Ordner schützen

[codc]

Ok, ich setze den Server neu auf.

Welche große Gefahr ausser Spamschleuder und das man den Server dazu
nutzt andere Systeme platt zu machen gibts denn noch.

Ich wäre über konstruktive Hinweise erfreut.
Welche Lektüre empfiehlt denn der Fachmann.

Ich hab ja schonmal keinen rootlogin mehr und ich kann nur mit nem pgp Schlüssel über ssl rein.
Den Schlüssel habe ich über WinSCP3 runtergeladen.

OK dann hat es ja gefruchtet

Da ich Suse nicht kenne und selber Debian benutze kann ich dazu nichts sagen. Aber ein paar verallgemeinerbare Regeln:

Neu Aufsetzen aus orginalen und vertrauenswürdigen Quellen - orginal CD's oder offiziellen Internetquellen.

MD5-Checksums immer überprüfen.

Die Distro-Paketverwaltung benutzen und nach Möglichkeit immer die Paketverwaltung benutzen.

Sicherheitsmailinglist für die Distro abonnieren und auch lesen.

Verschiedene Foren - nicht nur hier - ständig lesen.

Vielleicht gibts auch ein Manual hardening Suse keine Ahnung.

Nur Dienste die man absolut braucht und von denen man ganz genau weiss wie sie funktionieren und wie sie abzusichern sind starten.

Intelligentes Partionieren und mounten der Platte. Optionen ro und noexec in der /etc/fstab nutzen. Hierzu mal nach FHS googlen. Hier ist geregelt welche Partition wie gemountet werden kann für den laufenden Betrieb.

SSH für root dicht machen und nur mit 'su' von einem User zu root werden dürfen. Ausschliesslich Key-login erlauben.

Regelmässig Log-Files überprüfen.

Distro immer aktuell halten. Suse hat denke ich auch ein Update-Tool (Yast?).

Software auch nur aus vertrauenswürdigen Quellen installieren.

Niemals ohne wirklich verstanden zu haben was man tut etwas nur mit einem HowTo/Posting o.ä. zu konfigurieren und niemals nur per copy und paste etwas zu machen.

Über den Einsatz von Software wie z.B. Tripwire nachdenken.

Dass ist so dass was mir auf die schnelle einfällt.

EDIT:

- Firewall aufsetzen, wobei z.B. das folgende Skript einfach entsprechend angepasst werden kann

Der Einsatz einer Firewall auf einem Server ist eine zweifelhafte Sache weil eigendlich nur Ports nach aussen hin angeboten werden sollten die Korrekt konfiguriert sind. Wenn kein Dienst horcht ist ein Port nicht angreifbar. Eine Firewall ist da eher Security by Obscurity. Ist aber eine Glaubensfrage.

Grundsätzlich will ich aber nicht die Sinnigkeit von iptables in Frage stellen.

 

[theton]

Das Update-Tool von SuSE heisst jetzt YOU (YaST Online Updater)

 

[bobo]

Danke für die vielen Tipps

vieles hatte ich eigentlich schon gemacht.
Einen Rootlogin für ssh gabs gleich nachdem ich den Server bekommen habe nicht mehr.
Ich habe einen einfachen User angelegt der mit pgp-Schlüssel ssh nutzen konnte. Root habe ich nur über su genutzt, das Passwort bestand aus einem 10 stelligen Buchstaben/Zahlensalat.

Gibt es denn eine Möglichkeit ein Verzeichnis so freizugeben das man nur Dateien dort ablegen, aber nicht auf diese zugreifen kann.
Denn ich würde nach der Neuinstallation wieder vor dem selben Problem stehen.

Ich muß nur mein gepackte Backup wieder einspielen.
Dieses ist vor dieser Misere erstellt worden.

Das neu aufsetzen macht mein Anbieter ich brauche nur was anzuklicken und der Server wird automatisch neu aufgesetzt.

Wo gibts Tripwire für Suse ?

 

[hoernchen]

du weißt aber nicht ob beim erstellen des backups der boesewicht nicht schon drin war. außerdem waere dann der vorherige zustand wiederhergestellt und er koennte wieder rein.

 

[devilz]

du weißt aber nicht ob beim erstellen des backups der boesewicht nicht schon drin war. außerdem waere dann der vorherige zustand wiederhergestellt und er koennte wieder rein.

Naja - kommt drauf an WAS er nutzt ...

@Bobo
Setzt du phpBB ein, oder so etwas in der Richtung? (Mehr Infos zu deinem System wenn möglich!)

 

[supersucker]

Gibt es denn eine Möglichkeit ein Verzeichnis so freizugeben das man nur Dateien dort ablegen, aber nicht auf diese zugreifen kann.

Schau dir mal htaccess an.

Google bietet dir da genügend Anleitungen und Howtos an.

 

[bobo]

Ich werd wohl alles neu machen, ich hab mal mein phpBB2 Verzeichnis
durchsucht und noch 2 Skripte und einen Trojaner gefunden.
Es ist echt zum kotzen, die Welt ist einfach schlecht.
Ich glaube mein Problem waren eigentlich nur die Verzeichnisse die 777 hatten.

Also ich habe folgendes vor:

phpBB2 Forum, das war eigentlich gut gesichert und in der Version 2.0.20
TS2 Server
UT99 Gameserver
UT2004 Gameserver
BF2 Server
3 Statistiktools

Das große Problem sind glaube ich die Verzeichnisse welche mit 777 für den Upload freigegeben sind.
Wie sichere ich diese denn am günstigsten oder geht das überhaupt nicht ?

Gruß
bobo

P.S. danke für die nette Hilfe !!!

 

[theton]

Ich wuerde ja nichts einfach so fuer den Upload mit 777 freigeben. Sorge dafuer, dass die Upload-Verzeichnisse dem Apache-User gehoeren und nur dieser darin Schreibrechte hat.

Nachtrag: Idealloesung waere natuerlich alle Server in einer chroot-Umgebung laufen zu lassen, so dass das eigentliche System von einem Angriff erstmal nicht betroffen ist, solange der Angreifer es nicht schafft aus der chroot-Umgebung auszubrechen.

 

[bobo]

Von chroot habe ich schon gehört, gibts da ne Dokumentation in deutsch ?
Jetzt wo ich eh ganz von vorne beginne, kann ich das gleich mit realisieren.

Ich möchte auch gleich das PHP 4.4.2 installieren, da bei der Neuinstallation eine ältere Version installiert wird.

Für das Statistiktool muß ich einen Uploadordner erstellen, würde es genügen wenn ich einen FTPuser einrichte der nur auf diesen Ornder Zugriff hat ?

 

[rikola]

Von chroot habe ich schon gehört, gibts da ne Dokumentation in deutsch ?
Jetzt wo ich eh ganz von vorne beginne, kann ich das gleich mit realisieren.

Ich möchte auch gleich das PHP 4.4.2 installieren, da bei der Neuinstallation eine ältere Version installiert wird.

Für das Statistiktool muß ich einen Uploadordner erstellen, würde es genügen wenn ich einen FTPuser einrichte der nur auf diesen Ornder Zugriff hat ?

Ich denke mal, apache in einer chroot-Umgebung laufen zu lassen, muesste ein einziges Schluesselwort in der Konfigurationsdatei sein. google einfach mal, sicher findest Du deutsche Dokumentation. Der Effekt ist schnell erklaert: chroot bewirkt, dass '/' nicht wirklich '/' ist, sondern ein anderes Unterverzeichnis im System. Dadurch 'gibt es' die uebrigen Systemordner nicht mehr.

Kannst Du zum Hochladen nicht ein Webinterface benutzen? Falls Du ftp benutzen willst, kannst Du dem User ftp die login-shell /bin/false zuweisen, so dass sich ftp nicht mehr einloggen kann.

 

[mcas]

Was meinst du mit Upload? Uploads per PHP und ftp oder noch weitere Möglichkeiten? Ich weiss nicht welchen ftp-Server du benutzt aber ich würde dir zu vsftp raten, da du diesen relativ einfach in einer chroot - Umgebung laufen lassen kannst.
Um nochmal einige vorher genannte Themen zu ergänzen:
Bei novell kann man sich registrieren lassen und wird dann über Sicherheitsrelevante updates informieren lassen.
Als IDS bzw IPS könnte man über den Einsatz von prelude nachdenken.
Das Mailsystem möglichst so konfigurieren, dass wenn überhaupt nur von localhost Emails verschickt und empfangen werden können. Also nur Emails vom System an root. Man kann das auch zusätzlich über eine Firewall so konfigurieren, das das System keine E-Mails nach aussen verschickt.
@codc Für solche Fälle finde ich eine Firewall nützlich.
So das wäre es erstmal von meiner Seite.
mfg
mcas

 

[codc]

Man kann das auch zusätzlich über eine Firewall so konfigurieren, das das System keine E-Mails nach aussen verschickt.
@codc Für solche Fälle finde ich eine Firewall nützlich.

Relaying sollte eh deaktiviert sein und so etwas kann man bei Postfix zumindest ohne Firewall machen. Aber wie ich schon sagte will keine Diskussion für oder wieder Firewall vom Zaun brechen.

 

[bobo]

Ich hab jetzt alles neu gemacht, habe aber 3 Ordner mit 777, weil der Mod das vorgibt.
Und zwar ist das der Avatarordner, Smilieordner, Filesordner
Es geht darum das man als Forummember eigene Avatare und Smilies hochladen kann.

Jetzt möchte ich nicht das ich bald wieder was in den Ordnern finde was da nicht reingehört.

Gibt es eine Möglichkeit oder kann ich das vergessen ?

 

[mcas]

Kann man irgendwo in der Upload - Funktion eine Überprüfung einbauen, dass nur Bilder hochgeladen werden können, z.B. über die Endung? Ich weiss das man auch dann noch ausführbare Dateien hochladen kann mit neuer Endung aber wäre ein erster Schritt.
Man könnte auch versuchen, den Upload so einzustellen, dass man nur noch Dateien bis zu einer bestimmten Grösse hochladen kann.
Sind nur so ein paar Ideen aber wie gesagt bestimmt nicht das Allheilmittel für dein Problem, aber irgendwo muss man ja anfangen.

 

[bobo]

Das Problem beim letzten Mal war nicht der Upload übers Forum, der Hacker hat seine PHP Dateien anders in die Ordner reingeladen.
Übers Forum kann man solche Dateien nicht hochladen.
Gibts vielleicht ne Möglichkeit über htaccess ?

Wie muß allowOveride eigentlich eingestellt sein ?

So hab ich es:

# forbid access to the entire filesystem by default
<Directory />
Options None
AllowOverride ALL
Order deny,allow
Deny from all
</Directory>

 

[mcas]

Dann solltest du alles abschalten was du nicht wirklich brauchst für den Upload und den ftp-Server in einer chroot laufen lassen damit keiner mehr was hochladen kann und in einem Bereich ablegen kann wo er will.
Htaccess bringt dir nur was um deine Webseiten zu schützen, es gibt aber noch genug andere Methoden dir Dateien unterzuschieben.
Darf man fragen, welches SuSE du einsetzt? Hast du mal einen nmap-Test gemacht oder einen Test von so einer Webseite die guckt ob und wie dein Server angreifbar ist?

 

[hoernchen]

Das Problem beim letzten Mal war nicht der Upload übers Forum, der Hacker hat seine PHP Dateien anders in die Ordner reingeladen.

auch wenns leicht offtopic ist, aber man kanns nicht oft genug erwaehnen : hacker != cracker.
definition des begriffs hacker

 

[bobo]

Dann solltest du alles abschalten was du nicht wirklich brauchst für den Upload und den ftp-Server in einer chroot laufen lassen damit keiner mehr was hochladen kann und in einem Bereich ablegen kann wo er will.
Htaccess bringt dir nur was um deine Webseiten zu schützen, es gibt aber noch genug andere Methoden dir Dateien unterzuschieben.
Darf man fragen, welches SuSE du einsetzt? Hast du mal einen nmap-Test gemacht oder einen Test von so einer Webseite die guckt ob und wie dein Server angreifbar ist?

Suse 9.3

Also der Port für FTP 21 ist zu, ich lade alles mit WinSCP hoch über eine sichere Verbindung.
Ich habe laut Firewall nur HTTP-Server und SSH offen im Moment.
Die Mailgeschichten gehe ich an wenn infos habe wie ich es am geschicktesten angehe.

Einer erwähnte hier mal das man Ordner auch so frei geben kann das nur der Besitzer was uploaden kann.
Also in meinem Fall ist es Webx da ich mit Confixx den den Bereich für das Forum eingerichtet habe.

Ich habe mit nmap mal eben gescannt und da ist nur Port 22, 80 auf mehr nicht.
Kann denn überhaupt jemand ausser ich was hochladen wenn der Port 21 zu ist ?

Hat den einer nen Link parat um das mal checken zu lassen ?

 

[mcas]

Ich hatte da noch was in Erinnerung, dass du was mit ftp machst, deshalb meine Anmerkung.
Wenn nur die beiden Ports offen sind, kann keiner was mit ftp machen. Du solltest evtl. den sshd auf einem anderen Port horchen lassen.
Du kannst einen Ordner nur für den Besitzer schreibbar machen (chmod 700 ORDNER) da der Ordner wie du sagst webx gehört, wirst du das kaum ausnutzen können. Ich kenne mich leider nicht mit Confixx aus aber vll. kannst du ja einen Transferordner anlegen und es von da weiter verschieben.
Einen Link habe ich gerade nicht parat aber google hilft bestimmt weiter.

 

[bobo]

Ich hatte da noch was in Erinnerung, dass du was mit ftp machst, deshalb meine Anmerkung.
Wenn nur die beiden Ports offen sind, kann keiner was mit ftp machen. Du solltest evtl. den sshd auf einem anderen Port horchen lassen.
Du kannst einen Ordner nur für den Besitzer schreibbar machen (chmod 700 ORDNER) da der Ordner wie du sagst webx gehört, wirst du das kaum ausnutzen können. Ich kenne mich leider nicht mit Confixx aus aber vll. kannst du ja einen Transferordner anlegen und es von da weiter verschieben.
Einen Link habe ich gerade nicht parat aber google hilft bestimmt weiter.

FTP hab ich erst Mal total abgeklemmt nach dieser Misere, kann man jetzt eigentlich nur noch übers Forum was in die Ordner legen oder gibts da noch ne andere Möglichkeit ?

Das verlegen des Ports 22 auf nen anderen bringt doch eh nix, einmal gescannt hat man den Port oder nicht ?


Das mit chmod 700 werde ich gleich mal testen