Such Buch zur Debian Server Administration

[simplex]

Hallo,

seit kurzem bin ich stolzer Besitzer eines root-Servers bei Strato

Da ich nicht mit Suse und Plesk oder ServerAdmin24 arbeiten möchte, sondern mit Debian um meine Fähigkeiten und Kenntnisse auszubauen suche ich ein Buch mit Informationen zur Serveradministration unter Debian bzw. Linux.

Kennt da jemand ein zwei Bücher die zu Empfehlen wären?

Danke schon mal und Gruß
Micha

 

[hex]

Linux Server-Sicherheit

Das Buch soll recht gut sein, aber wird dir nicht die ganze Arbeit abnehmen. Solltest
schon ein bisschen Plan von der genaueren Funktionsweise von Linux und
aktuelle Sicherheitsbedrohungen haben!

mfg hex

 

[sono]

Und falls du dann noch was Debian Spezifisches willst :

http://www.debian.org/doc/manuals/securing-debian-howto/
http://debiananwenderhandbuch.de/

Sollte für den Anfang reichen

 

[brahma]

Guck dochmal unter http://www.debianhowto.de/ ob da was zu finden ist, muss ja net gleich ein Buch sein

 

[Goodspeed]

seit kurzem bin ich stolzer Besitzer eines root-Servers bei Strato
...suche ich ein Buch mit Informationen zur Serveradministration unter Debian bzw. Linux.

Äh ... sollte das nicht lieber andersherum geschehen?

 

[simplex]

Äh ... sollte das nicht lieber andersherum geschehen?

meinste zuerst bücher und dann den server mieten?

ist ja nicht so, als hätte ich 0 ahnung..ich habe ja schon sämtliche links durchforstet..außerdem arbeiten wir in der schule auch mit debian und haben unsere eigenen server aufgesetzt...ich lese halt nur lieber bücher bei sowas..deshalb die frage

 

[sono]

meinste zuerst bücher und dann den server mieten?

ist ja nicht so, als hätte ich 0 ahnung..ich habe ja schon sämtliche links durchforstet..außerdem arbeiten wir in der schule auch mit debian und haben unsere eigenen server aufgesetzt...ich lese halt nur lieber bücher bei sowas..deshalb die frage

Na ja , wenn man einen 100 Mbitler an der Angel hat sollte schon ein wenig Ahnung haben was man macht .

Das wichtigste ist erst mal sichere Passwörter zu verweden. ( sowas wie 'QWERTZ123456' ist nicht sicher )

Leg SSH von Port 22 auf einen anderen Port um.
Am besten konfigurier SSH so um dass man nur noch Connecten kann wenn man ein gültiges Zertifikat hat , das macht Bruteforce schonmal so ziemlich fast ganz unmöglich.

Dienste Up to date halten . Nur das anbieten was du benötigste. Alle Dienste die nach Ausen nicht offen sein sollen wie Datenbanken so umkonfigurieren dass sie nur noch auf den loopback device höhren.

Bei Apache kannst du dir mal mod_security und mod_redirect und mod_evasive anschauen mit denen du bestimmte Attacken abschwächen kannst sowie das klauen von Bilder ( und somit unnötigen Traffic ) unterbinden kannst.

Konfigurier PHP sicher mit register globals off, und verwende anstatt ftp lieber webdav in apache.

Entferne unötige setuidroot bits.
Konfigurier dein /proc/sys/net/ipv4 so um dass nmap anzeigt der Angreifer hätte es mit WinXP zu tun "Stichwort OS Fingerprinting" hilft zwar erst mal nichg gegen Profis aber 99,9 % aller Scriptkiddies sind am Ende ihres Lateins.

(
TTL auf 128
Windowsize manipulieren
keine Timestamps in den Packeten
Lokal Portrangen auf 30000 bis 60000
log Martians
syncookies setzen usw.
)

Keine Banner in den Server, OpenSSH muss man leider neu compilieren da man im Quellcode die Version ändern muss.

Bei Apache genügt ein simples "Server Tokens Prod"

Gibt nur Vertrausenwürden Menschen einen Zugriff und dann auch nur eingeschränkt .

Kümmer dich um deine Logfiles,
Installier ein Hashprogramm und lass dein System "hashen" so dass du Manipulationen nachvollziehen kannst.

Programme wie Tiger und chkrootkit können dir helfen rootkitspuren zu finden und Fehlkonfigurationen zu vermeiden.

Lass Alle dienste mit eigenen Benutzern laufen.

Überleg dir ob der Dienst auch in ner chroot laufen kann usw.

Sollte jetzt nur ein kleiner Denkanstoss sein.

Damit bist du zwar noch nicht "sicher" aber zumindest so sicher , dass eigentlich nur noch Leute dir gefährlich werden könnten die sich vermutlich kaum für dich interessieren .

Für den Rest ist es einfach zu aufwendig dein System anzugreifen ( auser ein Penner denkt er müsse sein Botnetz an deinem Server testen, da kannst du dann kaum noch was machen ), zumal es ja noch genügend andere Rechner im Netz gibt bei denen man nicht 3Tage dasitzen muss und sich wundern muss warum denn das doofe WinXP RPC Exlpoit ( wie gesagt /proc/sys/net einstellungen ) nicht funktioniert .

Viel Spaß beim basteln.

Gruß Sono

 

[Unixjoey]

Leg SSH von Port 22 auf einen anderen Port um.

Wie macht man das?

Dienste Up to date halten . Nur das anbieten was du benötigste. Alle Dienste die nach Ausen nicht offen sein sollen wie Datenbanken so umkonfigurieren dass sie nur noch auf den loopback device höhren.

Meinst Du damit, dass sie nur auf den "localhost" hoeren sollte? Ist bei meinem Debian anscheinend schon so eingestellt. (bin-address)

Bei Apache kannst du dir mal mod_security und mod_redirect und

mod_security ist sehr gut s.a. hier:http://www.heise.de/security/artikel/69070/0

Ich habe aber etwas Probleme mit der Instllation. Ich vermute, ich muesste auf Apache 2.0.55 updaten

Konfigurier dein /proc/sys/net/ipv4 so um dass nmap anzeigt der
(
TTL auf 128
Windowsize manipulieren
keine Timestamps in den Packeten
Lokal Portrangen auf 30000 bis 60000
log Martians
syncookies setzen usw.
)

WIe kann ich diese Einstellungen aendern?

Gruss Joey


PS: Wie waere es mit

echo "1" > /proc/sys/net/ipv4/conf/all/rp_filter
echo "1" > /proc/sys/net/ipv4/icmp_ignore_bogus_error_responses
echo "1" > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts
echo "1" > /proc/sys/net/ipv4/tcp_syncookies
echo "1" > /proc/sys/net/ipv4/tcp_timestamps
echo "0" > /proc/sys/net/ipv4/conf/default/accept_redirects
echo "1" > /proc/sys/net/ipv4/conf/default/log_martians
echo "128" > /proc/sys/net/ipv4/ip_default_ttl


Leider akzeptiert mein Server die meissten Aenderungen nicht ;-(

 

[theton]

Ich wuerde das folgende noch anfuegen bei der proc-Manipulation:

# sende RST-Pakete wenn der Buffer voll ist
echo 1 > /proc/sys/net/ipv4/tcp_abort_on_overflow
# warte max. 30 secs auf ein FIN/ACK
echo 30 > /proc/sys/net/ipv4/tcp_fin_timeout
# unterbreche Verbindungsaufbau nach 3 SYN-Paketen
# Default ist 6
echo 3 > /proc/sys/net/ipv4/tcp_syn_retries
# unterbreche Verbindungsaufbau nach 3 SYN/ACK-Paketen
# Default ist 6
echo 3 > /proc/sys/net/ipv4/tcp_synack_retries

Die Aenderungen muessen natuerlich als root gemacht werden. Was funktioniert denn nicht?

Ausserdem moechte ich bei einem Rootserver zum Einsatz eines IDS raten und auch Dateiaenderungen sollte man mit Tripwire, AIDE o.ae. im Blick behalten. Dass eine gute Firewall ein Muss ist, soll hier auch nicht unerwaehnt bleiben. Diese kann auch wunderbar genutzt werden um Dienste, die nur der Admin benoetigt, effektiv zu verstecken.

 

[sono]

Leider akzeptiert mein Server die meissten Aenderungen nicht ;-(

Du brauchst auch nen Reinen Rootserver und musst das mit Rootrechten machen. In Virtuellen Servern wird das im Schnitt nicht gehen.

Gruß Sono

Ps. Es gibt für Debian nen Security Guide in dem alles drin steht. Einfach mal googln, das müsste ich für die url jetzt auch machen.

Gruß Sono

 

[slasher]

Na ja , wenn man einen 100 Mbitler an der Angel hat sollte schon ein wenig Ahnung haben was man macht .

ACK.

Das wichtigste ist erst mal sichere Passwörter zu verweden. ( sowas wie 'QWERTZ123456' ist nicht sicher )

verkauf den User simplex doch nicht für "dumm" .

Leg SSH von Port 22 auf einen anderen Port um.

wielange brauchst du dafür? 30 Sekunden vielleicht? Ich brauch 10 Sekunden, um dann herauszufinden, auf welchen Port du es verlegt hast. Meiner Meinung nach ist Security by Obscurity der gröbste Fehler überhaupt, da sowas mehr Aufsehen erregt, als dass es absichert.

Konfigurier dein /proc/sys/net/ipv4 so um dass nmap anzeigt der Angreifer hätte es mit WinXP zu tun "Stichwort OS Fingerprinting" hilft zwar erst mal nichg gegen Profis aber 99,9 % aller Scriptkiddies sind am Ende ihres Lateins.

siehe oben.

@goodspeed: ack.
@simplex:

 

[Unixjoey]

Du brauchst auch nen Reinen Rootserver und musst das mit Rootrechten machen. In Virtuellen Servern wird das im Schnitt nicht gehen.

Aha. Ich habe derzeit nur einen virtuellen server. Das scheint das Problem zu sein, denn einige der Aenderungen werden auch fuer den root zurueckgewiesen.

Wie genau laesst sich mein Debian als Windows ausgeben?
Security by obscurity muss nicht immer schlecht sein, villeicht kann man so einige automatische Scripte verwirren die wild meinen server attackieren.

Danke erst mal.


Gruss Joey

 

[slasher]

aber die automatischen "Scripte" sind es ja, die bei einem gut administrierten Server keine Chance haben und somit ungefährlich sind und da du ja deinen Server vernünftig administrierst (Annahme!) ist diese "Gruppe" eh schon mal ausgeschlossen und mit Obscurity hast du damit nichts gewonnen, außer die Cracker, die wirklich was von deiner "Kiste" wollen. Die, zumindest, hast du neugierig gemacht .