hallo, ich habe schon etwas in der suche gestöbert, auch ein paar anregungen gefunden, trotzdem hätte ich noch ein paar fragen:

ich habe vor, mir einen dedizierten web server einzurichten. damit stellt sich natürlich auch die frage nach der sicherheit:

1. welche distribution ist am sinnvollsten? ich habe bisher Redhat 9 für meinen lokalen server verwendet, habe aber gehört, dass Debian besser zu verwalten/auf dem laufenden zu halten sei. gibt es in punkto sicherheit unterschiede?

2. ähnlich wie 1., nur in punkto stabilität; unterscheiden sich da die distributionen?

3. was sollte ich alles tun, um meinen server sicher zu halten? zb stellt sich die frage nach einer firewall/paketfilter. ich habe beiträge gelesen, die die meinung vertreten, man braucht auf einem webserver gar keine firewall. was meint ihr?
was muss ich sonst beachten? punkte, die ich sonst gefunden habe, bezogen sich zb auf benutzer, sprich beachten, welcher dienst mit welchem benutzer läuft, und wie viel rechte der hat.

4. habe ich was vergessen, was ich unbedingt bei einem webserver beachten sollte?

bin dankbar für alle anregungen, tipps, links etc (da ich noch recht neu in Linux bin).

mfg
-native.

hallo, ich habe schon etwas in der suche gestöbert, auch ein paar anregungen gefunden, trotzdem hätte ich noch ein paar fragen:
ich habe vor, mir einen dedizierten web server einzurichten. damit stellt sich natürlich auch die frage nach der sicherheit:

1. welche distribution ist am sinnvollsten? ich habe bisher Redhat 9 für meinen lokalen server verwendet, habe aber gehört, dass Debian besser zu verwalten/auf dem laufenden zu halten sei. gibt es in punkto sicherheit unterschiede?

nicht debian oder redhat hält deine kiste auf dem laufenden, sondern DU.
bei redhat gibts up2date und bei debian gibts halt apt-sonstwas (ich bin kein debianer, also schlagt mich ned)
RedHat reagiert in der regel schneller auf vulnerabilities als die debian community (das haben jedenfalls die erfahrungen der letzten 2 Jahre gezeigt)

2. ähnlich wie 1., nur in punkto stabilität; unterscheiden sich da die distributionen?
RedHat ist in der Regel stable
Debian hat mehrere Branches, z.b. eine sogenannte stable und auch eine test ing (oder so ähnlich)
Stabil für den Serverbetrieb sind BEIDE

3. was sollte ich alles tun, um meinen server sicher zu halten? zb stellt sich die frage nach einer firewall/paketfilter. ich habe beiträge gelesen, die die meinung vertreten, man braucht auf einem webserver gar keine firewall. was meint ihr?
was muss ich sonst beachten? punkte, die ich sonst gefunden habe, bezogen sich zb auf benutzer, sprich beachten, welcher dienst mit welchem benutzer läuft, und wie viel rechte der hat.

personal firewall auf jeden fall drauf um dich schon mal gegen ip fingerprints abzusichern ... und um einbruchsversuche zu protokollieren.
ansonsten schauen das die services die laufen, nur unter unprivilegierten usern laufen
systempolicy aufstellen (auto logout aus der console, logging auf anderen syslog server, integritiy checker wie tripwire etc)
diese fragen stellt sich aber normalerweise nur wenn du das ding professionell betreiben willst. für nen 0815 webserver für daheim würde ich nicht anfangen das system zu auditen etc ...

4. habe ich was vergessen, was ich unbedingt bei einem webserver beachten sollte?
ja, lass nach der install mal nessus gegen deinen server laufen (mit den aktuellsten plugins) um zu schauen wie sicher deine kiste ist ...

hallo,

vielen dank erstmal für deine zeit! wie gesagt, meine linux kenntnisse halten sich etwas in grenzen, daher würde ich gerne etwas nachfragen:

zu 3.: der server soll professionell betrieben werden; könntest du mir sagen, wo ich mehr über systempolicy nachlesen kann und wie genau ich das einrichte ?

zu 4.: was ist nessus?

thx!
-native.

ich habe vor, mir einen dedizierten web server einzurichten.

Meist kannst Du das Betriebssystem sowieso nicht frei wählen - SuSE ist der de facto Standart. Es gibt aber einige HowTos wie Du einen 1&1 Dedizierten auf Debian umrüsten kannst - nur mal so zur Info...


zu 3.: der server soll professionell betrieben werden; könntest du mir sagen, wo ich mehr über systempolicy nachlesen kann und wie genau ich das einrichte ?
Es gibt einige HowTos zu dem Thema Securing Debian (oder andere Distri)
Ich empfehle Dir das Buch: Linux Firewalls - Ein praktischer Einstieg (http://www.oreilly.de/german/freebooks/linuxfireger/index.html) runterzuladen - da ist ne Menge zu Systemabsicherung drin...


zu 4.: was ist nessus?
Das ist ein auf nmap basierender sogenannter Schwachstellenscanner. Heißt:
Wenn du mit Nessus Dein System scannst listet er Dir alle bekannten Schwachstellen auf über die Dein System verwundbar ist. Zu den bekannten gibt er Dir zusätzlich eine CVE Nummer aus so dass Du auf den bekannten Security Seiten wie www.securityfocus.com schauen kannst wie Du die Lücke schließt.

Hoffe ich habe Dir geholfen...

cane

sorry cane,
aber ich muss dich glaub ich ein wenig korrigieren

suse ist nicht der defakto standart ... in deutschland vielleicht, im rest der welt jedenfalls nicht ;)

nessus basiert NICHT auf nmap, nessus benutzt nmap für einen teil der aufgaben.

CVE Nummern kann man bei cve.mitre.org nachlesen

so jetzt zu native:
eine systempolicy ist etwas was du dir festlegst, zum beispiel:
man muss ein passwort alle 30 tage ändern, das passwort muss so-und-so lang sein und sonderzeichen enthalten etc.
audits, backup und monitoring werden geregelt betrieben
und so weiter und so fort .. wie gesagt, wenn du den server just 4 fun betreibst ist das meiste vernachlässigbar oder 'nice to have'


your's sincerely
BAUCHI - Biomechanical Artificial Unit Calibrated for Hazardous Infiltration

Recht haste:)

cane

hi, ok, das hilft mir alles schonmal deutlich weiter, vielen dank für serklären.

wie gesagt: der server soll professionell genutzt werden, von daher ist mir die sicherheit schon sehr wichtig.

passwörter etc ist klar, aber was bedeutet:


audits, backup und monitoring werden geregelt betrieben

in meinem fall kann ich die distribution auf meinem server ändern, Suse ist zwar installiert, aber ich habe nicht vor, das zu verwenden, sondern Redhat oder Debian. was ist denn außerhalb von D der standard?

und kannst du mir noch kurz erklären, was "up2date" unter Rdhat genau ist bzw wie das funktioniert?

vielen dank!
-native.

Erstmal sollte man MD5 und nicht die klassische crypt-Verschlüsselung für die /etc/shadow nehmen. Ob SuSE, RedHat oder Debian ist mehr oder weniger Pommes. Auf jeden Fall gehören auch Sachen wie Compiler, rpm oder dpkg nicht auf den Server. X hat auf der Maschine auch nix zu suchen. xinetd und inetd sollte man auch nicht installieren. Administration nur per SSH. Dazu sollte man einen 2048 Bit langen dsa Schlüssel erzeugen der durch eine zusätzliche Pass-Phrase geschützt wird. Zudem sollte man sich MD5 Summen für alle Binaries im System erstellen und die regelmäßig checken. SUID Binaries sollte man auch vermeiden (sofern möglich).