gut 3-4 Stunden damit beschäftigt, wie ich SSH richtig sicher konfiguriere, dabei habe ich mich auf den Link http://www.debianhowto.de/doku.php/de:howtos:woody:ssh bezogen. Ja, ich wusste das es für Woody war, da ich aber eh nur rumgetestet habe dachte ich mir, wenn es schief geht, neu Aufsetzten, ist doch kein Problem! Nach den 3-4 besagten Stunden habe ich dann den Port geändert, Public/private Methode eingerichtet, PasswortAuth. deaktiviert, 30 Sek Zeit zum einloggen Zeit und nur sich ein Benutzer nur maximal 2 mal anmelden kann (da sich mein Kumpel in zukunft ja auch einloggen will). 3-4 Stunden hätte ich erlich gesagt nicht erwartet, aber geschafft ist geschafft und das aus fast eigener Kraft, eure Links haben mir da aber sehr geholfen! Danke nochmal! Ich versuche mich heute Abend ein bisschen mit Denyhost zu beschäftigen. Ich habe bei den Wikibooks ne kleinigkeit über die IpTables gelesen und mekre jetzt schon, dass kann etwas schwieriger werden. Zeit habe ich ja aber noch genug! Wenn dies fertig eingerichtet ist, sollte der Server doch in einem Recht sicheren zustand sein. Dass ich alle Pakete updaten muss in sehr niedrigen abständen ist mir klar. Zu Sachen SELinux habe ich noch nicht durchgegoogelt, genauso wenig wie Firewall für Linux. Aber morgen ist ja auch noch ein Tag, ich glabe Denyhost raubt mir heute noch genug :D MfG Gamienator P.S. Sven, Ist diese E-Mail einigermaßen ordentlich nach deinem Nettiquette, die du mir geschickt hast? -- PUG - Penguin User Group Wiesbaden - http://www.pug.org
Re: [PUG] Root Server absichern
Dieter Ries schrieb: Stephan Schaffner schrieb: Hi Dieter! Hi, Aja, je mehr Programme sich auf dem BS befinden, desto mehre möglichkeiten gibt es den PC anzugreifen. Oder irre ich mich da in dieser Hinsicht? Naja, im Prinzip. also ganz theoretisch, hast du recht. Aber sowas bezeichnet man nicht als Sicherheitslücke. Wenn jemand soweit in deinen Rechner reinkommt, dass er Python code ausführen kann, dann ist sowieso was faul. Was aber nicht heißt, daß man das von sich weisen kann. Eine passende Analogie wäre: da die Haustür abgeschlossen ist, braucht die Wohnungstür nicht verschlossen zu sein. Was ist denn, wenn der Nachbar der Böse ist (oder der Gärtner ;-)? Also ist die Frage mit dem Hinweis, daß etwas anderes vorher unsicher sein muß, um es ausnutzen zu können, nicht beantwortet. Anders: gibt es überhaupt dafür *eine* Antwort oder sollte man mit einer Kommt darauf an Methode daran gehen? Gruß Silvério -- PUG - Penguin User Group Wiesbaden - http://www.pug.org
Re: [PUG] Root Server absichern
Silverio Santos schrieb: Dieter Ries schrieb: Stephan Schaffner schrieb: Hi Dieter! Hi, Aja, je mehr Programme sich auf dem BS befinden, desto mehre möglichkeiten gibt es den PC anzugreifen. Oder irre ich mich da in dieser Hinsicht? Naja, im Prinzip. also ganz theoretisch, hast du recht. Aber sowas bezeichnet man nicht als Sicherheitslücke. Wenn jemand soweit in deinen Rechner reinkommt, dass er Python code ausführen kann, dann ist sowieso was faul. Was aber nicht heißt, daß man das von sich weisen kann. Eine passende Analogie wäre: da die Haustür abgeschlossen ist, braucht die Wohnungstür nicht verschlossen zu sein. Was ist denn, wenn der Nachbar der Böse ist (oder der Gärtner ;-)? Also ist die Frage mit dem Hinweis, daß etwas anderes vorher unsicher sein muß, um es ausnutzen zu können, nicht beantwortet. Anders: gibt es überhaupt dafür *eine* Antwort oder sollte man mit einer Kommt darauf an Methode daran gehen? Ich weiss nicht. Im Prinzip, wie gesagt, ist natürlich jedes Programm eine potentielle Anwendung die eine Lücke haben kann. Aber auf dem Paranoia-Niveau könnte man argumentieren, dass wenn Python installiert ist weniger Festplattenplatz da ist, wo ein pöser 1337 8aXX0r seine fiesen Hacktools hinschleusen kann ... Ich bin nicht der Meinung, dass ein Interpreter für eine Scriptsprache, vorausgesetzt in einer stabilen Version, eine echte Sicherheitslücke darstellt. Gruß Silvério cu Dieter -- PUG - Penguin User Group Wiesbaden - http://www.pug.org
Re: [PUG] Root Server absichern
Stephan Schaffner schrieb: Bei der Installation habe ich gleichzeitig die Festplatte mit LVM verschlüsseln lassen. LVM kann imo. keine Partitionen verschlüsseln. TrueCrypt macht das. Daraufhin habe ich mich gut 3-4 Stunden damit beschäftigt, wie ich SSH richtig sicher konfiguriere, dabei habe ich mich auf den Link http://www.debianhowto.de/doku.php/de:howtos:woody:ssh bezogen. Ja, ich wusste das es für Woody war, da ich aber eh nur rumgetestet habe dachte ich mir, wenn es schief geht, neu Aufsetzten, ist doch kein Problem! Nach den 3-4 besagten Stunden habe ich dann den Port geändert, Wie hier schon diskutiert, das machts nicht wirklich sicherer. Public/private Methode eingerichtet, Ich schätze du meinst Authorisierung vie SSH keys. Du bist dir darüber im Klaren, dass sich dann jeder der an deinem PC sitzt ohne Passwortabfrage auf deinem Server einloggen kann? PasswortAuth. deaktiviert Stell dir vor deine Festplatte geht kaputt und der private key ist hin... Halte ich für eine ganz schlechte Idee. 30 Sek Zeit zum einloggen Zeit Sprich einfach ein Timeout für das eingeben des SSH passworts? Das hast du abgeschaltet. meinst du vielleicht ein timeout auf su? was soll das nützen? /*Edit: Ich sehe grade das steht tatsächlich so in dem komischen forum: Wir deaktivieren die kennwortbasierte Authentifizierung und verwenden nur noch die auf dem Austausch des öffentlichen Schlüssels basierende Authentifizierung, die wir im letzten Abschnitt eingerichtet haben. # disable password authentication PasswordAuthentication no # Nur unter Woody setzen, nicht mehr unter Sarge PAMAuthenticationViaKbdInt no Wir geben dem Benutzer 30 Sekunden Zeit, um sich einzuloggen. Erfolgt in dieser Zeit kein erfolgreicher Login, so wird die Verbindung abgebrochen. Es kann sich immer nur ein Benutzer gleichzeitig einloggen. imo useless, sorry. */ und nur sich ein Benutzer nur maximal 2 mal anmelden kann (da sich mein Kumpel in zukunft ja auch einloggen will). 2 mal in welchem Zeitintervall? Oder 2 mal gleichzeitig? Wie auch immer, wo ist das sicherer? Das ist ja dann eher nervig, angenommen du kopierst grad nen backup, was länger dauert als du erwartet hast, d.h. du hast den prozess im vordergrund laufen. gleichzeitig ist dein kollege drin, aber grad nicht erreichbar weil auf der toilette, und du willst auf den rechner ... Und sicherer wird dein System davon auch nicht. 3-4 Stunden hätte ich erlich gesagt nicht erwartet, aber geschafft ist geschafft und das aus fast eigener Kraft, eure Links haben mir da aber sehr geholfen! Danke nochmal! 3-4 Stunden für 5 Zeilen Änderungen aus einem wiki... hm. Ich versuche mich heute Abend ein bisschen mit Denyhost zu beschäftigen. Ich habe bei den Wikibooks ne kleinigkeit über die IpTables gelesen und mekre jetzt schon, dass kann etwas schwieriger werden. Zeit habe ich ja aber noch genug! apt-get install fail2ban sollte reichen. Tut iirc genau das was denyhosts auch macht, aber man braucht sich nicht einzulesen... Funktioniert übrigens mit iptables Wenn dies fertig eingerichtet ist, sollte der Server doch in einem Recht sicheren zustand sein. Dass ich alle Pakete updaten muss in sehr niedrigen abständen ist mir klar. Debian oder? d.h. security updates solltest du machen, sonst eigentlich nichts. Zu Sachen SELinux habe ich noch nicht durchgegoogelt, genauso wenig wie Firewall für Linux. Ist zwar glaube ich im Thread schon 3 mal geschrieben worden, aber nochmal ganz deutlich: IPTABLES == Firewall oder auch: Firewall == IPTABLES Und dazu gibts sehr gute Anleitungen im Internet, die man entweder stupide pasten oder verstehen kann. http://de.gentoo-wiki.com/Iptables Schöne abgestufte Einführung von ganz einfach bis ganz gut. Soll jetzt auch nicht gemein klingen oder so, aber vielleicht ist es sinnvoller, wenn du dir ein Buch über Linux an sich und evtl ein paar sicherheitsaspekte kaufst, und das anstatt irgendwelcher vorsteinzeitlicher wikis liest und verstehst. cu Dieter -- PUG - Penguin User Group Wiesbaden - http://www.pug.org
Re: [PUG] Root Server absichern
hi, Am Donnerstag, den 04.09.2008, 00:01 +0200 schrieb Dieter Ries: den Port geändert, Wie hier schon diskutiert, das machts nicht wirklich sicherer. halte ich auch für Quark. Public/private Methode eingerichtet, Ich schätze du meinst Authorisierung vie SSH keys. Du bist dir darüber im Klaren, dass sich dann jeder der an deinem PC sitzt ohne Passwortabfrage auf deinem Server einloggen kann? PasswortAuth. deaktiviert Stell dir vor deine Festplatte geht kaputt und der private key ist hin... Halte ich für eine ganz schlechte Idee. Das halte ich von dir für Quark. Sollte der Fall eintreten, bootet er einfach das Rettungssystem (od. hat ein Backup vom Schlüssel) und gut ist es. Abschalten vom Passwort Login ist absolut sinnvoll. und nur sich ein Benutzer nur maximal 2 mal anmelden kann (da sich mein Kumpel in zukunft ja auch einloggen will). 2 mal in welchem Zeitintervall? Oder 2 mal gleichzeitig? Wie auch immer, [...] Stimme ich zu. Ist Quark. Selbstbeschneidung war noch nie sinnvoll. Aber wenn er das weißt, arbeitet er ohnehin in einer Screen Session. 3-4 Stunden hätte ich erlich gesagt nicht erwartet, aber geschafft ist geschafft und das aus fast eigener Kraft, eure Links haben mir da aber sehr geholfen! Danke nochmal! 3-4 Stunden für 5 Zeilen Änderungen aus einem wiki... hm. Nicht alle lernen gleich schnell. Ich versuche mich heute Abend ein bisschen mit Denyhost zu beschäftigen. Ich habe bei den Wikibooks ne kleinigkeit über die IpTables gelesen und mekre jetzt schon, dass kann etwas schwieriger werden. Zeit habe ich ja aber noch genug! apt-get install fail2ban sollte reichen. Tut iirc genau das was denyhosts auch macht, aber man braucht sich nicht einzulesen... Funktioniert übrigens mit iptables Man sollte nie eine Software verwenden, ohne zumindest zu verstehen, was sie macht. Lesen ist daher immer eine gute Idee ;-) Zu Sachen SELinux habe ich noch nicht durchgegoogelt, genauso wenig wie Firewall für Linux. Vergiss SELinux. cu denny signature.asc Description: Dies ist ein digital signierter Nachrichtenteil -- PUG - Penguin User Group Wiesbaden - http://www.pug.org
Re: [PUG] Root Server absichern
Silverio Santos schrieb: Was aber nicht heißt, daß man das von sich weisen kann. Eine passende Analogie wäre: da die Haustür abgeschlossen ist, braucht die Wohnungstür nicht verschlossen zu sein. Was ist denn, wenn der Nachbar der Böse ist (oder der Gärtner ;-)? Also ist die Frage mit dem Hinweis, daß etwas anderes vorher unsicher sein muß, um es ausnutzen zu können, nicht beantwortet. Anders: gibt es überhaupt dafür *eine* Antwort oder sollte man mit einer Kommt darauf an Methode daran gehen? Eben das ist der Punkt wenn hinterher das Unsicherste mod_python Skript im Webserver Verzeichnis landet ist das nun doch eine Hintertür die man sich durch Unwissenheit an Land gezogen hat. Das ist wie mit Iptables oder den ganzen Personal Firewalls, alles trügerisches Sicherheitsgemauschel wenn man nicht wirklich Ahnung hat was auf der Kiste eigentlich läuft. Gruß Silvério Gruß Thorsten signature.asc Description: OpenPGP digital signature -- PUG - Penguin User Group Wiesbaden - http://www.pug.org
Re: [PUG] Root Server absichern
Denny Schierz schrieb: hi, Hi, Stell dir vor deine Festplatte geht kaputt und der private key ist hin... Halte ich für eine ganz schlechte Idee. Das halte ich von dir für Quark. Sollte der Fall eintreten, bootet er einfach das Rettungssystem (od. hat ein Backup vom Schlüssel) und gut ist es. Abschalten vom Passwort Login ist absolut sinnvoll. Hm. Rettungssystem booten ist dann wieder downtime. Aber OK, ich denk das ist von den genannten Punkten sicher einer, den man zwar diskutieren kann, der aber sicherheitsrelevant sein kann. 3-4 Stunden für 5 Zeilen Änderungen aus einem wiki... hm. Nicht alle lernen gleich schnell. Sorry, ich stelle fest, dass die Formulierung deutlich aggressiver ist als das geplant war. Was ich sagen wollte sollte eher so formuliert sein: Meiner Meinung nach kann man in 3-4 Stunden deutlich besseres Lehrmaterial durcharbeiten, wo dann auch Hintergrund- und technische Informationen gegeben werden. Ich versuche mich heute Abend ein bisschen mit Denyhost zu beschäftigen. Ich habe bei den Wikibooks ne kleinigkeit über die IpTables gelesen und mekre jetzt schon, dass kann etwas schwieriger werden. Zeit habe ich ja aber noch genug! apt-get install fail2ban sollte reichen. Tut iirc genau das was denyhosts auch macht, aber man braucht sich nicht einzulesen... Funktioniert übrigens mit iptables Man sollte nie eine Software verwenden, ohne zumindest zu verstehen, was sie macht. Lesen ist daher immer eine gute Idee ;-) Right. Aber grade als Einsteiger ist es sinnvoll, ein Programm zu wählen, und sich darüber informieren, was man nicht lange konfigurieren muss, wobei man Fehler machen kann. Zu Sachen SELinux habe ich noch nicht durchgegoogelt, genauso wenig wie Firewall für Linux. Vergiss SELinux. Full Ack. Das ist nur nervig, wenn du mal was am Kernel machen willst oder so. Wobei das bei debian ja sowieso interessant ist ... Ansonsten, was noch interessant ist, da auch die Root Server heute genug Ressourcen haben: Ein natives Basissystem auf dem nur die nötigsten Dienste laufen, also zB sshd, apache und vmware, und dann in der vmware auf einer anderen IP alle anderen Dienste. Sprich mail, Files, irssi etc.. Hat den Vorteil, wenn man der VMware nur eine CPU, und nur 50% des RAM gibt, dass der Webserver über diese Dienste nicht in die Knie zwingbar ist. cu denny cu Dieter -- PUG - Penguin User Group Wiesbaden - http://www.pug.org
Re: [PUG] Root Server absichern
Thorsten Gowik schrieb: Silverio Santos schrieb: Was aber nicht heißt, daß man das von sich weisen kann. Eine passende Analogie wäre: da die Haustür abgeschlossen ist, braucht die Wohnungstür nicht verschlossen zu sein. Was ist denn, wenn der Nachbar der Böse ist (oder der Gärtner ;-)? Also ist die Frage mit dem Hinweis, daß etwas anderes vorher unsicher sein muß, um es ausnutzen zu können, nicht beantwortet. Anders: gibt es überhaupt dafür *eine* Antwort oder sollte man mit einer Kommt darauf an Methode daran gehen? Eben das ist der Punkt wenn hinterher das Unsicherste mod_python Skript im Webserver Verzeichnis landet ist das nun doch eine Hintertür die man sich durch Unwissenheit an Land gezogen hat. Das ist allerdings eine andere Situation. Und auch da liegt das Problem nicht daran, dass Python installiert ist. Das ist wie mit Iptables oder den ganzen Personal Firewalls, alles trügerisches Sicherheitsgemauschel wenn man nicht wirklich Ahnung hat was auf der Kiste eigentlich läuft. Gruß Silvério Gruß Thorsten cu Dieter -- PUG - Penguin User Group Wiesbaden - http://www.pug.org
Re: [PUG] Root Server absichern
Dieter Ries schrieb: Das ist allerdings eine andere Situation. Und auch da liegt das Problem nicht daran, dass Python installiert ist. Ich spreche da aus einer eigenen schmerzlichen Erfahrung ^^ In der Regel hat man das was man selber verbockt gut im Griff, interessant wird es erst wenn die tolle™ Webseite von $Kunde auf dem Server liegt die eben nicht sicher ist. Für $Kunde kann hier natürlich alles stehen, vom guten Kumpel bis hin zu einem CMS das total outdated ist. cu Dieter Gruß Thorsten signature.asc Description: OpenPGP digital signature -- PUG - Penguin User Group Wiesbaden - http://www.pug.org
Re: [PUG] Root Server absichern
Dieter Ries schrieb: Public/private Methode eingerichtet, Ich schätze du meinst Authorisierung vie SSH keys. Du bist dir darüber im Klaren, dass sich dann jeder der an deinem PC sitzt ohne Passwortabfrage auf deinem Server einloggen kann? Hast Du schonmal was von einer sogenannten Passphrase gehört? PasswortAuth. deaktiviert Stell dir vor deine Festplatte geht kaputt und der private key ist hin... Halte ich für eine ganz schlechte Idee. Genau dafür wurden Backups erfunden. Zusätzlich kann man sehr leicht für Redundanz sorgen, indem man Keys auf mehreren Clients hat; z.B. Laptop und Workstation. Der einzige realistische Weg, einen SSH-Server wirklich sicher zu betreiben, sind SSH-Keys und abgeschaltete Password Authentication. Der ganze andere Zirkus von wegen Firewall, Portknocking, und diesem Tool, das Bots aussperrt, ist reines Securitygewixe. Sowas kann man vielleicht als Kompromiß einsetzen, wenn man doofe User hat, die mit Keys nicht klarkommen. Aber auch dann nur nach sorgfältiger Abwägung der (durchaus vorhandenen) Alternativen. -martin signature.asc Description: OpenPGP digital signature -- PUG - Penguin User Group Wiesbaden - http://www.pug.org
Re: [PUG] Root Server absichern
Thorsten Gowik schrieb: Eben das ist der Punkt wenn hinterher das Unsicherste mod_python Skript im Webserver Verzeichnis landet ist das nun doch eine Hintertür die man sich durch Unwissenheit an Land gezogen hat. http://www.modpython.org/: Mod_python is an Apache module that embeds the Python interpreter within the server. Was hat der Python-Interpreter unter /usr/bin/python damit zu tun? -martin signature.asc Description: OpenPGP digital signature -- PUG - Penguin User Group Wiesbaden - http://www.pug.org
[PUG] Root Server absichern
Einen wunderschönen Guten Tag liebe Pug Community, mich führt nach langer zeit wieder der weg zu euch, da ich mich wieder auf komplett neuem Boden in Sachen Linux bewege! Ein Freund und ich haben vor uns einen Root Server zu mieten, da die Lage in Sachen Viren bei Linux ein bisschen *hust* besser aussehen möchte ich auch auf ein Linux Server setzen. Jetzt möchte ich wissen, was ich bei einem neuen Root Server mit dem Betriebssystem Debian/Ubuntu (Der Hersteller rückt noch nicht ganz genau mit der Angabe des BS heruas) machen soll. Was ich schoneinmal gehört habe ist: - Das abändern vom SSH Port - Das verschlüsseln von der kompletten Festplatte - einem anderen User als root für Administratitische Handlungen benutzen, root aber dennoch mit einem 24 zeichen Passwort behalten, um den kleinen Hackern einen Spaß zu können *g* Jetzt mächte ich wissen, gibt es noch weitere Sachen die ich beachten muss und auserdem, wie stelle ich die ganzen Sachen an, was mir ganz komplex ist wie ist dem User root alles entziehe und ihm einen anderen user geben soll? Mit freundlichen Grüßen Stephan Schaffner -- PUG - Penguin User Group Wiesbaden - http://www.pug.org
Re: [PUG] Root Server absichern
2008/9/2 Stephan Schaffner [EMAIL PROTECTED]: Einen wunderschönen Guten Tag liebe Pug Community, mich führt nach langer zeit wieder der weg zu euch, da ich mich wieder auf komplett neuem Boden in Sachen Linux bewege! Ein Freund und ich haben vor uns einen Root Server zu mieten, da die Lage in Sachen Viren bei Linux ein bisschen *hust* besser aussehen möchte ich auch auf ein Linux Server setzen. Jetzt möchte ich wissen, was ich bei einem neuen Root Server mit dem Betriebssystem Debian/Ubuntu (Der Hersteller rückt noch nicht ganz genau mit der Angabe des BS heruas) machen soll. Lies mal in Foren wie rootforum.de die FAQ. Und such auch nach Threads mit den Schlagworten, die Du hier angerissen hast. Ausserdem gibt es noch Artikel in Richtung harden debian, wobei ich nicht weiss, wie aktuell das noch ist. Und nicht vergessen, auch die laufenden Dienste abzusichern. Christian -- PUG - Penguin User Group Wiesbaden - http://www.pug.org
Re: [PUG] Root Server absichern
Hallo Stefan, die erste Frage ist erstmal: Was soll mit dem Server gemacht werden ? Davon hängen weitere Maßnahmen ab. Ein E-Mail Server muss anders gesichert werden, als z.B. ein Webserver. Den SSH Port zu ändern bringt nichts, besser ist es Passwort/Challenge Auth abzuschalten und nur private/public Key Auth zuzulassen. Weiterhin sollte mit iptables der SSH Zugang nur für bestimmte IP-Adressen zugelassen werden. Der Rest bekommt ein connection refused. Die Festplattenverschlüsselung bringt nur was, wenn schutzbedürftige Daten da liegen. Das kann z.B. schon bei E-Mails der Fall sein. Root-Login nur über die Console zulassen, Remote nur über einen bestimmten User und sudo. Auch hier kann eine Einschränkung nach IP-Adressen erfolgen. Bleiben noch die Themen: * SELinux * chroot * Firewall (Packet- und Appl. based) Was absolut nicht auf einen Server gehört sind: * SMTP offenes Relay * Offene Proxy Server * Anonymous FTP mit Upload Möglichkeit Diese Dinge führen nämlich im besten Fall zur fristlosen Kündigung durch den Hoster. Grüße Christian Stephan Schaffner schrieb: Ein Freund und ich haben vor uns einen Root Server zu mieten, da die Lage in Sachen Viren bei Linux ein bisschen *hust* besser aussehen -- PUG - Penguin User Group Wiesbaden - http://www.pug.org
Re: [PUG] Root Server absichern
Christian Felsing schrieb: sollte mit iptables der SSH Zugang nur für bestimmte IP-Adressen zugelassen werden. Der Rest bekommt ein connection refused. Mit dieser Faustregel kommst Du aber _extremst_ schnell an den Punkt, wo sich die Katze sicherheitstechnisch in den eigenen Schwanz beißt. -martin signature.asc Description: OpenPGP digital signature -- PUG - Penguin User Group Wiesbaden - http://www.pug.org
Re: [PUG] Root Server absichern
Am Dienstag, 2. September 2008 19:00:10 schrieb Christian Felsing: Den SSH Port zu ändern bringt nichts, besser ist es Passwort/Challenge Auth abzuschalten und nur private/public Key Auth zuzulassen. Weiterhin sollte mit iptables der SSH Zugang nur für bestimmte IP-Adressen zugelassen werden. Der Rest bekommt ein connection refused. Wenn man SSH noch zusätzlich absichern will, dann sollte man eher an Portknocking denken und die Sache mit iptables vergessen. Wer sagt denn, das die IP-Adressen nicht mal schnell vom Provider geändert werden und man plötzlich vor verschlossenen Türen steht? Gruß Udo -- PUG - Penguin User Group Wiesbaden - http://www.pug.org
Re: [PUG] Root Server absichern
Udo Neist schrieb: Wenn man SSH noch zusätzlich absichern will, dann sollte man eher an Portknocking denken und die Sache mit iptables vergessen. Wer sagt denn, das die IP-Adressen nicht mal schnell vom Provider geändert werden und man plötzlich vor verschlossenen Türen steht? Portknocking? Jetzt muß ich aber doch mal ganz provokativ fragen, warum ihr euch wegen SSH so zickig anstellt. SSH komplett zutackern, weil irgendwann mal ein Debian-Maintainer einen Blackout gehabt hat, und dafür weiter unbeirrt LAMP fahren? Da fehlt doch irgendwie das Augenmaß, oder? Dann würde ich eher noch dafür plädieren, ausschließlich handgedrehte Source-Installationen von OpenSSH ans Netz zu nehmen, wo kein Dritter dran rumgepfuscht hat. -martin signature.asc Description: OpenPGP digital signature -- PUG - Penguin User Group Wiesbaden - http://www.pug.org
Re: [PUG] Root Server absichern
Am Dienstag, 2. September 2008 20:40:59 schrieb Martin Schmitt: Portknocking? Jetzt muß ich aber doch mal ganz provokativ fragen, warum ihr euch wegen SSH so zickig anstellt. SSH komplett zutackern, weil irgendwann mal ein Debian-Maintainer einen Blackout gehabt hat, und dafür weiter unbeirrt LAMP fahren? Da fehlt doch irgendwie das Augenmaß, oder? Dann würde ich eher noch dafür plädieren, ausschließlich handgedrehte Source-Installationen von OpenSSH ans Netz zu nehmen, wo kein Dritter dran rumgepfuscht hat. -martin *lach* Ich nutze kein Portknocking, verwende nur Keys. Gruß Udo -- PUG - Penguin User Group Wiesbaden - http://www.pug.org
Re: [PUG] Root Server absichern
hi, Am Dienstag, den 02.09.2008, 19:00 +0200 schrieb Christian Felsing: * SELinux * chroot * Firewall (Packet- und Appl. based) bleib mal auf dem Boden :-) 1. Von SELinux würde ich die Finger lassen. Das Zeug ist Voodoo und du brauchst ein Diplom dafür, um die Möglichkeiten sinnvoll zu verwenden. Das Zeug ist für gehärtete Systeme interessant, aber nicht für einen 0-8-15 Root. Chroot sollten die Applikationen von Hause aus können. Ist das nicht der Fall, lohnt der Aufwand nicht wirklich. IPtables OK, Appl. Proxys sind für Anfänger nichts. Damit reißen die sich eher Löcher rein, als das System sicher zu machen. cu denny signature.asc Description: Dies ist ein digital signierter Nachrichtenteil -- PUG - Penguin User Group Wiesbaden - http://www.pug.org
Re: [PUG] Root Server absichern
Ich glaube dadurch, da ich hier das ganz Zeug nicht verstehe sollte ich mir lieber abraten einen Root zu bestellen ?!? Also, der Sinn und zweck des Server (Nein, nichts illegales ...) Bit Torrent Client über den TCP und UDP Port 1337 *g* und einem FTP Client, nicht anonym! Das wäre das was ich bräuchte! IPTables kannste bei mir vergessen, da erstens mein Kumpel anderen Provider hat, zweitens ich auch immer eine komplett neue IP pro Tag kriege! trozdem noch die frage - Bleiben noch die Themen: * SELinux * chroot * Firewall (Packet- und Appl. based) Was ist das alles (Ja, eine Firewall weis ich was das ist, aber welche ist da empfehlenswert?) Desweiteren wegen SSH, es kann gut möglich sein, dass mein Hoster nicht nur SSH, sondern auch eine VNC verbindung anbietet, soweit ich von anderen Kunden dieses Server eben gerade gehört habe! Ich entschuldige mich schonmal jetzt erst dass ich euch nicht von anfang an gesagt habe was ich mit dem Server vorhabe! Ich hoffe jetzt kommen NOCH preziesere Antworten, als was sie jetzt schon sind, wobei man diese Empfehlungen auch sehr gut verwenden kann! MfG Stephan -- PUG - Penguin User Group Wiesbaden - http://www.pug.org
Re: [PUG] Root Server absichern
Denny Schierz schrieb: 1. Von SELinux würde ich die Finger lassen. Das Zeug ist Voodoo und du brauchst ein Diplom dafür, um die Möglichkeiten sinnvoll zu verwenden. Das Zeug ist für gehärtete Systeme interessant, aber nicht für einen 0-8-15 Root. Ach Du Schreck. Du also auch. Ist denn _irgendwer_ auf der Liste, der mit SELinux umgehen kann und es auch tatsächlich einsetzt? (Ich bin's schonmal nicht.) -martin signature.asc Description: OpenPGP digital signature -- PUG - Penguin User Group Wiesbaden - http://www.pug.org
Re: [PUG] Root Server absichern
hi, Am Dienstag, den 02.09.2008, 21:28 +0200 schrieb Stephan Schaffner: Ich hoffe jetzt kommen NOCH preziesere Antworten, als was sie jetzt schon sind, wobei man diese Empfehlungen auch sehr gut verwenden kann! tja, also ich würde Dir in einem solchen Fall davon abraten, einen Root Server aufzustellen. Stelle dir zuerst einen Linux Rechner zu hause auf und lerne das System kennen. Denn wenn du Fragen stellst Wie kann ich meinen Server sichern (und wir standen alle mal vor dieser Frage), fehlen dir einfach die Grundlagen. Es geht ja nicht nur um die Installation selbst, sondern auch um die Pflege danach (wie bei guten Schuhen). Einen Root Server ins Netz zu stellen bedeutet einen verantwortungsbewussten Umgang mit der Technologie. Denn sollte mit dem Rechner etwas passieren, was sich deiner Kenntnis entzieht, bist du dafür verantwortlich. Ich rate Dir dazu, jemanden zu fragen, der sich mit so etwas auskennt und du Hilfsadmin bist, der ihm dann über die Schulter schaut. Auf diese weise lernst du am besten. Was die Paket- Firewall angeht, so gibt es nur eine Technik, welche IPTables ist. Es gibt nur unterschiedliche Hilfsmittel, die dir die Arbeit erleichtern, wie shorewall. cu denny signature.asc Description: Dies ist ein digital signierter Nachrichtenteil -- PUG - Penguin User Group Wiesbaden - http://www.pug.org
Re: [PUG] Root Server absichern
Am Dienstag, den 02.09.2008, 21:28 +0200 schrieb Martin Schmitt: Ist denn _irgendwer_ auf der Liste, der mit SELinux umgehen kann und es auch tatsächlich einsetzt? (Ich bin's schonmal nicht.) es gilt der Leitsatz: »SELinux zu verwenden kann dein System sicherer machen, aber keinesfalls unsicherer« Also im schlimmsten Fall tut es gar nichts. Aber da Appamor wohl sterben wird, müssen wir uns wohl damit auseinander setzen. cu denny signature.asc Description: Dies ist ein digital signierter Nachrichtenteil -- PUG - Penguin User Group Wiesbaden - http://www.pug.org
Re: [PUG] Root Server absichern
Stephan Schaffner wrote: Ein Freund und ich haben vor uns einen Root Server zu mieten, Was soll das Teil den kosten? Wollte auch schon immer mal mit sowas spielen. ;-) (Der Hersteller rückt noch nicht ganz genau mit der Angabe des BS heruas) machen soll. Ich glaube der Hersteller kann Dir das nicht sagen. :-) Schon eher der Hoster/Provider. Was ich schoneinmal gehört habe ist: - Das abändern vom SSH Port Geschmacksache. Bringt nicht viel, aber die meisten Script-Kidies blitzen meist sofort ab. - Das verschlüsseln von der kompletten Festplatte Wenn Du nicht möchtest das jemand auf 'Deine' Partition schaut. Müsste ich mich auch erstmal mit beschäftigen. Beim booten muss ja irgendwie die verschlüsselte Partition ge'mount'et werden und dafür ist wahrscheinlich auch das Passwort nötig. Vieleicht kann irgendjemand mit mehr Ahnung kurz erklären ob und wie sowas gegen physikalischen Zugriff auf den Rechner (Hoster/Provider) wirklich schützt. - einem anderen User als root für Administratitische Handlungen benutzen, root aber dennoch mit einem 24 zeichen Passwort behalten, um den kleinen Hackern einen Spaß zu können *g* Root-Anmeldung 'nur' über console reicht. Somit User via Private/Public Key auf den Rechner und dann su / sudo. Einen Root Server ins Netz zu stellen bedeutet einen verantwortungsbewussten Umgang mit der Technologie. Full Ack Denn sollte mit dem Rechner etwas passieren, was sich deiner Kenntnis entzieht, bist du dafür verantwortlich. Naja, ich glaube in Zeiten in welchen WEP noch als adäquate W-Lan Verschlüsselung angesehen wird und jeder Hobby-Admin für kleines Geld 'nen Root- oder V-Server ins Netz gestellt bekommt, wird keiner für 'nen gehackten Server verknackt nur weil er sich nicht 24h am Tag mit Security beschäftigt. Gruß, Klaus -- PUG - Penguin User Group Wiesbaden - http://www.pug.org
Re: [PUG] Root Server absichern
hi, Am Dienstag, den 02.09.2008, 22:19 +0200 schrieb Klaus Klein: Müsste ich mich auch erstmal mit beschäftigen. Beim booten muss ja irgendwie die verschlüsselte Partition ge'mount'et werden und dafür ist wahrscheinlich auch das Passwort nötig. Vieleicht kann irgendjemand mit mehr Ahnung kurz erklären ob und wie sowas gegen physikalischen Zugriff auf den Rechner (Hoster/Provider) wirklich schützt. Für einen Laptop sinnvoll, für einen Root Quark. Für Daten ist es sinnvoll, wie für Mails und Co. Root-Anmeldung 'nur' über console reicht. Somit User via Private/Public Key auf den Rechner und dann su / sudo. Nicht jeder Provider bietet eine serielle Konsole. Denn sollte mit dem Rechner etwas passieren, was sich deiner Kenntnis entzieht, bist du dafür verantwortlich. Naja, ich glaube in Zeiten in welchen WEP noch als adäquate W-Lan Verschlüsselung angesehen wird und jeder Hobby-Admin für kleines Geld 'nen Root- oder V-Server ins Netz gestellt bekommt, wird keiner für 'nen gehackten Server verknackt nur weil er sich nicht 24h am Tag mit Security beschäftigt. Das interessiert den Anwalt von Warner, Sony und Co herzlich wenig. cu denny signature.asc Description: Dies ist ein digital signierter Nachrichtenteil -- PUG - Penguin User Group Wiesbaden - http://www.pug.org
Re: [PUG] Root Server absichern
Am Dienstag, 2. September 2008 22:19:04 schrieb Klaus Klein: Stephan Schaffner wrote: Ein Freund und ich haben vor uns einen Root Server zu mieten, Was soll das Teil den kosten? Wollte auch schon immer mal mit sowas spielen. ;-) Irgendwo bei 50, 60 Euro geht es derzeit los. Ich hab noch einen älteren, der mich 40 Euro mit einer Domain und 1000GB/Monat kostet. Die 3 zusätzlichen Domains kosten extra. Was ich schoneinmal gehört habe ist: - Das abändern vom SSH Port Geschmacksache. Bringt nicht viel, aber die meisten Script-Kidies blitzen meist sofort ab. Ist eh Unsinn. - Das verschlüsseln von der kompletten Festplatte Wenn Du nicht möchtest das jemand auf 'Deine' Partition schaut. Braucht man das wirklich? Ich bin bisher ohne ausgekommen Vieleicht kann irgendjemand mit mehr Ahnung kurz erklären ob und wie sowas gegen physikalischen Zugriff auf den Rechner (Hoster/Provider) wirklich schützt. Heutzutage ist ein Brutforce-Angriff nicht mehr sonderlich schwierig und es wird meist einem auch mit schwachen Passwörtern leicht gemacht. Sowas würde ich eher in Bereichen einsetzen, in denen ein physikalischer Zugang per Tastatur möglich ist. Wobei dann auch auf die eingesetzte Verschlüsselung geachtet werden sollte. Root-Anmeldung 'nur' über console reicht. Somit User via Private/Public Key auf den Rechner und dann su / sudo. Ack. Einen Root Server ins Netz zu stellen bedeutet einen verantwortungsbewussten Umgang mit der Technologie. Full Ack dito. Denn sollte mit dem Rechner etwas passieren, was sich deiner Kenntnis entzieht, bist du dafür verantwortlich. Naja, ich glaube in Zeiten in welchen WEP noch als adäquate W-Lan Verschlüsselung angesehen wird und jeder Hobby-Admin für kleines Geld 'nen Root- oder V-Server ins Netz gestellt bekommt, wird keiner für 'nen gehackten Server verknackt nur weil er sich nicht 24h am Tag mit Security beschäftigt. Wie auch schon an anderer Stelle gesagt wurde, man sollte vorher (!) sich mit dem entsprechenden BS anfreunden und grundlegende Konzepte in Sachen Sicherheit verstehen. Ich habe bei meinem Root-Server auf die dort angebotene Webadministration verzichtet und nutze LDAP für die Userverwaltung und Mail. Auch die Webangebote konfiguriere ich lieber von Hand. Damit kann ich eventuelle Schwachstellen der Webadministration ausschliessen, zumal es bei der damaligen Software einige gravierende gab. Dafür muss ich praktisch jeden Tag die ganzen Systemmails durchguggen, ob irgendwas auffälliges ist. Für ein zweites Projekt, bei dem ich technischer Admin bin, habe ich Nagios eingerichtet und bin parallel per Instant Messenger erreichbar. Ein Rootserver macht Arbeit, das darf man nicht vergessen. Gruß Udo -- PUG - Penguin User Group Wiesbaden - http://www.pug.org
Re: [PUG] Root Server absichern
Dann kann ich das mit dem root Server an den nagel hängen =( -- PUG - Penguin User Group Wiesbaden - http://www.pug.org
Re: [PUG] Root Server absichern
hi, Am Dienstag, den 02.09.2008, 23:23 +0200 schrieb Stephan Schaffner: Dann kann ich das mit dem root Server an den nagel hängen =( mir persönlich wäre das einfach zu heikel. Setzt euch das Ding zuhause auf, lernt es mal so 2-3 Monate kennen und überlegt dann nochmal, ob ihr das wollt. cu denny signature.asc Description: Dies ist ein digital signierter Nachrichtenteil -- PUG - Penguin User Group Wiesbaden - http://www.pug.org
Re: [PUG] Root Server absichern
Am Dienstag, 2. September 2008 23:27:08 schrieb Denny Schierz: hi, Am Dienstag, den 02.09.2008, 23:23 +0200 schrieb Stephan Schaffner: Dann kann ich das mit dem root Server an den nagel hängen =( mir persönlich wäre das einfach zu heikel. Setzt euch das Ding zuhause auf, lernt es mal so 2-3 Monate kennen und überlegt dann nochmal, ob ihr das wollt. cu denny Da stimme ich voll zu. Ich habe auch erst mit Webspace angefangen. Die Erfahrung habe ich mir mit meinem eigenen Netz und im Beruf geholt, bevor ich dann erst als technischer Admin eingestiegen bin. Hab da auch schon Lehrgeld bezahlt, aber wir haben das bisher immer in den Griff bekommen. Teilweise sind da Stunden oder Tage draufgegangen, bis wir ein Problem analysiert und beseitigt haben. Heute sind die Server, die ich betreue, soweit abgesichert, das ich beruhigt mal ein WE nicht erreichbar sein kann und trotzdem läuft es :-) Das heißt aber nicht, das die Server nicht angreifbar sind. Gruß Udo -- PUG - Penguin User Group Wiesbaden - http://www.pug.org
Re: [PUG] Root Server absichern
Kann man überhaupt als 17 Jähriger solche Lehrgänge besuchen? Und wenn ja, kennt zufällig jemand ein paar Hinweise wo ich in Frankfurt und umgebung (wohne in Bad homburg) solche Lehrgänge sind? Weil die würde ich ja gerne besuchen. Hatte ja euer Anfängerseminar, war glaub ich am 3.3.2007, besucht und völlig zufrieden und hilfreich damit *g* MfG Stephan -- PUG - Penguin User Group Wiesbaden - http://www.pug.org
Re: [PUG] Root Server absichern
hi, bisher fehlt mir in der diskussion ein meines erachtens nach ganz wichtiger punkt: Systempflege. Viele sind ja immer noch der meinung, never touch a running system sei die richtige strategie, aber das gilt GANZ SICHER nicht für root-server im internet. da heisst es, regelmäßig security-meldungen lesen und das system mit distributionspakten, notfalls auch mal selber von hand, zu patchen und zu pflegen. ausserdem sind so hilfreiche sachen wir tripwire, tenshi und snort noch nicht genannt worden, was ich an dieser stelle auch nochmal tun möchte, das aber nicht als empfehlung für den Stephan, da würde ich mich echt einigen vorschreibern anschliessen und raten, damit noch ein wenig zu warten und zu lernen, die bereitschaft scheint ja da. sven -- PUG - Penguin User Group Wiesbaden - http://www.pug.org