Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

gelöst Debian Server absichern

Mitglied: xoxyss

xoxyss (Level 1) - Jetzt verbinden

15.07.2014, aktualisiert 13:45 Uhr, 3247 Aufrufe, 15 Kommentare

Hallo zusammen,

ich weiß das Thema ist bestimmt schon mal besprochen worden. Trotzdem würde ich mein Vorhaben gern nochmal
mit erfahreneren Nutzern absprechen, also bitte steinigt mich nicht sofort

Ich würde gern ein paar Dienste meines Debian 7 Server (steh bei mir zu Hause) aus dem Internet erreichbar machen. Ich habe auch schon
ein paar Sachen zusammengetragen, die andere zum Schutz ihres Servers gemacht haben:

/home /var /tmp usw. auf eigene Partition
iptables Firewall einrichten (macht das Sinn wenn der Server bei mir zu Hause hinter ner IPFire steht? Das ist dosch schon ne Paketfirewall die ja schon alle Ports nach außen schließt)
fail2ban installieren/konfigurieren
ssh root login verbieten, normalen User und su benutzen
ssh login mit zertifikat und pw
automatische systemupdates per crontab
rkhunter und chkrootkit regelmäßig per crontab
calmav virenscanner

Dazu kommt dann noch das spezifische Absichern der Dienste, in meinem Fall NGINX, PHP und Mysql.

Was ist sonst noch grundlegend Sinnvoll?

Vielen Dank für eure Hilfe
Grüße xoxyss
Mitglied: Lochkartenstanzer
15.07.2014 um 14:03 Uhr
Zitat von xoxyss:

Hallo zusammen,
Moin,

/home /var /tmp usw. auf eigene Partition

das dient der betriebssicherheit udn nicht der Sicherheit gegenüber den Angreifern.

iptables Firewall einrichten (macht das Sinn wenn der Server bei mir zu Hause hinter ner IPFire steht? Das ist dosch schon ne
Paketfirewall die ja schon alle Ports nach außen schließt)

iptables sollte man imerm draufhaben, für den Fall, daß die Angreifer die anderen Hürden überwunden haben. bei Festungen hatte man früher auch einige Verteidigungslinien.

fail2ban installieren/konfigurieren

jepp

ssh root login verbieten, normalen User und su benutzen

jepp

ssh login mit zertifikat und pw

nur mit passphrasegeschütztem zertifikat und und paßwort-authentifikation abschalten.

automatische systemupdates per crontab

nope. nur sicherheitsrelevante Updates. Alles andere nur manuell.

rkhunter und chkrootkit regelmäßig per crontab

ist o.k.

calmav virenscanner

nunja, kann nciht schaden, aber ncith wirklich notwendig.

Was ist sonst noch grundlegend Sinnvoll?

Logdateien regelmäßig durchschauen, ggf mit logcheck helfen lassen.

lks
Bitte warten ..
Mitglied: xoxyss
15.07.2014 um 14:10 Uhr
Klingt logisch, danke für deine Antwort
Bitte warten ..
Mitglied: Gersen
15.07.2014 um 14:15 Uhr
Hallo,

was mir einfallen würde:

IDS (snort/suricata)
MySQL nur an localhost binden
CHROOT für SSH/NGINX
https://www.debian.org/doc/manuals/securing-debian-howto/

Gruß,
Gersen
Bitte warten ..
Mitglied: xoxyss
15.07.2014 um 14:28 Uhr
Hi,
danke für die Antwort, werde ich mir anschauen.

Kurze Frage zu iptables ich hab gesehen es gibt zwei verschiene Methoden entweder über nen Script oder über ein rule set zum Beispiel /etc/iptables.up.rules gibts da Unterschiede? Was ist denn zu bevorzugen?
Bitte warten ..
Mitglied: Gersen
15.07.2014 um 14:48 Uhr
Ich nutze shorewall zur Konfiguration der iptables - weil ich es für intuitiver halte.

Hier noch ein vielleicht nützlicher Link.
Bitte warten ..
Mitglied: xoxyss
15.07.2014 um 15:05 Uhr
Danke für eure Hilfe. Was haltet ihr denn von folgendem iptables Script: http://wiki.debianforum.de/Einfaches_Firewall-Script
Ist das brauchbar oder eher nicht?

ich habe das Script schon mal Zeile für Zeile durchgeschaut was ich nicht versteh ist:
01.
# Set the nat/mangle/raw tables' chains to ACCEPT 
02.
$IPTABLES -t nat -P PREROUTING ACCEPT 
03.
$IPTABLES -t nat -P OUTPUT ACCEPT 
04.
$IPTABLES -t nat -P POSTROUTING ACCEPT 
05.
  
06.
$IPTABLES -t mangle -P PREROUTING ACCEPT 
07.
$IPTABLES -t mangle -P INPUT ACCEPT 
08.
$IPTABLES -t mangle -P FORWARD ACCEPT 
09.
$IPTABLES -t mangle -P OUTPUT ACCEPT 
10.
$IPTABLES -t mangle -P POSTROUTING ACCEPT
Wozu ist das?
Bitte warten ..
Mitglied: Gersen
15.07.2014 um 15:41 Uhr
Das Skript hat seinen Ursprung (wenn Du den Weg über die Referenz, das Forum zurückverfolgt) hier. Da ist auch etwas mehr kommentiert.
Bitte warten ..
Mitglied: K-ist-K
23.07.2014 um 12:45 Uhr
Diese Tipps und Ratschläge sind alle sehr gut.

Ist diese Linux Maschine Virtuell ?

Will nur darauf hinaus, nicht das deine Linux Maschine dann extrem gut abgesichert ist
und dein Rechner wo die Maschine dann virtuell läuft nicht.

Lg
Bitte warten ..
Mitglied: xoxyss
23.07.2014 um 13:03 Uhr
Hey,

danke für deine Antwort. Ja der Server läuft virtuell auf einem Hyper-V.
Gibts denn da noch was was man tun kann?
Bitte warten ..
Mitglied: K-ist-K
23.07.2014 um 13:12 Uhr
Wenn der Server virtuell ist,
solltest du halt drauf achten das nicht dein Hostsystem (Windows) unsicher ist.

Welcher Art von Hyper-V benutzt du ?
Hyper-V Rolle auf einen Server/Client

Oder hast du einen Hyper-V Server laufen (keine GUI)
Bitte warten ..
Mitglied: xoxyss
23.07.2014 um 13:19 Uhr
Windows Server 2012 mit Hyper-V Rolle GUI ist ausgeschalten
Bitte warten ..
Mitglied: K-ist-K
23.07.2014 um 13:33 Uhr
Also du hast einen Server 2012 und du hast die Rolle Hyper-V installiert.
Was ich nicht verstehe ist was meinst du mit keine GUI ?

Ist aber auch egal.
Wichtig ist nur das auch der Server 2012 gesichert ist.
Da man ja sonst im schlimmsten Fall auf dem Server kommen könnte.

Und da dort das virtuelle Linux läuft ist es angreifbar.
Ist der Server von außen erreichbar ?

Oder gibt es andere Windows/Linux Maschinen die von außen erreichbar sind ?
Bitte warten ..
Mitglied: xoxyss
23.07.2014 um 14:05 Uhr
Man kann unter Windows 2012 die grafische Oberfläche jederzeit aktivieren/deaktivieren um z.B. Performance zu sparen.

Der Hyper-V Host an sich ist von Außen nicht erreichbar. Alles was von außen erreichbar ist, befindet sich in einer DMZ (über ne IPFire).
Ich weiß man sollte nicht unbedingt LAN und DMZ auf dem selben Host virtualisieren...
Bitte warten ..
Mitglied: K-ist-K
23.07.2014 um 14:23 Uhr
Es war von meiner Seite aus nur ein Hinweiß.

Es ist eh eigentlich eher unwahrscheinlich das ein Angreifer
über andere Systeme auf ein System zugreifen wo virtualisiert wird
um auf eine virtuelle Maschine zuzugreifen.

Aber ich wollte halt drauf hinweißen.

Lg
Bitte warten ..
Mitglied: xoxyss
23.07.2014, aktualisiert um 14:57 Uhr
Ist ja auch nett von dir

Ich wollte nur dagen, dass ich schon gelesen habe das es nicht wirklich optimal ist, ich bin aber der Meinung das man bei einem Heimnetzwerk auch die Kirche im Dorf lassen kann.

Ich werde die Server die direkt aus dem Internet erreichbar sind weiter optimieren das sollte dann vorerst langen. Dann ist da ja auch noch die DMZ die zu überwinden wäre. Das Angriffsszenario das aus einem VM-Container ausgebrochen wird wir werde ich vernachlässigen.
Bitte warten ..
Ähnliche Inhalte
Debian
Debian 8.6 Absichern?
Frage von Motte990Debian14 Kommentare

Hallo Leute zurzeit befasse ich mit Debian 8.6 in einer Vmware Umgebung. Zum Einsatz kommen Debian 8.6 mit apache2 ...

Apache Server
Apache Server absichern
gelöst Frage von atomiqueApache Server6 Kommentare

Guten Tag zusammen! ich beschäftige mich nun schon eine kleine Weile mit dem Thema Apache Webserver. Meine Testumgebung ist ...

Linux Netzwerk
Server mit iptables absichern
gelöst Frage von lasterLinux Netzwerk9 Kommentare

Hallo, möchte einen Ubuntuserver von den anderen Geräten im LAN abschotten. Der Server soll/muss vom Internet aus erreichbar sein ...

Ubuntu
NTP Server Absichern (Ubuntu)
Frage von ReinartzUbuntu1 Kommentar

Hallo Gemeinde, ich muss für ein sudentisches Projekt (Gruppenarbeit ) einen NTP Server bereitstellen. Der Server läuft auch problemlos ...

Neue Wissensbeiträge
Vmware
VMware Update für den ESXi 5.5 verfügbar
Information von sabines vor 14 StundenVmware

Nach dem ganzen Hickhack um Update mit Microcode Anpassungen und Rückzug, gibt es nun für den ESXi 5.5 ein ...

CPU, RAM, Mainboards

Meltdown und Spectre: Intel zieht Microcode-Updates für Prozessoren zurück

Information von keine-ahnung vor 18 StundenCPU, RAM, Mainboards5 Kommentare

Moin, extrem lutztig. Nur gut, dass ich noch nicht beim Probanden-Bingo mitgemacht habe :-) LG, Thomas

Router & Routing
PfSense als Addon auf QNAP
Information von magicteddy vor 1 TagRouter & Routing7 Kommentare

Moin, für Spielereien eine ganz nette Idee aber ich fürchte das soetwas auch als echte Firewall genutzt wird: In ...

Datenschutz

Teamviewer kommt für IoT-Geräte wie den Raspberry Pi

Information von magicteddy vor 1 TagDatenschutz1 Kommentar

Moin, jetzt werden IoT Geräte endgültig zur Wanze? Anscheinend kann man auf einem Dashboard seine Geräte visualisieren Ich stelle ...

Heiß diskutierte Inhalte
Netzwerkmanagement
Preis für Wartungsvertrag ok?
gelöst Frage von a-za-zNetzwerkmanagement26 Kommentare

Hallo! Mal ne Frage, weil ich mich mit dem akzeptablen Preis für einen Reaktionszeitvertrag nicht auskenne. Meine Firma hat ...

Windows Server
TEMP-Profile
gelöst Frage von Forseti2003Windows Server21 Kommentare

Guten Morgen, wer kennt sie nicht, die lieben Temporären Benutzerprofile, vorallem immer dann, wenn man sie am wenigsten braucht. ...

Multimedia & Zubehör
Welches Tablet für die Verkäufer?
Frage von Hendrik2586Multimedia & Zubehör15 Kommentare

Guten Morgen meine Lieben, vielleicht könnt ihr mir ja helfen. Es geht um unsere Außendienstmitarbeiter /Verkäufer. Sie sollen demnächst ...

Ubuntu
Ubuntu - Routing mit 2 Netzwerkkarten?
Frage von gabrixlUbuntu13 Kommentare

Hei Folgende Situation: Ich habe zwei virtuelle Maschinen: 1 - Server für DHCP, DNS und Routing - Netzwerkkarte 1: ...