Servus,

leider kann ich auf nem gemieteten V-Server keine (vollwertige) Firewall laufen lassen.
Ich habe über hosts.deny und die jeweiligen Serverconfigs alles trotzdem so sicher wie (mir) möglich eingerichtet.
Habt ihr mir noch ein paar Tips, wie ich den Server ohne Firewall so sicher wie möglich bekomme?

clumsy

Hi,

naja, grundsätzlich erstmal sichere Passworte benutzen, neueste Version von allen Tools installieren, Inegritätscheck wie z. B. http://www.hostintegrity.com/osiris/ (Osiris) laufen lassen, auf rootkits prüfen und natürlich Logfiles durchgucken.

EDIT: Achja, und natürlich regelmäßig News auf sicherheitsrelevanten Seiten überfliegen, z. B. www.sans.org oder BSI etc.

da es "nur" ein v-server ist wird der provider sich auch grundsätzlich um sicherheit des eigetnlichen hardware-servers kümmern, da wie du ja bereits sagtest das von dir aus nur eingeschränkt möglich ist.

Habt ihr mir noch ein paar Tips, wie ich den Server ohne Firewall so sicher wie möglich bekomme?

Nur die absolut nötigen Dienste nach außen aufmachen. Z. B. nur ssh mit PubkeyAuthentication. Es reicht dann oft aus (gerade wenn man den Server für sich allein hat), dass die Dienste nur auf localhost hören. Mit ssh lassen die sich nach "nach außen" tunneln.

da es "nur" ein v-server ist wird der provider sich auch grundsätzlich um sicherheit des eigetnlichen hardware-servers kümmern, da wie du ja bereits sagtest das von dir aus nur eingeschränkt möglich ist.
Ich habe gehört, dass die sich darum nicht kümmern. Sollte man den Traffic überschreiten, muss man halt zahlen. Dazu ist der vServer ja wahrscheinlich vom restlichen System abgeschottet (AppAmor oder wie das heißt als Beispiel).
Vielleicht mal beim Anbieter nachfragen, was die zum Thema Sicherheit sagen.

Ich selbst wollte mir auch vor kurzem einen vServer mieten, habe mich aber von Forenbeiträgen und Aussagen meines Lehrers (Netzwerktechnik, Datenbanktechnik, Cisco,...) davon erstmal abbringen lassen, da meine Kenntnisse noch nicht so dolle sind ;)

um den traffic muss man sich so oder so kümmern. v-server hin oder her. das kann man ja per cronjob vnstat und ner email benachrichtigung machen.

da es "nur" ein v-server ist wird der provider sich auch grundsätzlich um sicherheit des eigetnlichen hardware-servers kümmern, da wie du ja bereits sagtest das von dir aus nur eingeschränkt möglich ist.
Der Provider sichert sein Wirtssystem ab. Für das, was innerhalb des VPS passiert, ist der Benutzer allein verantwortlich. Immerhin hat er innerhalb seines VPS Rootzugriff und alle damit verbundenen Rechte und Pflichten. In den AGB des Providers sollte es genauer stehen.

Der Provider sichert sein Wirtssystem ab. Für das, was innerhalb des VPS passiert, ist der Benutzer allein verantwortlich. Immerhin hat er innerhalb seines VPS Rootzugriff und alle damit verbundenen Rechte und Pflichten. In den AGB des Providers sollte es genauer stehen.

jepp vollkommen richtig, was anderes wollte ich auch nicht sagen.

Moin..

wenns ein managed v-server ist, sieht das auch anders aus.

LG

Servus,

leider kann ich auf nem gemieteten V-Server keine (vollwertige) Firewall laufen lassen.

Morgen,

kanst Du das erläutern?

Sind generell keine Iptables-Befehle absetzbar?

mfg
cane

Ich hab zwar root-Zugriff und kann mehr oder weniger alles machen. Aber Kernelmodule kann ich keine laden. Hab mit dem Support geredet, der hat gemeint, Root-Server auf Linuxbasis brauchen eigentlich eh keine Firewall...ist bei Firmen so üblich :rolleyes:
iptables-Befehle gehen teilweise. ein REJECT z.b. aber nicht.

clumsy

Hmm, Du solltst mal schauen welche iptables-Kommandos unterstützt werden.

Man könte ja vielleicht DROP verwenden...

mfg
cane

:) ja, ich weiß schon...tu ich auch momentan. wollte nur mal wissen, obs auch leute gibt, die ohne FW unterwegs sind und nur die dienste sicher konfigurieren und mit hosts.deny arbeiten...

Eine lokale Firewall schützt hauptsächlich vor fehlkonfigurierten Diensten, und sonst vor gar nichts, wenn der Port 80 für http offen ist, und der Webserver einen Exploit zuläßt, dann kann die Firewall gar nichts dagegen machen.

Eine Firewall ist dann gut, wenn ein Dienst läuft, der eigentlich gar nicht laufen sollte, oder wenn ein Exploit auf irgendeinem Port lauschen will, aber soweit sollte es ohnehin schonmal nicht kommen.

Sehe ich prinzipiell auch so, allerdings

- kann man mit Iptables natürlich auch weitere nette Dinge wie Accounting, Forwarding oder Loadbalancing erledigen.

- kann Iptables teilweise vor DoS schützen da ungültige Pakete sofort verworfen werde und die dahinterhängende Applikation keine "Rechenzeit" verschwendet.

Ich handhabe die Sicherheit meines Servers so:

Ring 1: Alle unötigen Dienste abgeschaltet, gerade Sachen wie mxsql müssen nicht imer auf einen Port lauschen.

Ring 2: Iptables verwerfen alle unötige / korrupte / nicht gewünschte Pakete

Ring 3: Bestimmte Dienste werden zusätzlich geschützt indem nur gültige Anfragen erlaubt werden (Beispiel: Apache2 per mod_security).

Ring 4: Um mich vor 0day Exploits gegen Serverdienste zu schützen die erreichbar sein müssen (z.B. Apache) verende ich Pax (diverse Features wie ASLR) und kompiliere alles mit Stack-Smash-Protection (SSP). Ich benutze hardened-gentoo - da ist das sehr leicht zu realisieren.

Ring5: Schafft es ein Angreifer trotzdem einen Dienst zu exploiten und so Zugriff mit den Rechten des Dienstes zu bekommen verhindert grsecurity das er seine Rechte ausweitet. Außerdem wird alles geloggt und ich werde benachrichtigt :)

Über die Verwendung von RSBAC denke ich zur Zeit nach.

Es ist auch angedacht das ganze mal in ein HowTo zu fasen, leider existiert kaum deutschspachige Doku zu solchen Themen...

mfg
cane

@cane:

AppArmor schon probiert, soll recht freundlich in der Konfiguration sein.
http://en.opensuse.org/AppArmor

Nein, noch nicht getestet...

mfg
cane

hab den server jetzt mal ordentlich konfiguriert, damit das risiko gering bleibt....
aber ist schon richtig, was bringt eine firewall, wenn der dienst schlecht konfiguriert ist und keine sicherheitsupdates eingespielt werden?! :ugly: