Hallo zusammen,

Ich besitze einen Root von Hetzner, der läuft mit 32GB Ram.

Darauf soll hauptsächlich ein großer Minecraftserver, ein Mailserver und ein kleiner TS³ drauf laufen.

Da ja immer wieder Attacken kommen oder es viele versuchen, möchte ich meinen jetzt sicher machen.

Bei Hetzner gibts ja Webmin, da habe ich Firewalls eingerichtet. Doch hält das wirklich gegen einen großen Angriff? Ungenutzte ports habe ich auch geschlossen.

Hoffe ihr könnt mir helfen, möchte keine ratschläge wie "Wenn du das noch nicht mal weißt lass die Finger davon"


Gruß


Markus

Das erste was ich einrichte:

- Kein rootlogin über SSH
- SSHlogin generell nur über keyfile zulassen
- Alle Dienste mit fail2ban absichern
- Zusätzlich blocklist.de mit in fail2ban integrieren
- Logwatch, um jeden Tag eine Zusammenfassung der Aktivitäten zu bekommen
- Lass mir jeden Tag (cronjob) eine Mail schicken, ob Updates für das System zur Verfügung stehen. ==> System immer aktuell halten!

Gruß
hafgan

Und es ist generell eine gute Idee, sich vorher zuhause erstmal einen Testserver 1:1 aufzusetzen und an dem zu üben. Alles andere ist eine Operation am offenen Herzen. Gibt dafür mehrere Gründe:

- Gerade bei der Konfiguration des ssh-Zugangs (siehe die Hinweise von hafgan) kann man sich schnell mal selbst ausschliessen, wenn die config nicht stimmt.
- Potentielle Sicherheitslücken, die im Testsystem gefunden und eliminiert werden, tauchen auf dem Produktsystem bestenfalls gar nicht mehr auf.
- Eine unüberlegte Konfiguration des Mailservers kann Deinen root schnell auf eine blacklist bringen. Ein vorher durchgetestetes System ist da weniger anfällig.
- Ein Update, das auf einem Testsystem funktioniert wird vermutlich auch auf dem Produktivsystem funktionieren.
- und, und, und...

Es macht also immer Sinn, sämtliche Veränderungen erstmal in Ruhe und risikolos zu testen, bevor man sie auf das produktive System aufspielt.

Kreol

Ok. Vielen Dank euch für die schnellen Antworten.

Da ich leider noch Anfänger bin werde ich das mal machen, mir einen kleinen Server Zu Hause aufsetzen.

Das was hafgan alles aufgezählt hat hört sich gut an, werde das jetzt mal durcharbeiten.

Ich denke das ich aber erst einmal das mit dem Mailserver sein lasse, denn man haftet ja doch für jeden Shit


Gruß

Max

EDIT: Macht eigentlich ein Monitoring des Logs und so per SMS Sinn und was für Sicherheitsprogramme könnt ihr mir speziell empfehlen?

EDIT: Macht eigentlich ein Monitoring des Logs und so per SMS Sinn und was für Sicherheitsprogramme könnt ihr mir speziell empfehlen?

Monitoring kommt natürlich auch noch dazu. Wie oben erwähnt nehme ich Logwatch um auf die Schnelle mal die Aktivitäten des Vortags durchgehen zu können. Außerdem verwende ich noch Munin, da kann man sich auch die Entwicklung des Traffics usw ansehen.

Per SMS habe ich mich noch nicht informieren lassen. Bei einem Einbruch werde ich da wahrscheinlich nicht per SMS informiert! ;) Höchstens wenn er down ist. Aber das krieg ich sowieso mit! :)

Kannst Dir ja für die nächsten Schritte auch rkhunter und/oder chrootkit ansehen.

Gruß
hafgan

Und vor allem keine Standartports benutzen wie zb für den sshd. So kann man das Standardhintergrundrauschen der Bots ausschliessen und ernstgemeinte Attaken erkennen wenn jemand gezielt nachdem sshd Port gesucht hat und Logins fehlschlagen.

Greeez Oli

Ok, Danke.

Könnt ihr mir kurz erklären wie ich andere ports für sshd verwende?

gruß


Max

Ok, Danke.

Könnt ihr mir kurz erklären wie ich andere ports für sshd verwende?

gruß


Max
Also jetzt sollte eigentlich Eigeninitative folgen.

Ok :-)
Dann mach ich mich mal schlau

/etc/ssh

Da gibt es, wie so oft, eine config.

Hier
# What ports, IPs and protocols we listen for
Port xxxxxSteht in der /etc/ssh/sshd_config

Wenn Du für derartiges aber schon Hilfe brauchst mache ich mir Sorgen...

Lesen. Lesen. Lesen. Und alles erstmal neutral testen. Anders gehts nicht und anders ist hier auch keiner "Master of the Root" geworden ;)

Btw: Die config ist auch für 1000 andere Sachen gut. z.B. legitimation/keyfile. Wurde schon genannt und ist eine tolle Sache

Kreol

Lesen. Lesen. Lesen. Und alles erstmal neutral testen. Anders gehts nicht und anders ist hier auch keiner "Master of the Root" geworden ;)


--klug sch ei ss
Und selbst die machen dann und wann noch Fehler, besser gesagt koennen nicht an alles denken.
Ein vitales Interesse sich tiefer mit der Materie zu lesen/arbeiten tut nicht weh und man lernt auch was dabei.
--/klug sch ei ss

Gruss Stefan

Huhn Hur Tu: Da sind wir absolut d'accord ;)

Der/die TE ist sich der Gefahren bewusst und fragt, setzt Info um und entwickelt sich und den root weiter.

Sehe bislang kein Prob. Das zwingend erforderliche vitale Interesse ist schon da, glaube ich hier. Oder es kommt schon. Hoffentlich...

Kreol

Vielen Dank allen !

Ich habe großes Interesse, doch am Anfang ist das recht viel zu lernen. Ich werde jetzt lesen lesen lesen.

Könnt ihr mir gute Seiten fürs Linux Wissen für Anfanger empfehlen?


Gruß


Max. (Männlich ;) )

Schau mal http://root-und-kein-plan.ath.cx

Die von zyrusthc genannte Seite hat ja schon einige Links. Und trotz des martialischen Titels ist die Seite wirklich nicht böse gemeint.

Für das (zu Recht wohl erstmal zurück gestellte) Mailprojekt ist http://workaround.org/ispmail/squeeze informativ. Lässt sich auch für andere Distris nutzen.

Entgegen des Titels auch nicht nur für Debian: http://debiananwenderhandbuch.de/

Oder das übliche: Kurz und trocken "linux einsteiger" in die Suchmaschine des geringsten Misstrauens hacken und Links sortieren...

Viel Spass in der Linuxwelt ;)

Kreol

Super .
Vielen Dank, das arbeite ich jetzt erst durch .


Könnt ihr mir gute Links für die wichtigsten Befehle für die Konsole/ssh sagen?


Ich freue mich, dass ihr mich nicht wie in anderen Foren abschiebt und sagt ich soll bloß die Finger davon lassen wenn ich keine Ahnung habe.

Gerade weil ich sehr jung bin.


Gruß

Max

Könnt ihr mir gute Links für die wichtigsten Befehle für die Konsole/ssh sagen?Naja, die bisherigen Links hätten Dir da schon weiter geholfen. Z.B. http://www.oreilly.de/german/freebooks/rlinux3ger/linux_wegIVZ.html findet sich auf der von zyrusthc verlinkten Seite.

Und mit der bereits erwähnten Suchmaschine und z.B. "shell commands" oder "bash befehle" vllt. auch iVm Wikipedia und einer Recherche, was die shell ist und welche verschiedenen es gibt, findet der wirklich interessierte bestimmt was passendes.

Alles vorkauen und "let me google that for you" (http://lmgtfy.com/) machen die wenigsten hier lange mit. Vor allem in einem so sensiblen Bereich, wie von 0 ab einen root aufzusetzen.


Kreol

Ich freue mich, dass ihr mich nicht wie in anderen Foren abschiebt und sagt ich soll bloß die Finger davon lassen wenn ich keine Ahnung habe.
Für viele ist das so als wenn du auf nen Schulhof ne Schusswaffe ziehst.
Arbeite dich erst einmal ein , lerne dich im Dateisystem zu bewegen. Lerne wo was in welchen Verzeichnis liegt und lerne deine Prozesse zu kontrollieren und Logs zu lesen. In der Schule musstest du auch erst das ABC lernen bevor du Wörter schreiben konntest oder Zahlen um zu rechnen.

Greeez Oli

@kreol : Ich möchte mir das nicht vorkauen lassen. Doch es gibt so viel darüber und nur ihr wisst ob es richig und sinnvoll ist.

Ich danke euch allen.

Wenn ich rückfragen habe, melde ich mich noch mal

Gruss

max