2 Server-Fragen

[ChrisM87]

Hi,

ich stehe vor der Einrichtung eines neuen Servers und will diesmal mehr selbst machen.

Deswegen zwei Fragen:
1. Macht es Sinn, mehrere Partitionen neben Boot und Swap einzurichten. Die Argumente dafür sind klar, nur machen die bei mir wenig Sinn, der Server ist eine single-User-Umgebung, d.h. niemand kann irgendwas zumüllen, die Logs wachsen nicht abnormal und genug Reserve wird vorhanden sein und es werden nur Programme eingesetzt, die relativ sicher sind.

2. Spricht etwas dagegen, bei MySQL immer als Root zu arbeiten? Zugriff von außen ist natürlich schon allein durch iptables verhindert und die Scripte, die ich vorhabe, einzusetzen, sind im Prinzip allesamt recht sicher.

3. Macht eine Absicherung des Servers durch iptables überhaupt Sinn? Grade bei MySQL könnte ich so ja einen zusätzlichen "Verteidigungswall" errichten und während der Installationsphase kann ich ja alle Ports außer SSH für alle außer meiner Remote-IP sperren und den Server so ungestört einrichten (muss nat. immer umkonfigurieren, wenn ich T-Online Zwangstrennung hatte, dafür ist ja der SSH-Port für alle offen). Sollte doch so gehen, oder?

ChrisM
_________________
born to be root - sorry for my bad English!

[z4Rilla]

auf jeden fall sollte /tmp auf eine eigene Partition die mit noexec gemountet ist. Das stoppt viele scriptkiddies

und MySQL solltest auf jeden fall durch

[ChrisM87]

Hi,

ok, wie groß sollte /tmp denn ca. sein?

Auf iptables werde ich dann verzichten, ich hab grad nochmal überlegt, eigentlich läuft ja außer mysql wirklich gar nichts, was nicht auch von außen erreichbar sein soll/muss und wenn das nur an loopback bindet, ist es von außen ja nicht sichtbar.

Bleibt nur noch Frage 2., d.h., ob man MySQL gefahrlos immer als root zugreifen kann (als MySQL-Benutzer "root", der mysqld läuft natürlich NICHT als root!!)...

ChrisM
_________________
born to be root - sorry for my bad English!

[moe]

Kommt drauf an, was man als Gefahren definiert.

In deiner Umgebung ist es sicher mehr oder weniger wurscht, aber ich finds besser für jedes Projekt bzw. Script was man ausprobiert einen eigenen Mysql-Benutzer zu erstellen. Somit kann ein durchdrehendes PHP-Script nicht fremde oder alle Datenbanken zerstören..

Gruss Maurice

[z4Rilla]

ich denke es wäre keine gute idee alles mit dem mysql-root laufen zu lassen.

Wenn ein *Angreifer* ein Script geknackt hat kann er auf alle Datenbanken zugreifen, neue Benutzer erstellen usw !!!!
Wie wärs wenn du entweder pro DB einen Benutzer anlegst (der nur auf diese 1 DB zugreifen kann) oder falls das nicht praktikabel ist pro Anwendung ein Benutzer (wieder mit minimalen rechten)

[Freiburg]

Naja es kommt sicher darauf an wie "Paranoid" Du bist, ich würde

1. auf jeden Fall einen vernünftigen Firewall aufsetzen
2. als root zu arbeiten wenn es nicht sein muss finde ich persönliche eine ziemlich schlechte Idee
3. Mysql nur an localhost zu binden ist eine gute Idee, ich würde Dienste prinzipiell nur an Schnittstellen binden über die auch auf sie zugegriffen werden soll.
4. Ich würde Snort oder etwas ähnliches installieren, gibt ne ganze Menge böser Buben da draussen, und viele Angriff kommen ja bekanntlich auch aus dem internen, vermeintlich sicheren Netzwerk

kann sein das ich richtig Paranoid bin, aber lieber vorsichtig sein, als den Server zu "entseuchen" oder ihn neuinstallieren zu müssen...

[ChrisM87]

Hi,

die Idee mit dem Benutzer pro Datenbank ist gar nicht schlecht. Ich hab ja ganz vergessen, dass ich bei meiner eigenen Datenbank beliebig viele anlegen kann und nicht nur eine, wie bei meinem jetzigen Webspace.

Snort ist super, aber Snort erhöht ja nicht die Sicherheit, sonst loggt nur, d.h. ich weiß dann zwar, dass unter der IP xy ein Hacker sein Unwesen treibt, aber viel mehr bringt mir das auch nicht, außer, wenn ich dauernd Abuse-Mails schreiben will.

Kennt jemand ein gutes Programm, um Firewallregeln (iptables) zu erzeugen? Es gibt ja grade für KDE eine riesige Menge, nur muss ich das Ganze eben als Script exportieren können, ich will das Programm ja bei mir laufen lassen, nicht auf dem Server und das iptables-Konfigscript dann einfach hochladen.

ChrisM
_________________
born to be root - sorry for my bad English!

[Anarcho]

Also auf nem Server der alleine im Internet steht (root-server z.b.) lohnt sich ne Firewall in den meisten fällen nicht. Denn alle Services die der Server übers Netz anbieten soll, müssen eh nach aussen offen sein. Alle anderen bindet man nur an localhost (wie etwa mysql) oder lässt sie weg.
Damit ändert eine Firewall auch nichts (ist ja nicht Windows...)
Anders sieht es aus wenn man bestimmte Dienste nur für ein bestimmte IP offen haben möchte.
Aber auch da sollte man dies zuerst im Programm selber einstellen und danach zusätzlich die Firewall richtig einstellen.
Denn auch eine Firewall ist nicht 100% sicher.

Zum erstellen von Firewall scripten würde ich dir empfehlen ne iptables doku zu lesen und das script selber zu schreiben. Dann weisst du wenigestens genau was es macht. Und in deinem Fall sollte das script nicht besonders kompliziert werden.
_________________
...it's only Rock'n'Roll, but I like it!

[C.W.]

Für KDE gibts kmyfirewall mit Exportfunktion. Ich finde, ein Tool um iptable Filter zu schrieebn kann gar nicht einfach und übersichtlich genug sein. Allein um Fehler und Falschkonfiguration vorzubeugen.