Server auf Sicherheit prüfen

samsonus · Apprentice Joined: 18 Jan 2005 Posts: 225 Location: Siegen

Hallo zusammen,
da ich einen kleinen Server aufsetzen soll, stellt sich mir die Frage, wie ich diesen auf Sicherheit testen kann, bzw. die Hauptfehler vermeiden kann. Eine 100%ige Sicherheit wird es wohl nicht geben.

Auf dem Server sollen ausser ftp, ssh und apache eigentlich nichts mehr laufen.

Vielleicht gibt es ja schon einen Leitfaden, den ich noch nicht gefunden habe!

Gruss samsonus

schachti · Posted: Wed Jul 20, 2005 10:39 am Post subject:

Also prinzipiell findet man dazu hier im Forum schon eine ganze Menge, auch mit google (z. B. "securing apache") findet man sehr sehr viel.

Ich gehe mal davon aus, daß Du das Gentoo Security Handbook (http://www.gentoo.org/doc/en/security/index.xml) schon durchgearbeitet hast?

Prinzipiell:

- Nur Dienste anbieten, die auch benötigt werden.
- hardened Profil und hardened Kernel nutzen.
- Wenn php genutzt wird: hardened-php nutzen
- Sicheren FTP-Client, falls der alle benötigten Features hat (z. B. vsftpd).
- Sichere Paßwörter!!!einseinself!!
_________________
Never argue with an idiot. He brings you down to his level, then beats you with experience.

How-To: Daten verschlüsselt auf DVD speichern.

UncleOwen · Posted: Wed Jul 20, 2005 10:43 am Post subject:

Wenns um Sicherheit geht wuerd ich nicht unbedingt auf ein unverschluesseltes Protokoll wie ftp setzen. Gibt doch scp/sftp.

trashcity · Guru Joined: 18 Sep 2003 Posts: 343 Location: österreich

würde dann noch mit nessus den server auf schwachstellen prüfen

Anarcho · Advocate Joined: 06 Jun 2004 Posts: 2970 Location: Germany

Eventuell vielleicht dann noch Logwatch per Cron starten und das Ergebnis per Mail schicken.
Zusätzlich starte ich noch jede Nacht chkrootkit (Ergebnis wieder per Mail)
_________________
...it's only Rock'n'Roll, but I like it!

schachti · Posted: Wed Jul 20, 2005 12:11 pm Post subject:

Ach ja, evtl. den Standard-Port des sshd auf einen anderen Port als 22 legen.

Grund: Es gibt viele Bots und Skriptkiddies, die automatisiert verschiedene User-/Paßwort-Kombinationen ausprobieren. Das ist zwar nicht schlimm, wenn die Paßwörter einigermaßen sicher sind, und das Ändern des Ports an sich bringt auch keinen wirklichen Sicherheitsgewinn - allerdings habe ich die Erfahrung gemacht, daß dadurch die Anzahl mißglückter Login-Versuche von einigen Dutzend bis einigen hundert pro Tag auf einige wenige pro Monat gesunken ist - dementsprechend leichter lassen sich die Logfiles auf wirklich sicherheitsrelevante Vorfälle überprüfen.
_________________
Never argue with an idiot. He brings you down to his level, then beats you with experience.

How-To: Daten verschlüsselt auf DVD speichern.

slick · Bodhisattva Joined: 20 Apr 2003 Posts: 3495

Also ich habe auf meinem Rooti ausschliesslich Authentifizierung über Keys im Einsatz. Passwort-Auth. ist komplett verboten. Da können die Kiddies bis zum Umfallen Passwort-brute-forcen. Dazu noch knock, damit ist der Port gar nicht erst offen. Kann ich nur empfehlen falls man nur von wenigen Maschinen drauf will, denn auf denen muß man dann den Key und den Knock-Client haben.

sambatasse · Guru Joined: 12 Mar 2004 Posts: 395 Location: bei Berlin

möchte mich schachti anschliessen
auf jeden fall den ssh port ändern und direktes root login verbieten

hatte bei einen meiner root server es auch
leute mit zuviel zeit jagen das ganze abc durch
einechtes problem war das dadurch die logfiles sogut wie nutzlos warn
weil in dem ganzen MB-seiten weise mist nix mehr ordenlich zu arbeiten war

samsonus · Apprentice Joined: 18 Jan 2005 Posts: 225 Location: Siegen

schonmal danke für eure antworten, ich werde mich mal drangeben...