Server sicher machen - so geht's!
Mal ein Tutorial für Unsere Coder anfänger ...
Es ist wie gesagt nur ein Beispiel und es geht auch noch besser .. aber es soll ja auch jeder verstehen können ... Da ich selbst nur mit SuSE und Debian arbeite, schließe ich Fehler nicht aus, und bin über Korrekturen dankbar! Das Tutorial ist extra einfach gehalten, damit es auch jeder ***** soweit versteht ;o) Dieses Tutorial bezieht sich nur auf LINUX Systeme! ------------------------------------------------------------- 1. System updaten Sehr wichtig: als erstes das System updaten. Auch wenn Ihr eine Vorinstallation vom Provider habt, die aktualisieren ihr Template nicht alle 2 Wochen, sondern etwa alle 2 Monate, wenn überhaupt. Deswegen, updaten! Sofort! Wie das geht, ist von Distribution ("Marke" des Linux Systems) unterschiedlich, bei
Damit kein Scriptkiddie über SSH Euer root Passwort knackt, solltet Ihr von vorneherein den Login mit root über SSH verbieten. Folgende Schritte ausführen:
su - könnt Ihr zum root-Benutzer wechseln, dabei müsst Ihr dann natürlich das Root-Passwort eingeben! 3. SSH gegen Angriffe absichern, Teil B: Auf Protokoll 2 umsteigen In der Datei sshd_config (meist unter /etc/ssh) folgende Zeile ändern (wenn Euer Provider das nicht gemacht hat): Protocol 1wird zu Protocol 24. SSH gegen Angriffe absichern, Teil C: Nach X Versuchen bannen Am besten aussortieren, wenn der jenige gerade angreift, deswegen sowas wie fail2ban installieren. 302 Found Hier eine Installationsanleitung: MANUAL 0 8 - Fail2ban 5. Ports absichern Die Firewall sollte so konfiguriert sein, dass nur die Ports offen sind, die Du brauchst, d.h. alles sperren außer SSH, FTP, Web, POP/SMTP Ports. Am besten geht das bei vServern (wenn Euer Provider Virtuozzo verwendet) über die Virtuozzo Firewall. Dort haben sie Euch einige Konfigurationen vorgegeben, einfach erstmal die Standardumgebung nehmen und unter "Regel hinzufügen" / "Regel entfernen" die Ports freigeben, die gebraucht werden. Unter Virtuozzo sind die dann auch schön beschriftet mit "Web server" und "SSH login" usw. Ansonsten: Klassisch per iptables. 6. "Sicherheitssoftware" installieren Da gibt es einige Softwares, ich selbst mag chkrootkit, rkhunter und clamAV ganz gerne, deswegen rede ich jetzt mal über die ;-) Mit chkrootkit und rkhunter könnt Ihr prüfen, ob jemand in Eurem System Software installiert hat, mit denen man den Server steuern kann. Das funktioniert ähnlich wie ein Trojaner. Mehr dazu in der Wikipedia: Rootkit – Wikipedia Unter Debian z.B. wird das so installiert: apt-get install chkrootkit apt-get install rkhunter ClamAV ist ein kostenloser Virenscanner, den einzurichten ist etwas "kniffliger" für Unwissende und würde den Rahmen dieses Tutorials sprengen. ClamAV gibts bei www.clamav.org 7. Die Programme am besten per Cronjob ausführen Das sichert einfach, dass Ihr so früh wie möglich von einer Infektion erfahrt und reagieren könnt. Ich habe selbst ein kleines Shell Script zusammengebastelt, welches Ihr gerne benutzen dürft. Es führt ClamAV aus (der dann die Verzeichnisse /root, /home und /tmp scannt), chkrootkit und rkhunter -- und mailt Euch dann die Logfiles. --> E-Mail Adresse ersetzen, und ggf. die Logfile Pfade ändern. Der Ordner muss exisitieren, die Dateien selbst werden dann erstellt, wenn das Script ausgeführt wird (nach Datum sortiert). Code:
#!/bin/sh crontab -e Im folgenden Fenster dann eingeben: 0 3 * * * /pfad/zur/datei/checkrootkit.sh (/pfad/zur/datei natürlich ersetzen!) Dann wird das Script morgens um 3 Uhr täglich ausgeführt. Wem das mit dem ClamAV Scan zu lange dauert, der kann das auch einfach rausnehmen. Ich mache es einfach, die Ressourcen opfere ich gerne. --> nicht vergessen, dass ClamAV sich über freshclam auch regelmäßig updated, sonst ist das für die Wurst <-- 8. Software aktuell halten! Scripte sicher halten! Gerade bei Services, wie dem Apache oder postfix ist es SEHR wichtig, dass die Programme aktuell sind, damit Sicherheitslücken geschlossen werden. Vergesst nicht: Bei allem Blabla das wir über SSH gemacht haben, das selbe gilt auch für den FTP service: Wenn der unsicher ist, ist der Angreifer auch schnell drinnen. Die meisten Vorinstallationen der Provider sind aber relativ gut, sodass die Services vernünftig konfiguriert sein sollten (!), aber bei einem frisch (vor)installierten System immer erstmal in die Konfiguration schauen und versuchen, das nachzuvollziehen, denn nur dann seid Ihr wirklich sicher: Wenn Ihr es VERSTEHT. Selbes gilt auch für Scripte, z.B. php-Script Eurer Webseite. SQL Injections und Fremdcode sind nur zwei Gefahren. Achtet also darauf, dass Ihr sauber programmiert, alle Benutzereingaben abfangt und ggf. von Schadcode bereinigt. Am besten ein Security-Script einbauen (z.B. über prepend_file in der php.ini), das sicher dann nochmal ab. Kann ja nix schaden. --- Mir persönlich reicht das erstmal, wenn Ihr Verbesserungen habt, nehme ich die gerne an, dann erweitern wir das. Der Server wird auch dadurch nicht 100% sicher sein, aber er ist sicherer, als vorher. Das ersetzt auch nicht regelmäßige Updates (s. Punkt 1!!)!! Ich schreibe das hier einfach, weil ich es leid bin, dass einfach nur gemeckert wird "Scriptkiddies, es ist wieder Ferienzeit usw usf", anstatt was dagegen zu machen. Durch solche gehackten Server fließt viel Spam, und ich denke: Kündigen werden die ihren Server eh nicht, deswegen lieber dafür sorgen, dass sie es besser machen. |
zwar schon älter hier aber man sollte auch den ersteller erwähnen:
19.11.2007 15:47 Wenext aus mainz orginal url darf ja nicht posten |
|
Kleiner Beitrag zur Ergänzung der security: PORTKNOCKING - A system for stealthy authentication across closed ports. : ABOUT : summary
|
Interessanter ist da der Honeypot....schon allein weil man die möchte gern ******* geil verarschen kann..
Sie sehen etwas was aber nicht da ist oder besser sie sehen ihren eignen Scann vom PC und schnallen es nicht..:D |
Auch im Zusammenhang mit der Verfolgung von Urheberrechtsverletzungen taucht manchmal der Begriff „Honeypot“ auf. In diesem Fall werden urheberrechtlich geschützte Werke von Organisationen wie der Gesellschaft zur Verfolgung von Urheberrechtsverletzungen (GVU) angeboten, um unvorsichtige Erwerber oder Anbieter über Filesharing zu fassen
|
Zitat:
Genau meine Rede:D |
Alle Zeitangaben in WEZ +1. Es ist jetzt 13:30 Uhr. |
Powered by vBulletin® Version 3.8.9 (Deutsch)
Copyright ©2000 - 2024, vBulletin Solutions, Inc.