PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : Server absichern


Weihnachtsmann
20.06.05, 19:52
Wie sichert ihr denn so eure Server ab ?

Habe gerade mein Internet Gateway aufgesetzt und bin grad am kucken was ich für die Sicherheit noch machen kann.

Was ich bisher gemacht habe:

- Debian Sarge installiert
- Update auf Kernel 2.6.12
- SSH Root Login gesperrt und auf anderen Port gelegt
- Kernel mit Exec-shield gepatcht
- Netzwerkeinstellung über sysctl angepasst
- Kernel und iptables mit l7-filter gepatch (später für firewall)
- Sysklogd gegen Syslog-ng getauscht
- Exim gegen Postfix getauscht
- Pidentd gegen Oidentd getauscht
- inetd deaktiviert
- nfs und portmap deaktiviert

Was noch kommt:

- Firewall
- DMZ für WLAN (inkl. OpenVPN Zugang)


Habt ihr noch Ideen ?

mfg
Weihnachtsmann
Tomek
20.06.05, 20:02
Es gibt noch viel viel mehr, was man tun kann. Unter http://www.tldp.org/HOWTO/Security-HOWTO/ findest du noch weitere Tipps und Tricks.

Und suche mal bitte in diesem Unterforum, dann wirst du weitere Threads mit dieser Frage finden.
Weihnachtsmann
20.06.05, 20:32
habs mir angekuckt sowie http://www.debian.org/doc/manuals/securing-debian-howto/index.de.html#contents nur war meiner meinung nach nicht viel neues mehr dabei was wirklich was bringt.

Jemand Erfahrung mit grsecurity SELinux und/oder user-mode-linux bzw. xen macht sowas sinn ?
derRichard
20.06.05, 21:17
habs mir angekuckt sowie http://www.debian.org/doc/manuals/securing-debian-howto/index.de.html#contents nur war meiner meinung nach nicht viel neues mehr dabei was wirklich was bringt.

Jemand Erfahrung mit grsecurity SELinux und/oder user-mode-linux bzw. xen macht sowas sinn ?
hallo!

einfach irgendwelche tollen sicherheits patches reinhauen bringt es nicht.
es kommt auf den admin an.
du hast geschrieben, dass schon exec-shield drinn hast, grsecurity kann jetzt nicht dazu patchen.
selinux kannst noch verwenden, wenn dir viel antun willst.

uml und xen dienen zur virtualisierung...

//richard
Weihnachtsmann
20.06.05, 22:10
naja ich könnt ja auch den kernel noch mall neu kompilieren wenn grsecurity sinnvoller wär das mit dem admin is klar aber manchmal hilft auch nicht nen guter admin zu sein dafür gibts dann ja die kernel patches. mit virtualisierung denk ich halt könnt ma die einzelnen dienste in jeweils ne eigne virtuelle maschine einsperren die nur jeweils absolut minimal installiert sind.