Sammelthread: Wie sichere ich meinen Linux Server ab?

[gimliy]

klitzekleiner hinweis an den netstat-teil (Wie kann ich sehen welche Services offen sind?):

das grep kann man sich sparen, wenn man -l (listen) als option übergibt. (nur) dann sollte man das -a weglassen und gegen -ut (udp, tcp) tauschen. sodass im endeffekt "netstat -tulpn" eleganter und genauso vollständig sein müsste.

[likhary]

Ich kann das Tool fail2ban empfehlen, es überwacht die auth.log und setzt automatisch dynamische IPTables Regeln, falls mehrere Loginversuche registriert werden.

[aproject]

klitzekleiner hinweis an den netstat-teil (Wie kann ich sehen welche Services offen sind?):

das grep kann man sich sparen, wenn man -l (listen) als option übergibt. (nur) dann sollte man das -a weglassen und gegen -ut (udp, tcp) tauschen. sodass im endeffekt "netstat -tulpn" eleganter und genauso vollständig sein müsste.

mal "netstat -tulpen" probiert. Das ist wie ich finde am übersichtlichsten

[kaBOOOM]

Hallo hab mal ne Frage,

Hab bei mir einen Server mit Ubuntu-Server aufgebaut. Dieser dient vorwiegend als File-Server. Als Dienste laufen immoment SMB und OpenSSH. Bis vor kurzem konnte ich problemlos per "ssh user@server" von meinem linux-Laptop oder mit putty von Windows auf den Server zugreifen. Doch neuerdings reagiert der Server nicht mehr richtig.
Wenn ich mich per username und falschem Passwort einloggen will, kommt logischerweise "Access denied". Wenn ich mich jetzt aber mit den richtigen Namen und Passwort einlogge, passiert einfach nix mehr. Nur die prompt blinkt. Sonst kommt immer ne Textseite die den Status des Servers anzeigt. Geb ich jetzt, währned die prompt blinkt, irgendwelche Zahlen oder Buchstaben ein und bestätige mit enter geht die prompt nur ne zeile weiter nach unten und es passiert nix. Geb ich aber jetzt anschließend irgendeinen richtigen Befehl ein (z.b. ls -l) dann kommt nur "Connection to xxx.xxx.xxx.xxx closed".
Das komische ist aber, dass mein gechrooteter SFTP-Server normal funktioniert, deswegen kanns doch eigentlich nicht an Openssh liegen, oder?

[NiclasM]

Hey

reicht das HowTo auf Seite 1 um einen Server relativ gut abzusicheren ?

Aufgabe :
Web Interface per Https
&
SSH zugriff
+
Samba Zugriff im Localen LAN
+
VPN

[foxxx]

Vorschlag:

SSH-Authenticiation komplett auf Key-based umstellen, geht auch von Windows aus mit Putty sowie Puttygen und lässt sich auch in WinSCP einrichten.

Habe das soeben alles erfolgreich eingerichtet und könnte ein kleines Mini-How-to schreiben.

Das macht das ganze noch sicherer, vor allem gegen Dictionary-attacks und wer keinen Key hat, kommt nicht rein

ohne key:
http://www.abload.de/img/sshohnekeyq6ql.png

mit key:
http://www.abload.de/img/sshmitkey1uaj.png

[Neo4096]

warum soll man einen Port über 50000 nehmen, habe jetzt immer Ports zwischen 20000-30000 genommen.

[KuchenKerze]

Von Port 1024 bis 49151 befinden sich die Registered Ports.

http://de.wikipedia.org/wiki/Port_(Protokoll)

Gruß

[Handle]

https://help.ubuntu.com/community/Si...tAuthorization

wow jetzt wirds mal extrem geil

quintessenz?
nach außen hin is kein einziges port offen - garnix
da hört ein daemon auf einem udp port (sendet aber NIE ein paket zurück -> ergo unerkennbar) und wenn ein paket kommt welches richtig aufgebaut ist wird für den client ein port geöffnet
- sowas wie portknocking nur 1000000x besser

Die Methode habe ich soweit verstanden, aber wo ist ein Server in der Praxis einsetzbar, dessen Ports alle zu sind?
Ich nehme an, man müsste dann von Hand wieder einzelne Ports erlauben, oder nicht?
Wie sieht das denn dann zum Beispiel aus, wenn ich den Server updaten will? Der müsste dann etwas aus dem Netz laden, aber incoming traffic wird ja geblockt.

Wenn ich zum Beispiel einen Webserver so absichern will, muss Port 80 ja offen sein (evtl. noch 443 für HTTPS), was dann ja wieder eine potenzielle Sicherheitslücke darstellen würde.
Oder wie kann ich einen Server, der als Gameserver genutzt wird, so absichern?
Über eine Erläuterung, wie man dieses Konzept sinnvoll in der Praxis nutzen kann, wäre ich sehr dankbar Bitte seht mir meine noch eher geringen Kenntnisse im Umgang mit Servern nach.

Eigentlich sollte es ja selbstverständlich sein, aber wäre es nicht evtl. (trotzdem) sinnvoll noch einen Hinweis im Startpost hinzuzufügen, dass man auf seinem Server regelmäßig Updates einspielen sollte? Vielleicht könnte man auch kurz die unterschiedlichen Methoden für die jeweilige Distribution dazu schreiben.

[Nascar]

Prinzipiell ist wie du bereits sagtest jeder offene Port eine Sicherheitslücke. Jedoch nur dann, wenn das Programm welches auf diesen Port lauscht eine Sicherheitslücke aufweist. Bei einem Webserver ist unteranderen darauf zu achten, dass auch die PHP oder sonstigen Applikationen sicher programmiert sind. Ich hab leider tag täglich mit gehackten Systemen zu tun, wo letztendlich die Sicherheitslücke ein PHP Script war.

Um einen Gameserver ab zu sichern, kannst du eigtl nicht viel machen. Ausser den Gameserver nicht als Root laufen zu lassen, nur den nötigsten Dateien/Verzeichnissen write und execute rechte geben. Ggf. halt noch eine statefull Firewall einrichten. Ach und immer brav Updates installieren

---------- Beitrag hinzugefügt um 03:57 ---------- Vorheriger Beitrag war um 03:54 ----------

BTW zum Thema Server Updates bei ausgehend gesperrten Verkehr. Eine Firewall kann man doch schließlich so konfigurieren, dass der Server ausgehen NUR den Update Server auf dem entsprechenden Port erreichen kann. So viel unsicherer wird der Server da durch nicht.

[Autokiller677]

Auch wenn der Fred schon ein wenig eingeschlafen ist, ich hab mal eine Frage für die sich ein eigener Thread nicht lohnt.

Da ich von überall Zugriff auf meine Daten haben möchte, mir ein FTP aber zu unsicher ist und FTPS/SFTP von kaum einem Browser unterstützt wird, hab ich mir folgendes überlegt:

Einen HTTP Server, SSL für alle Verbindungen, Port auf 53000 oder sowas in die Richtung legen.
Die index.html "vergessen" so dass der Server das Verzeichniss anzeigt (dass natürlich in den Config Dateien erlauben).

Dann zu guter letzt beim Zugriff auf diesen Ordner eine Passwortabfrage einbauen.

Ist das relativ sicher?
Oder kann man die Passwort Abfrage bei Apache leicht aushebeln? Ansonsten sollte es ja ungefähr so sicher sein wie FTPS, nur halt das jeder Rechner mit Browser damit klarkommt, was in der Schule ohne Adminrechte praktisch ist, da ich da nicht mal Filezilla vom USB Stick starten kann.

[foxxx]

Klar mit einer .htaccess geht das einfach und unkompliziert.
Sollte grundsätzlich recht gut funktionieren und auch sicher sein

[Autokiller677]

Wunderbar. Direkt mal die VM anwerfen und ausprobieren.
Danke.
Da frag ich mich direkt, weshalb sowas nicht schon lange als Alternative für FTPS empfohlen wird und FTP nicht eindlich zu Grabe getragen wird.

[foxxx]

Weil du per HTTP nichts hochladen kannst, sofern du dir keine Scripte dafür baust

[ulukay]

weils dafuer eh sftp gibt

[Autokiller677]

Ah stimmt. Naja, hochladen muss ich darüber nix.
@ulukay:
Ja SFTP ist eine feine Sache, nur leider unterstützt es kein Browser nativ. Und wenn man dann an einem Rechner sitzt, an dem einem sogar die Rechte zum starten von Filezilla fehlen, bring einem SFTP nix.

[ulukay]

ja gut, das sind schon extrem ungewoehnliche vorraussetzungen

[Autokiller677]

Stimmt nun auch wieder.
Hab es jetzt mal so eingerichtet und läuft alles ganz wunderbar. Geschwindigkeit ist gut, Chroot tuts auch. Perfekt.

[MrDeluxe]

Leider funktioniert der Link http://gentoo-wiki.com/HOWTO_SFTP_Se..._without_shell) nicht mehr. Bitte mal im 1. Post aktualisieren!