Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Debian Server absichern

Frage Linux Debian

Mitglied: xoxyss

xoxyss (Level 1) - Jetzt verbinden

15.07.2014, aktualisiert 13:45 Uhr, 3048 Aufrufe, 15 Kommentare

Hallo zusammen,

ich weiß das Thema ist bestimmt schon mal besprochen worden. Trotzdem würde ich mein Vorhaben gern nochmal
mit erfahreneren Nutzern absprechen, also bitte steinigt mich nicht sofort

Ich würde gern ein paar Dienste meines Debian 7 Server (steh bei mir zu Hause) aus dem Internet erreichbar machen. Ich habe auch schon
ein paar Sachen zusammengetragen, die andere zum Schutz ihres Servers gemacht haben:

/home /var /tmp usw. auf eigene Partition
iptables Firewall einrichten (macht das Sinn wenn der Server bei mir zu Hause hinter ner IPFire steht? Das ist dosch schon ne Paketfirewall die ja schon alle Ports nach außen schließt)
fail2ban installieren/konfigurieren
ssh root login verbieten, normalen User und su benutzen
ssh login mit zertifikat und pw
automatische systemupdates per crontab
rkhunter und chkrootkit regelmäßig per crontab
calmav virenscanner

Dazu kommt dann noch das spezifische Absichern der Dienste, in meinem Fall NGINX, PHP und Mysql.

Was ist sonst noch grundlegend Sinnvoll?

Vielen Dank für eure Hilfe
Grüße xoxyss
Mitglied: Lochkartenstanzer
15.07.2014 um 14:03 Uhr
Zitat von xoxyss:

Hallo zusammen,
Moin,

/home /var /tmp usw. auf eigene Partition

das dient der betriebssicherheit udn nicht der Sicherheit gegenüber den Angreifern.

iptables Firewall einrichten (macht das Sinn wenn der Server bei mir zu Hause hinter ner IPFire steht? Das ist dosch schon ne
Paketfirewall die ja schon alle Ports nach außen schließt)

iptables sollte man imerm draufhaben, für den Fall, daß die Angreifer die anderen Hürden überwunden haben. bei Festungen hatte man früher auch einige Verteidigungslinien.

fail2ban installieren/konfigurieren

jepp

ssh root login verbieten, normalen User und su benutzen

jepp

ssh login mit zertifikat und pw

nur mit passphrasegeschütztem zertifikat und und paßwort-authentifikation abschalten.

automatische systemupdates per crontab

nope. nur sicherheitsrelevante Updates. Alles andere nur manuell.

rkhunter und chkrootkit regelmäßig per crontab

ist o.k.

calmav virenscanner

nunja, kann nciht schaden, aber ncith wirklich notwendig.

Was ist sonst noch grundlegend Sinnvoll?

Logdateien regelmäßig durchschauen, ggf mit logcheck helfen lassen.

lks
Bitte warten ..
Mitglied: xoxyss
15.07.2014 um 14:10 Uhr
Klingt logisch, danke für deine Antwort
Bitte warten ..
Mitglied: Gersen
15.07.2014 um 14:15 Uhr
Hallo,

was mir einfallen würde:

IDS (snort/suricata)
MySQL nur an localhost binden
CHROOT für SSH/NGINX
https://www.debian.org/doc/manuals/securing-debian-howto/

Gruß,
Gersen
Bitte warten ..
Mitglied: xoxyss
15.07.2014 um 14:28 Uhr
Hi,
danke für die Antwort, werde ich mir anschauen.

Kurze Frage zu iptables ich hab gesehen es gibt zwei verschiene Methoden entweder über nen Script oder über ein rule set zum Beispiel /etc/iptables.up.rules gibts da Unterschiede? Was ist denn zu bevorzugen?
Bitte warten ..
Mitglied: Gersen
15.07.2014 um 14:48 Uhr
Ich nutze shorewall zur Konfiguration der iptables - weil ich es für intuitiver halte.

Hier noch ein vielleicht nützlicher Link.
Bitte warten ..
Mitglied: xoxyss
15.07.2014 um 15:05 Uhr
Danke für eure Hilfe. Was haltet ihr denn von folgendem iptables Script: http://wiki.debianforum.de/Einfaches_Firewall-Script
Ist das brauchbar oder eher nicht?

ich habe das Script schon mal Zeile für Zeile durchgeschaut was ich nicht versteh ist:
01.
# Set the nat/mangle/raw tables' chains to ACCEPT 
02.
$IPTABLES -t nat -P PREROUTING ACCEPT 
03.
$IPTABLES -t nat -P OUTPUT ACCEPT 
04.
$IPTABLES -t nat -P POSTROUTING ACCEPT 
05.
  
06.
$IPTABLES -t mangle -P PREROUTING ACCEPT 
07.
$IPTABLES -t mangle -P INPUT ACCEPT 
08.
$IPTABLES -t mangle -P FORWARD ACCEPT 
09.
$IPTABLES -t mangle -P OUTPUT ACCEPT 
10.
$IPTABLES -t mangle -P POSTROUTING ACCEPT
Wozu ist das?
Bitte warten ..
Mitglied: Gersen
15.07.2014 um 15:41 Uhr
Das Skript hat seinen Ursprung (wenn Du den Weg über die Referenz, das Forum zurückverfolgt) hier. Da ist auch etwas mehr kommentiert.
Bitte warten ..
Mitglied: K-ist-K
23.07.2014 um 12:45 Uhr
Diese Tipps und Ratschläge sind alle sehr gut.

Ist diese Linux Maschine Virtuell ?

Will nur darauf hinaus, nicht das deine Linux Maschine dann extrem gut abgesichert ist
und dein Rechner wo die Maschine dann virtuell läuft nicht.

Lg
Bitte warten ..
Mitglied: xoxyss
23.07.2014 um 13:03 Uhr
Hey,

danke für deine Antwort. Ja der Server läuft virtuell auf einem Hyper-V.
Gibts denn da noch was was man tun kann?
Bitte warten ..
Mitglied: K-ist-K
23.07.2014 um 13:12 Uhr
Wenn der Server virtuell ist,
solltest du halt drauf achten das nicht dein Hostsystem (Windows) unsicher ist.

Welcher Art von Hyper-V benutzt du ?
Hyper-V Rolle auf einen Server/Client

Oder hast du einen Hyper-V Server laufen (keine GUI)
Bitte warten ..
Mitglied: xoxyss
23.07.2014 um 13:19 Uhr
Windows Server 2012 mit Hyper-V Rolle GUI ist ausgeschalten
Bitte warten ..
Mitglied: K-ist-K
23.07.2014 um 13:33 Uhr
Also du hast einen Server 2012 und du hast die Rolle Hyper-V installiert.
Was ich nicht verstehe ist was meinst du mit keine GUI ?

Ist aber auch egal.
Wichtig ist nur das auch der Server 2012 gesichert ist.
Da man ja sonst im schlimmsten Fall auf dem Server kommen könnte.

Und da dort das virtuelle Linux läuft ist es angreifbar.
Ist der Server von außen erreichbar ?

Oder gibt es andere Windows/Linux Maschinen die von außen erreichbar sind ?
Bitte warten ..
Mitglied: xoxyss
23.07.2014 um 14:05 Uhr
Man kann unter Windows 2012 die grafische Oberfläche jederzeit aktivieren/deaktivieren um z.B. Performance zu sparen.

Der Hyper-V Host an sich ist von Außen nicht erreichbar. Alles was von außen erreichbar ist, befindet sich in einer DMZ (über ne IPFire).
Ich weiß man sollte nicht unbedingt LAN und DMZ auf dem selben Host virtualisieren...
Bitte warten ..
Mitglied: K-ist-K
23.07.2014 um 14:23 Uhr
Es war von meiner Seite aus nur ein Hinweiß.

Es ist eh eigentlich eher unwahrscheinlich das ein Angreifer
über andere Systeme auf ein System zugreifen wo virtualisiert wird
um auf eine virtuelle Maschine zuzugreifen.

Aber ich wollte halt drauf hinweißen.

Lg
Bitte warten ..
Mitglied: xoxyss
23.07.2014, aktualisiert um 14:57 Uhr
Ist ja auch nett von dir

Ich wollte nur dagen, dass ich schon gelesen habe das es nicht wirklich optimal ist, ich bin aber der Meinung das man bei einem Heimnetzwerk auch die Kirche im Dorf lassen kann.

Ich werde die Server die direkt aus dem Internet erreichbar sind weiter optimieren das sollte dann vorerst langen. Dann ist da ja auch noch die DMZ die zu überwinden wäre. Das Angriffsszenario das aus einem VM-Container ausgebrochen wird wir werde ich vernachlässigen.
Bitte warten ..
Neuester Wissensbeitrag
Windows 10

Powershell 5 BSOD

(8)

Tipp von agowa338 zum Thema Windows 10 ...

Ähnliche Inhalte
Ubuntu
NTP Server Absichern (Ubuntu) (1)

Frage von Reinartz zum Thema Ubuntu ...

Debian
Debian 8.6 Absichern? (12)

Frage von Motte990 zum Thema Debian ...

Linux Netzwerk
VPN Server mit Drosselung Linux Debian basiert (4)

Frage von Niklas434 zum Thema Linux Netzwerk ...

Virtualisierung
Server virtualisieren Debian vs. ESXI 6.0 (4)

Frage von quicky zum Thema Virtualisierung ...

Heiß diskutierte Inhalte
Microsoft
Ordner mit LW-Buchstaben versehen und benennen (21)

Frage von Xaero1982 zum Thema Microsoft ...

Netzwerkmanagement
gelöst Anregungen, kleiner Betrieb, IT-Umgebung (18)

Frage von Unwichtig zum Thema Netzwerkmanagement ...

Festplatten, SSD, Raid
M.2 SSD wird nicht erkannt (14)

Frage von uridium69 zum Thema Festplatten, SSD, Raid ...

Windows Update
Treiberinstallation durch Windows Update läßt sich nicht verhindern (14)

Frage von liquidbase zum Thema Windows Update ...