Debian Server sicher machen?

Tojama · 22.01.2010, 20:38

Hallo,
ich bin gerade dabei meinen Linux Debian Server etwas sicherer zu machen.

Jetzt wollte ich Fragen was man tun kann um einen Server sogut wie möglich Aufzubauen das es kaum Chancen gibt diesen zu Hacken.

Folgendes habe ich bereits erledigt.
- Root Standart Passwort geändert
- Neuen Benutzer erstellt (su)
- Root benutzer gesperrt
- Port geändert (Standart "22" - Jetzt 4. Stelligen Port)

Dazu wollte ich noch Fragen ob dieser BEfehl Pflicht ist um einen Root wirlich einen Tick sicherer zu machen.
Und zwar hatt mir ein Freund folgendes geraten.

1.

Zitat:

ich würd an deiner stelle noch
echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_all
xxx: wenn du
ping pooqo.de
machst.. kommt nix zurück
xxx: also quasi ist dein Server für Pings nicht erreichbar
xxx: das hat einen sehr einfachen Grund, warum man das abschalten sollte:
Scriptkiddies (die durchaus auch Schaden anrichten könnten), benutzen häufig Portscanner um deinen ssh Port rauszufinden...
und viele der Portscanner überprüfen vorher mit einem Ping, ob der Server überhaupt erreichbar ist.. und wenn sie nix zurück kriegen, hören sie auf => bekommen Scriptkiddies deinen SSH Port nicht raus

2.

Zitat:

xxx: hast du ServerTokens auf Minimal gestellt?
xxx: nein, hassu nich
xxx: /etc/apache2/conf.d/security
ServerTokens Minimal
xxx: und danach apache restarten
xxx: zur Zeit gibt dein Header bei dem Websiteaufruf folgendes im Header zurück (Original von deinem Server):
Server: Apache/2.2.9 (Debian) PHP/5.2.6-1+lenny4 with Suhosin-Patch mod_ssl/2.2.9 OpenSSL/0.9.8g

nach der Umstellung wird er nur noch folgendes zurückgeben:
Server: Apache/2.2.9
xxx: man kann glaube ich auch noch Prod einstellen
xxx: dann ständ da nur Apache
xxx: das hat den Sinn, dass man möglichst wenig über das installierte System bekannt geben darf.. je mehr der Hacker weiß, desto gezielter kann er nach schwachstellen suchen

Was haltet ihr davon?
Würde es sich Lohnen?

Mit freundlichen Grüßen,
Tobias Geimer.

FloB · 22.01.2010, 23:43

Den Server für Pings nicht erreichbar machen ist sinnlos. Das Protokoll ist absolut harmlos und hat auch seinen Sinn. Es kann einfach sein, dass eine Seite auf dem Server nicht mehr aufgerufen werden kann, da die Ping fehlschlägt.

Sicher machst du den Server dadurch, dass du immer die aktuellen Updates installierst hast und so wenig Angriffsvektoren wie möglich zulässt, d. h.: Was an Programmen nicht benötigt wird, fliegt runter, Passwörter haben eine entsprechende Stärke, es werden Remote-Logins nur für wenige wichtige Nutzer erlaubt, Standardeinstellungen (wenn du weißt, was sie bewirken) modifiziert (also Ports usw. – allerdings bringt das nur eine scheinbare Sicherheit, sobald jemand den neuen Port identifiziert hat, ist man so sicher wie vorher … das hält also nur schlechte Scriptkiddies ab).

Ben · 23.01.2010, 02:07

Ich habe keine Ahnung von Debian, aber wenn ich an deiner Stelle wäre, würde ich mich u.A. an diesen Stellen sachkundig machen. :)

- Debian -- Security Information
- Securing Debian Manual
- Debian Linux Server Security Checklist : Support : ServePath
- Linux: Systemsicherheit unter Debian GNU/Linux, Teil 1 | TecChannel.de

Über die Qualität der Inhalte kann ich jetzt nichts sagen.

Suchbegriff: Debian Server Security

Jann Hendrik · 23.01.2010, 11:56

Wenn du schon user anlegst, dann solltest du auch dem user root den direkten login verweigern.
Also erst per normaler user anmelden, dann zu root machen (sofern notwendig).

Dreamdancer · 23.01.2010, 15:17

Also eigentlich gilt der Grundsatz: "No security by obscurity." - Keine Sicherheit durch verbergen von Informationen. Das hat aber den Sinn, dass man im Kopf behält, dass es eben nicht absolut sicher ist, keinen Ping zuzulassen, aber wie Dein Freund schon sagt: Gegen diverse Kiddie-Angriffe hilft es. Denn auf der anderen Seite gilt: Alles, was der Angreifer über Dich herausfinden kann, Versionen von Programmen, welches OS aufgespielt ist etc. kann er ja für seinen Angriff verwenden.

Jojo · 24.01.2010, 02:57

@Jann
Ich glaub, das hat er mit "Root Benutzer gesperrt" gemeint.

Ansonsten:

Halte dein System immer auf den neusten Stand. (Mach es dir zum Ritual mind. einmal täglich ein update laufen zu lassen, damit kommst du garnicht in die Versuchung, es hängen zu lassen)
keine Standard-Usernamen wie "bob", "user", "marc", etc. nehmen, wenn dein Vorname ein geläufiger ist, ist auch davon abzuraten, du glaubst nicht, was mir schon teilweise an Vornamen (durchaus auch deutschen) durch die Logs gerauscht ist.
Nutze Sichere Passworte. Du kannst auch deinen SSH-Login dahingehend upgraden, dass du dich per Zertifikat enmeldest
Wie schon gesagt: Möglichst nur die Software installieren/auf der Box laufen lassen, die du auch wirklich benötigst
Wenn du Dienste laufen hast, auf die du nur lokal zugreifst, dann gibt es keinen Grund, sie fürs gesamte Netz zugänglich zu machen. Die meisten Programme haben entsprechende Einstellungen. Für MySQL bspw. ist das der Standard-Mode IIRC
Programme sollten nach Möglichkeit nicht unter root laufen! Es ist besser, wenn diese unter eigenen Usern laufen. Bspw. apache unter www-data o.ä. Damit wird die Ausführung von Schadcode - sei es durch einen Bug im Programm oder im User-Code erheblich erschwert.
Wenn du einen Apache mit PHP betreibst, kannst du mit der Direktive open_basedir bspw. in der php.ini verhindern, dass Usercode auf Bereiche zugreifen kann, in denen er nichts verloren hat.
Mir persönlich verschafft es immer ein sicheres Gefühl, wenn die Dienste, die nicht zusammengehören auch nicht im gleichen Subsystem laufen. Das kannst du entweder mit chroots oder - wenn du die Möglichkeit hast - mit Virtualisierungslösungen, wie bspw. XEN erreichen. So hast du im Worst-Case - wenn ein Angreifer dein System übernommen hat, immer noch Zugriff auf dein Host-System (Dom0) und kannst das entsprechende Subsystem schnell vom Netz nehmen, ohne ins UI deines Hosters zu müssen. Zudem erhält der Angreifer nur Zugang zu einem Teil deines Systems und deiner Daten. Ein weiterer Vorteil von Virtualisierungslösungen ist, dass nicht das ganze System zwangsläufig hängt, wenn eines der Gastsysteme aus irgendwelchen Gründen überlastet ist.
Für ganz paranoide empfiehlt es sich, mal einen Blick auf SELinux zu werfen. Damit kann man z.B. selbst root bestimmte Dinge verbieten. Allerdings ist es sehr komplex.

Joah, soweit fällt mir sonst nichts mehr ein, was nicht schon gesagt wurde...
Ach ja, ab und zu ein Blick in die logs und ein Blick auf die verbrauchten Systemressourcen kann auch nicht schaden. Meist ist es zwar dann zu spät, aber man kann zumind. weiteren Schaden anwenden...

//Edit: Natürlich ist es auch wichtig, ein Auge auf aktuelle Sicherheitsmeldungen zu haben. Sei es über einen RSS-Feed oder über Twitter: debian_security

23.01.2010, 02:07	Nach oben #3
Ben Erfahrener Benutzer Registriert seit: 02.12.2004 Ort: Koblenz Beiträge: 4.794	Ich habe keine Ahnung von Debian, aber wenn ich an deiner Stelle wäre, würde ich mich u.A. an diesen Stellen sachkundig machen. :) - Debian -- Security Information - Securing Debian Manual - Debian Linux Server Security Checklist : Support : ServePath - Linux: Systemsicherheit unter Debian GNU/Linux, Teil 1 \| TecChannel.de Über die Qualität der Inhalte kann ich jetzt nichts sagen. Suchbegriff: Debian Server Security __________________ Mehr TuS Koblenz geht nicht ... - TuS Koblenz Forum ... Benjamin Klaile ist noch in der Aufwärmphase

23.01.2010, 11:56	Nach oben #4
Jann Hendrik Jann Hendrik Bekaan Registriert seit: 02.12.2004 Ort: Wildeshausen Beiträge: 3.198	Wenn du schon user anlegst, dann solltest du auch dem user root den direkten login verweigern. Also erst per normaler user anmelden, dann zu root machen (sofern notwendig). __________________ Umfragen: bitte beachten: Vorschläge für künftige Umfragen Woher weißt du vom developers-guide? Wenn du dich in ein interessantes Thema eingearbeitet hast, dann lass andere daran teilhaben! Schreibe ein Tutorial und beschreibe, wie es geht, was nicht klappt, wo man aufpassen muss usw. Danke!

24.01.2010, 02:57	Nach oben #6
Jojo Johannes Schlichenmaier Registriert seit: 26.08.2005 Ort: Karlsruhe Beiträge: 485	@Jann Ich glaub, das hat er mit "Root Benutzer gesperrt" gemeint. Ansonsten: Halte dein System immer auf den neusten Stand. (Mach es dir zum Ritual mind. einmal täglich ein update laufen zu lassen, damit kommst du garnicht in die Versuchung, es hängen zu lassen) keine Standard-Usernamen wie "bob", "user", "marc", etc. nehmen, wenn dein Vorname ein geläufiger ist, ist auch davon abzuraten, du glaubst nicht, was mir schon teilweise an Vornamen (durchaus auch deutschen) durch die Logs gerauscht ist. Nutze Sichere Passworte. Du kannst auch deinen SSH-Login dahingehend upgraden, dass du dich per Zertifikat enmeldest Wie schon gesagt: Möglichst nur die Software installieren/auf der Box laufen lassen, die du auch wirklich benötigst Wenn du Dienste laufen hast, auf die du nur lokal zugreifst, dann gibt es keinen Grund, sie fürs gesamte Netz zugänglich zu machen. Die meisten Programme haben entsprechende Einstellungen. Für MySQL bspw. ist das der Standard-Mode IIRC Programme sollten nach Möglichkeit nicht unter root laufen! Es ist besser, wenn diese unter eigenen Usern laufen. Bspw. apache unter www-data o.ä. Damit wird die Ausführung von Schadcode - sei es durch einen Bug im Programm oder im User-Code erheblich erschwert. Wenn du einen Apache mit PHP betreibst, kannst du mit der Direktive open_basedir bspw. in der php.ini verhindern, dass Usercode auf Bereiche zugreifen kann, in denen er nichts verloren hat. Mir persönlich verschafft es immer ein sicheres Gefühl, wenn die Dienste, die nicht zusammengehören auch nicht im gleichen Subsystem laufen. Das kannst du entweder mit chroots oder - wenn du die Möglichkeit hast - mit Virtualisierungslösungen, wie bspw. XEN erreichen. So hast du im Worst-Case - wenn ein Angreifer dein System übernommen hat, immer noch Zugriff auf dein Host-System (Dom0) und kannst das entsprechende Subsystem schnell vom Netz nehmen, ohne ins UI deines Hosters zu müssen. Zudem erhält der Angreifer nur Zugang zu einem Teil deines Systems und deiner Daten. Ein weiterer Vorteil von Virtualisierungslösungen ist, dass nicht das ganze System zwangsläufig hängt, wenn eines der Gastsysteme aus irgendwelchen Gründen überlastet ist. Für ganz paranoide empfiehlt es sich, mal einen Blick auf SELinux zu werfen. Damit kann man z.B. selbst root bestimmte Dinge verbieten. Allerdings ist es sehr komplex. Joah, soweit fällt mir sonst nichts mehr ein, was nicht schon gesagt wurde... Ach ja, ab und zu ein Blick in die logs und ein Blick auf die verbrauchten Systemressourcen kann auch nicht schaden. Meist ist es zwar dann zu spät, aber man kann zumind. weiteren Schaden anwenden... //Edit: Natürlich ist es auch wichtig, ein Auge auf aktuelle Sicherheitsmeldungen zu haben. Sei es über einen RSS-Feed oder über Twitter: debian_security __________________ In the beginning was the word and the word was content-type: plain/text heute code ich, morgen debug ich und uebermorgen cast ich die koenigin auf int Geändert von Jojo (24.01.2010 um 03:08 Uhr)

Themen-Optionen	Thema durchsuchen
Druckbare Version zeigen Jemanden per E-Mail auf dieses Thema hinweisen	Thema durchsuchen: Erweiterte Suche

Ähnliche Themen
Thema	Autor	Forum	Antworten	Letzter Beitrag
Welchen Application Server?	la-finest	Tools, Server, Betriebssysteme	4	15.02.2007 13:24
Apache kann nicht gestartet werden.	Jan	Tools, Server, Betriebssysteme	11	23.11.2006 09:26
Server - Client: Befehle und Identifizierung	WarrenFaith	Allgemeine Java-Programmierung	3	08.08.2006 20:09
MySQL 5.1 kommt in die Beta-Phase	Ben	Nachrichten	1	02.03.2006 14:31

22.01.2010, 23:43	Nach oben #2
FloB Erfahrener Benutzer Registriert seit: 12.06.2006 Beiträge: 335	Den Server für Pings nicht erreichbar machen ist sinnlos. Das Protokoll ist absolut harmlos und hat auch seinen Sinn. Es kann einfach sein, dass eine Seite auf dem Server nicht mehr aufgerufen werden kann, da die Ping fehlschlägt. Sicher machst du den Server dadurch, dass du immer die aktuellen Updates installierst hast und so wenig Angriffsvektoren wie möglich zulässt, d. h.: Was an Programmen nicht benötigt wird, fliegt runter, Passwörter haben eine entsprechende Stärke, es werden Remote-Logins nur für wenige wichtige Nutzer erlaubt, Standardeinstellungen (wenn du weißt, was sie bewirken) modifiziert (also Ports usw. – allerdings bringt das nur eine scheinbare Sicherheit, sobald jemand den neuen Port identifiziert hat, ist man so sicher wie vorher … das hält also nur schlechte Scriptkiddies ab).

23.01.2010, 15:17	Nach oben #5
Dreamdancer Neuer Benutzer Registriert seit: 02.12.2009 Beiträge: 20	Also eigentlich gilt der Grundsatz: "No security by obscurity." - Keine Sicherheit durch verbergen von Informationen. Das hat aber den Sinn, dass man im Kopf behält, dass es eben nicht absolut sicher ist, keinen Ping zuzulassen, aber wie Dein Freund schon sagt: Gegen diverse Kiddie-Angriffe hilft es. Denn auf der anderen Seite gilt: Alles, was der Angreifer über Dich herausfinden kann, Versionen von Programmen, welches OS aufgespielt ist etc. kann er ja für seinen Angriff verwenden.

Aktive Benutzer in diesem Thema: 1 (Registrierte Benutzer: 0, Gäste: 1)