PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : Debian Sicherheit Rootserver VM



xJAMESx
27.09.11, 16:35
Hallo
ich habe einen root server mit einem Debian squeeze AMD 64.

Ich wollte eine Win XP vm machen, für ein paar windows programme, die halt nicht laufen unter linux.
Jetzt habe ich gnome installiert, dazu vnc und bin mit vnc auf den server und habe dort dann virtualbox installiert und dannach Windows XP.
Wie sieht es jetzt aus mit der Sicherheit?

Ich will möglichst wenige ports offen haben, deshalb meine Frage, ob es möglich ist, ohne Gnome die VM mit virtualbox zu starten.
Auf die Vm greife ich mit Teamviewer zu, natürlich entsprechend configuriert das nur ein benutzer drauf connecten kann.

Wie unsicher kann man gnome auf dem root definieren?

Und wie kann ich mein root sicherer machen?

Was ich gemacht habe:
- Root login deaktiviert (ich logge mich mit einem normal benutzer ein und wechsele zum root via su)

Meine offenen ports:


Starting Nmap 5.00 ( http://nmap.org ) at 2011-09-27 16:34 CEST
Interesting ports on localhost.localdomain (127.0.0.1):
Not shown: 993 closed ports
PORT STATE SERVICE
21/tcp open ftp
22/tcp open ssh
25/tcp open smtp
80/tcp open http
3306/tcp open mysql
5901/tcp open vnc-1
6001/tcp open X11:1


Danke schonmal

MFG xJAMESx

DrunkenFreak
27.09.11, 17:29
Wenn du es sicher haben willst, schaff dir einen Windowsserver an. Alles andere ist Murks.

xJAMESx
27.09.11, 20:32
Ich kenne mich nicht wirklich mit Windows aus, ich will auf jeden Fall Linux haben auf dem Server, es geht ja nur um ein Programm, mit wine läuft es definitiv nicht, leider.

Also wie bekomme ich nein Debian noch sichere, bzw kann ich virtualbox über die Konsole starten, dann würden auch noch die Belastungen von gnome wegfallen

TheDarkRose
27.09.11, 20:58
Und was soll dieses mysteriöse Programm sein bzw. können?

xJAMESx
27.09.11, 21:52
Spielt das denn eine Rolle? :)
Wie unsicher ist denn das laufende Gnome?

towo2099
27.09.11, 22:07
Wie unsicher ist denn das laufende Gnome?
Um Gnome würde ich mir weniger Gedanken machen, als über den laufenden XServer.

xJAMESx
27.09.11, 22:12
Du meinst die Windows XP vm, richtig?
Was ist an der denn unsicher. Man kann ja nicht in das Linux System eingreifen.

towo2099
27.09.11, 22:16
Nein, ich meine den XServer, Gnome läuft nicht ohne X.
Mal abgesehen davon, weder Virtualbox noch VMware benötigt ein laufendes X, um eine VM laufen zu lassen.

TheDarkRose
27.09.11, 22:31
Spielt das denn eine Rolle? :)

ja das spielt definitiv eine rolle. Weil wir nicht nur stupide antworten liefern sondern auch alternative Lösungsvorschläge wenn möglich, und da gehört auch dazu, diverse fragen zu hinterfragen wenn zu wenig Infos geliefert wurden. Die Glaskugel ist halt leider noch immer in Reparatur :D

xJAMESx
27.09.11, 23:03
Also kann ich eine Windows XP VM ohne X server starten, und per Teamviewer z.B. connecten und verwalten?

TheDarkRose
27.09.11, 23:09
Jetzt verrate uns doch mal um was es sich bei deinem mysteriösen Programm handelt.

xJAMESx
27.09.11, 23:11
um einen minecraft server, wo die module nur unter windows laufen :)

TheDarkRose
27.09.11, 23:27
Ähm, Minecraft ist Java und sollte eigentlich dadurch plattformunabhängig sein. Auf alles was dagegenarbeitet, würde ich lieber verzichten, als Windows in einer VM laufen zu lassen. Ehrlich.

xJAMESx
27.09.11, 23:31
Diverse Downloadmanager will ich evt auch benutzen, die laufen nur unter Windows.

Ist eine Windows VM so unsicher?

TheDarkRose
27.09.11, 23:49
Windows direkt am Internet ist immer unsicher.

xJAMESx
27.09.11, 23:56
Es werden alle Ports gesperrt etc außer wirklich nur die IPs und Ports die ich zulasse.

Ich will die VM so starten:
VBoxManage startvm "Win XP"

Leider kommt dann dieser fehler:


Waiting for VM "Win XP" to power on...
VBoxManage: error: The virtual machine 'Win XP' has terminated unexpectedly during startup with exit code 0
VBoxManage: error: Details: code NS_ERROR_FAILURE (0x80004005), component Machine, interface IMachine, callee


weiß da einer einen rat?

L00NIX
28.09.11, 20:19
Windows direkt am Internet ist immer unsicher.

*gähn*

Geil, endlich ein wenig Getrolle hier... :D

Warum ist Windows per se unsicher im Internet? Würde mich mal interessieren, denn es stehen einige Server im Netz, teilweise sogar als Firewall (aka ISA oder neu Forefront) und die sperren sogar sich selbst aus. ;)

Der dumme Spruch "Windows ist unsicher" zieht nicht mehr. Zumindest hat Microsoft etwa seit der Zeit von Windows XP Service Pack 2 eine Wende in seiner Sicherheitspolitik gemacht, über die heute auch wieder geschimpft wird.

Und warum?

Weil's eben nicht mehr out-of-the-box funktioniert.

Wie man's macht, ist's verkehrt, oder?

Träumt weiter von 2012, das Jahr von Linux auf dem Desktop! ;)

Gruß
L00NIX


PS:
Ich selbst nutze Linux und KDE privat sehr gerne, parallel dazu Windows XP für ältere Spielchen, weil mir das WINE-Gefrickel auf den Sack geht. Im Geschäft kommt man an Windows leider nicht vorbei, Samba dümpelt vor sich hin und versucht nur, Microsofts Schema nachzubilden und wenn man kein komplettes Linux-Backend hat, suckt es einfach wegen der Heterogenität.

nopes
28.09.11, 21:22
warum machst du nicht gleich alles virtuell?

Sicherheit: So oder so, das Risiko steigt mit jedem Dienst der läuft, muss man halt wissen, ob man den braucht oder nicht.
Ich denke die VM spielt da keine dramatische Rolle, da sie kein direkter Netzwerkdienst ist. Entweder hacken sie also dein Linux über dessen Netzwerkdienste, da kann die VM dann nichts dafür. Verliert man die VM mit dem Windows, besteht die Möglichkeit, dass man eine Lücke der VM-Software nutzt und auch das Linux darunter hat; ziemlich unwahrscheinliches Szenario, dachten die Japaner aber auch.

xJAMESx
29.09.11, 10:58
habe mal die offenen ports gescannt.
Wie sieht es aus in sachen Sicherheit aus, ist das so ok wie die Ports offen sind?
Das kam dabei raus:



tcp 0 0 ipadresse:27017 0.0.0.0:* LISTEN 31318/srcds_linux
tcp 0 ipadresse:22 217.17.27.69:37614 VERBUNDEN 5941/sshd: marvin [
tcp 0 0 ipadresse:27017 ipadresse:41946 VERBUNDEN 31318/srcds_linux
tcp 0 0 ipadresse:50544 92.51.171.72:5938 VERBUNDEN 19446/VBoxHeadless
tcp 0 0 ipadresse:41946 ipadresse:27017 VERBUNDEN 6444/perl
tcp 0 0 ipadresse:42133 85.25.128.62:80 TIME_WAIT -
udp 0 0 ipadresse:53631 194.97.114.3:2010 VERBUNDEN 31221/ts3server_lin
udp 0 0 85.25.109.217:26900 0.0.0.0:* 20209/hlds_amd
udp 0 0 85.25.109.217:26901 0.0.0.0:* 20503/hlds_amd

kreol
29.09.11, 18:15
Es ist ein Trugschluss, zu glauben, man öffnet nur wenige Ports und dann ist der Server sicher.

Natürlich ist es sinnvoll, nicht benötigte Dienste abzuschalten (und X hat auf einem Server definitiv nichts verloren), aber die vorhandenen Dienste müssen auch entsprechend konfiguriert sein. Bildhaft gesprochen: Wenn das Tor offen steht ist es egal, wie viele Türen es noch zusätzlich gibt.

Gerade ssh lässt sich ganz gut sichern. Kein root-login, Port verlegen (weg von 21) und ein Keyfile sind schon ganz gute Massnahmen.

Zu dem Thema, wie man Server härtet, gibt es sowohl im Netz als auch in Papierform zahlreiche Literatur. Warum sollten wir Dir hier also eine Komplettanleitung liefern? Als Stichworte kannst Du auch mal iptables, knockd, fail2ban ansehen.

Und es macht Sinn, parallel einen Rechner ins LAN zu setzen, auf dem man erstmal übt. Wenn der sicher ist, kann man die Arbeitsergebnisse auf den root übertragen.

Am Rande: Warum ist 80 offen?

Kreol

xJAMESx
29.09.11, 22:27
80: apache2, was denn sonst?

hab jetzt fail2ban (nach 3 fehlversuchen wird 24h gebannt die ip, dazu gehört auch apache, ftp, ssh, sshd)
FTP port auf einen anderen gelegt
ssh port werde ich morgen mal den hoster anfragen, nicht das ich den port auf einen lege und mich dann selber ausschließe :)

Root login ist schon längst deaktiviert :)

Hab direkt mal alles extrem abgesichert, nachdem ich ein blick in die auth.log geworfen habe, oder die error log von apache :)

DrunkenFreak
29.09.11, 22:31
Schalte bitte deinen Server ab und frage deinen Hoster lieber, ob er dich vorzeitig kündigt. Das hat so alles keinen Zweck.

fail2ban bei Apache ist sowas von sinnlos und wenn du selbst nichtmal weißt, wo der ssh Port hin muss, damit du dich nicht aussperrst, hast du auf einem Server nichts mehr zu suchen.

Newbie314
29.09.11, 22:57
Du bist für das was dein Server anstellt auch dann verantwortlich wenn du mal zwei Wochen in Urlaub bist.

Das vergessen viele: was wenn während der Zeit gerade eine Sicherheitslücke bekannt wird und jemand die auf deinem Rechner für kriminelle Aktivitäten ausnutzt für die du dann (auch in Bezug auf Schadensersatz) einstehen musst ? Nimmst du den Server während des Urlaubs vom Netz ? Oder hast du einen Kumpel der ihn während dieser Zeit sichert ?

nopes
30.09.11, 15:02
Schalte bitte deinen Server ab und frage deinen Hoster lieber, ob er dich vorzeitig kündigt. Das hat so alles keinen Zweck.

fail2ban bei Apache ist sowas von sinnlos und wenn du selbst nichtmal weißt, wo der ssh Port hin muss, damit du dich nicht aussperrst, hast du auf einem Server nichts mehr zu suchen.
Ist das nicht etwas vorschnell geurteilt und ein bisschen sehr unfreundlich?
Was ist z.B., wenn der Hoster einige Ports pauschal blockiert, was wenn man den SSH Port dahin legt.

Frage den Hoster, das ist schon richtig.