Server absichern

[g0t0]

Hy,
Ich wollt mal wissen wie sicher mein Server ist, also folgendes habe ich schon gemacht:

-ssh port geändert + root login deaktiviert
-snort installiert und so ziemlich alle rulesets die ich gefunden habe (nur die sinnvollen) aktiviert
-mod-security (für apache 1.3) Installiert + Konfiguriert
-überflüssige software glöscht
-firewall + iptables konfiguriert
-portsentry Installiert + Portscanning Kontrollen etc. aktiviert und auch getestet
-logcheck installiert
-überflüssige benutzer (ftp benutzer z.B.) deaktiviert

Dann hab ich noch ne frage zu Webmin, sind die apt-get pakete "sicher" und was muss ich da bei der konfiguration beachten gibt ja ne ganze menge module, sind da welche unsicher?

Und wo bekomm ich einen Stable fail2ban Mirror her?

mfg g0t0.

 

[codc]

Hy,
-ssh port geändert + root login deaktiviert

Besser Keys benutzen und/oder Portknocking als Ports verschieben.

-firewall + iptables konfiguriert

Eine Firewall macht auf einem Server nur begrenzt Sinn. Besser die Dienste absichern und nicht den Gehirnschmalz in Iptables-Regeln stecken.

-portsentry Installiert + Portscanning Kontrollen etc. aktiviert und auch getestet

Überflüssig wie ein Kropf - ein Portscan ist nichts anderes wie das Rauschen im Internet und nichts was einem zu denken geben sollte wenn man weiss was man tut.

-überflüssige benutzer (ftp benutzer z.B.) deaktiviert

Den oder die sollte es gar nicht geben wenn du überflüssige Software sauber entfernt hast. FTP ist bei Debian ein optionales Paket.

Dann hab ich noch ne frage zu Webmin, sind die apt-get pakete "sicher" und was muss ich da bei der konfiguration beachten gibt ja ne ganze menge module, sind da welche unsicher?

Webmin hat auf einem Server nur was zu suchen wenn der auf Localhost hört und über eine VPN-Verbindung angesprochen wird. Ansonsten runter damit oder willst du dir ein Scheunentor aufreissen?

Und wo bekomm ich einen Stable fail2ban Mirror her?

Mit Etch - ist noch nicht in stable aka sarge ....

Und was du vergessen hast - den MTA auf Relay zu überprüfen, Tripwire, Tiger, Grsec-Kernel, SSH zu sichern also Version 2 nur zuzulassen usw.


http://www.debian.org/doc/manuals/securing-debian-howto/index.de.html

Viel Spass beim lesen

 

[StyleWarZ]

-mod-security (für apache 1.3) Installiert + Konfiguriert

Hat es einen Grund warum du nicht Apache 2.2 benutzt?

 

[g0t0]

Hat es einen Grund warum du nicht Apache 2.2 benutzt?

Webmin....

 

[supersucker]

Ja,

wie es schon erwähnt wurde, hat webmin auf einem Server nichts aber auch gar nichts zu suchen.

Genauso wie swat und anderer ähnlicher Kram.

Und zur Sicherheit:

Wenn du das Ding wirklich sicher machen willst, war das gerade erst mal ein Anfang.

Da solltest du zum einen beherzigen, was codc geschrieben hat.

Zum anderen noch an paar weitere Anregungen:

- rkhunter oder was Ähnliches was dir (evtl.) rootkits aufspürt per cron laufen lassen
- minimalen Kernel bauen und verwenden
- Penetrationstests laufen lassen
- dich die nächsten 3 Monate mit SELinux beschäftigen

Wie schon gesagt, was du bisher hast ist eigentlich nur eine minimale Basis...

 

[Keruskerfürst]

Dann lies Dir mal dies hier auch noch durch:
http://www.gentoo.org/proj/en/hardened/hardenedfaq.xml#hardenedcflagsoff

 

[g0t0]

Hab ich auch schon eben in dem Debian Tutorial gelesen und sofort Installiert.
Hatte nichts unsicheres auf meinem Server.
Dienste wie bind usw. habe ich abgesichert, laufen in einer chrooted umgebung unter eingeschränkten benutzerrechten.

Und was macht Webmin genau unsicher? Ich finde es ist ein gutes Werkzeug zum Server konfigurieren, bzw. was kann ich machen um webmin zu behalten? Es muss doch sicher wegen geben um webmin abzusichern.
Habs noch nicht Installiert aber ich habe es eigentlich vor.

 

[match3s]

Naja die meisten exploits gabs jetzt weniger direkt für webmin sondern mehr für den in perl geschriebenen httpd. Aber wen du webmin mit apache benützt ist das eigentlich nicht so wild solange du noch extra ne .htacces anlegst um das verzeichnis mit password zu schützen.

 

[grey]

Naja die meisten exploits gabs jetzt weniger direkt für webmin sondern mehr für den in perl geschriebenen httpd. Aber wen du webmin mit apache benützt ist das eigentlich nicht so wild solange du noch extra ne .htacces anlegst um das verzeichnis mit password zu schützen.

Mmh, bin ich nicht ganz der Meinung.

Webmin ist ein Backend, welches imho Usereingaben mit rootrechten ins System durchreicht.
Mit der .htaccess hat man zwar eine Sperre, aber die ist per BruteForce durchaus zu durchbrechen, da sie per default keine Begrenzung der missglückten Logins kennt.
Soll heißen, dem blanken Login kann ich beibringen, daß nach 3 gescheiterten Logins der Account gesperrt wird. Mir ist noch nicht zu Ohren gekommen (soll nicht bedeuten, daß es nicht geht), daß dies mit htaccess möglich ist.
Ein weiterer Punkt - Um das System sicher zu machen, wäre es sinnvoll, den Apache in einer chroot-Umgebung laufen zu lassen. Wird der Apache kompromitiert, ist noch nicht alles verloren.
Gerade diese chroot-Umgebung würde allerdings den Sinn von Webmin ad acta legen. Ergo entweder chroot oder Webmin.

Da ich allerdings den Webmin nur relativ kurz getestet habe, bin ich mir nicht aller seiner Fähigkeiten bewußt. Sollten irgendwelche Gedanken, die ich mir gerade von der Seele geschrieben habe, nicht stimmen, wäre ich für einen Klaps auf den Hinterkopf dankbar ...

 

[g0t0]

Aber wen du webmin mit apache benützt ist das eigentlich nicht so wild solange du noch extra ne .htacces anlegst um das verzeichnis mit password zu schützen.

Also webmin ist in Perl geschrieben und benutzt den Apache nicht, weswegen .htaccess erst garnicht funktionieren wird.

Ich habe einfach mal den port geändert, und nun muss ich mal sehen wie ich das mit den zugriffen auf das Interface regeln kann.

Vieleicht weis ich meiner IP eine dynamische DNS zu und erlaube den Zugriff nur über diese dns, das wäre eine möglichkeit.

 

[seim]

Eine Firewall macht auf einem Server nur begrenzt Sinn. Besser die Dienste absichern und nicht den Gehirnschmalz in Iptables-Regeln stecken.

Was genau meinste damit ^^?
Gucken ob APache etc. richtig konfiguriert sind?