Root Server Sicherheit eure Meinung

[krumme]

Guten Tag,

ich hab mir vor 4 Monaten einen V-Server bestellt. Hab ewig rumgetüftelt (3 Monate) bis ich den online genommen hab. Meine bisherigen Arbeiten sind:

- SSH auf einen anderen Port
- Kein Root login möglich, nur ein User kann drauf
- Problem mit den SSH Keys beseitigt (Login aber noch per Passwort, kann mir nicht vorstellen das die Keys so sicher sind :???: )
- MYSQL an localhost gebunden (reicht das?)
- Lighttpd Dir-Listing verboten (will aber zu Apache wechseln, nur was sollte man absichern)
- Kein Mailserver (ist mir zu gefährlich)
- SFTP statt FTP
- Ejabberd keine Anmeldung über den Clienten, sepperates Admin Konto
- Teamspeak noch nichts finde nichts unter google
- Kleine Firewall des Providers
- Unnötige Dienste deinstalliert
- täglich updates
- PHP gehärtet

Wie würdet ihr die Sicherheitsmaßnahmen einschätzen? Kann ich mich damit schon Online trauen? Meiner Meinung nach ist es nocht zu wenig, da in manchen Foren stand, das das Verwalten sehr schwierig sei. Nur diese Maßnahmen war für mich ein Kinderspiel :???:

Hättet ihr noch andere Tips den relativ sicher zu bekommen? Was sollte bei PHP alles geändert werden?

Die Auswertung der Logfiles mach ich zz noch Manuel, such noch nach einem guten Tool mit das ich die Auswertung vereinfachen könnte, tips?

Zu meinen Linux Erfahrungen:
- Setze Linux seit ca. 2004 ein
- Seit einem 1/2 Jahr als Haupt OS (danke Vista!)
- Viele Distributionen ausprobiert (Ubuntu, Debian, Arch, ...)
- Konsole = Freund

Meint ihr ich bin in der Lage einen Server zu Verwalten?

Noch was, falls wieder Kommentare kommen:
Ich bin mir völlig im klaren, das ich für den Server voll verantwortlich bin, deshalb ist mir die Sicherheit des Server sehr sehr wichtig.

Danke im Voraus!

mfg krumme

 

[framp]

- Problem mit den SSH Keys beseitigt (Login aber noch per Passwort, kann mir nicht vorstellen das die Keys so sicher sind :???: )

Passwortzugang raus und nur noch per key ist die sicherste Methode (wenn nicht gerade der private Key irgendwo im Netz steht)

Ausserdem -> http://wiki.linux-club.de/opensuse/Wie_sichere_ich_meinen_ssh_Server

 

[huby]

Hallo,

- Kleine Firewall des Providers

Es wäre nicht schlecht eine eigene Firewall zu konfigurieren!

Du sagst nichts welche Distro du am laufen hast.
Bei mir läuft openSUSE 10.3 ohne Plesk oder Confixx & Co.
Die SuSEfirewall2 ist einfach zu konfigurieren.
Bei anderen Distros kenne ich mich nicht so aus.

Grüße

huby

 

[nbkr]

- Problem mit den SSH Keys beseitigt (Login aber noch per Passwort, kann mir nicht vorstellen das die Keys so sicher sind :???: )

Keys sind sicherer als Username und Passwort. Ein Passwort kann man theoretisch raten. Bei einem Key braucht man die entsprechende Datei - die liegt auf deinem privaten Rechner. Da ist wesentlich schwerer ran zu kommen als ein paar Passwörter durchzuprobieren. Du solltest nur aufpassen wenn Du den Key auf einem älternen (2 Monate keine Updates z.B.) Debian / Ubuntu gemacht hast oder auf einem solchen die öffentlichen Schlüssel gelagert hast. Da gab es vor kurzem einen üblen Bug der dafür gesorgt hat, das Debian und Ubuntu unsichere Schlüssel erstellen.

- Kein Mailserver (ist mir zu gefährlich)

Den Mailserver brauchst Du aber damit dir die diversen Programme wie z.B. logcheck (siehe später) Nachrichten schicken können. Muss ja kein Mailserver sein der Mails annimmt, nur verschicken sollte möglich sein.

- Kleine Firewall des Providers
- Unnötige Dienste deinstalliert

Wenn Du nur einen VServer (also kein Netz dahinter) hast und wirklich kein Programm mehr läuft, das Du nicht brauchst, ist eine FW im Prinzip auch unnötig. Ansonsten: Such mal nach Frozentux iptables. Da findet sich eine gute Anleitung.

- täglich updates
- PHP gehärtet

Da ist vorallem wichtig die PHP Software, also Foren, Gästebucher, etc. aktuell zu halten. Das sind wohl im Moment so die Hauptangriffsvektoren. Kaputte Webscripte.

Wie würdet ihr die Sicherheitsmaßnahmen einschätzen? Kann ich mich damit schon Online trauen? Meiner Meinung nach ist es nocht zu wenig, da in manchen Foren stand, das das Verwalten sehr schwierig sei. Nur diese Maßnahmen war für mich ein Kinderspiel :???:

Soweit so gut würde ich sagen. Mehr getan als die meisten von den man so liest. Aide könnte man noch installieren. Außerdem wäre ein Monitoring der Dienste und Systemlast nicht schlecht - hängt aber wieder davon ab wie wichtig der Server ist. Mit Nagios und Munin habe ich in der Hinsicht gute Erfahrungen gemacht.

Achja, von Backup auf eine externe Maschine habe ich jetzt noch nichts gelesen. Das wäre noch gut falls es den Server mal zerreist. Plattendefekt oder ähnliches lassen sich nur damit abfangen.

Hättet ihr noch andere Tips den relativ sicher zu bekommen? Was sollte bei PHP alles geändert werden?

Bei PHP würde ich OpenBaseDir und notfalls noch den Safemode aktivieren. Da kannst Du einige Funktionen verbieten. Hängt aber davon ab was an PHP Software läuft. Nur eigene Scripte die entsprechend entwickelt wurden, dann kannst Du dir SafeMode und Co sparen. Andere User auf der Maschine: SafeMode aktivieren.

Die Auswertung der Logfiles mach ich zz noch Manuel, such noch nach einem guten Tool mit das ich die Auswertung vereinfachen könnte, tips?

Logcheck - das schickt stündlich eine Mail mit ungewöhnlichen Einträgen.

Zu meinen Linux Erfahrungen:
- Setze Linux seit ca. 2004 ein
- Seit einem 1/2 Jahr als Haupt OS (danke Vista!)
- Viele Distributionen ausprobiert (Ubuntu, Debian, Arch, ...)
- Konsole = Freund

Meint ihr ich bin in der Lage einen Server zu Verwalten?

Ja, scheint so. Du hast schonmal keine schlechten Start hingelegt. Jetzt heißt es natürlich am Ball bleiben.

 

[krumme]

Du sagst nichts welche Distro du am laufen hast.

Oh hab ich vergessen, Debian. Mit dem kenn ich mich einfach am besten aus.

Den Mailserver brauchst Du aber damit dir die diversen Programme wie z.B. logcheck (siehe später) Nachrichten schicken können. Muss ja kein Mailserver sein der Mails annimmt, nur verschicken sollte möglich sein.

An einen Mailserver hab ich mich noch nicht herangewagt, wegen Spam Mails und so. Kann Logcheck nicht über einen externen Account die E-Mails verschicken? Bis jetzt hab ich halt noch keinen Mailserver gebraucht, da Joomla die Mails auch via smtp versenden kann. Welchen Server Software würdest du einsetzen? Hab gehört Postfix soll gut sein? Tipps zum einrichten und absichern wären nicht schlecht.


Über Nagios hab ich mich schon Informiert, scheint sehr mächtig zu sein. Ist das nicht eher wenn man mehrere Server hat?

mfg krumme

 

[nbkr]

Ob logcheck Mails direkt per SMTP verschicken kann weiß ich nicht. Schau einfach mal: http://logcheck.org/
Bei Mailserver setze ich gerne Postfix ein. Gerade bei Debian ist da die Konfig recht einfach. Bei der Installation wird man schon gefragt ob man einen Mailserver einrichten will der nur Mails verschickt.

Nagios ist recht mächtig, aber vergleichesweise einfach einzurichten. Die Doku davon ist extrem gut. Je mehr Server man einsetzt, desto dringender braucht man sowas. Aber auch bei einem Server kann es nützlich sein. Wenn Du sofort benachrichtigt werden willst wenn ein Dienst ausgefallen ist, brauchst Du ja ein entsprechendes Werkzeug. Überaus praktisch ist auch die Überwachung nach Updates. Ich hab das bei mir so eingerichtet, dass Nagios meldet wenn es neue Updates für die Server gibt. Dadurch muss ich nicht selbst jeden Tag schauen, bin auf dem aktuellen Stand und muss die Updates nicht automatisch reinballern lassen. Bei einem Server sollte man die Updates von Hand machen - wegen evtueller Rückfragen.

 

[krumme]

Wie kriege ich Postfix sicher? Hab mich damit noch nicht beschäftigt.

 

[ceegee]

ich hab mir vor 4 Monaten einen V-Server bestellt. Hab ewig rumgetüftelt (3 Monate) bis ich den online genommen hab

Und wie warst du drauf, wenn nicht online? Das interessiert mich mal

 

[krumme]

Wenn ich nicht gerade daran gearbeitet habe war er ausgeschaltet