hallo zusammen,

thematik: sicherheit eines 1&1 rootservers, ein freund (er weiß grad mal wie man linux schreibt) hat mich gebeten ob ich seinen rootserver "sicher" machen könnte ... es wurde von puretec mit suse (8.0 oder 8.2 ... wusste er jetzt nicht genau ;) vorinstalliert. soviel ich weiß sind die rootserver nicht von haus aus mit firewall etc. ausgestattet ... wollte jetzt hier mal in die runde fragen, welche ideen ihr parat habt, diesen server "sicher" auszurüsten. confixx 2.0 (ist ne vorinstallierte webbased isp software) will er undbedingt weiter mit draufbehalten.

bin für jede anregung dankbar

mfg

lechfusion

... wollte jetzt erstmal mit der einrichtung von iptables beginnen, aber denke nur damit wird es nicht getan sein. hat vielleicht schon jemand eine fertige conf für mich?

folgendes will er nutzen:
- ftp
- ssh
- normal http
- ssl (hab ich bereits eingerichtet/konfiguriert)
- sendmail
- pop3/smtp
- mysql (phpmyadmin ist ebenfalls über ssl eingerichtet)
- reoback (für datensicherung ... reoback hab ich bereits eingerichtet ... hat jemand noch nen tipp der zu beachten gilt?)
- nameserver wird derzeit nicht benötigt

... das müsste alles gewesen sein, wenn mir noch was einfällt poste ichs.

danke schonmal für eure antworten

hat niemand geistige eingebung zu dem thema? ... so warm ises heut doch garned :rolleyes:

Hallo,

am besten ist es das Netzwerkabel zu ziehen :D

Spass Beiseite: Achte auf aktuelle und fehlerfreie Software, trage Dich in die
Maillinglisten ein, verwende sichere Kennwörter.

Damit hast Du Dein System gut im Griff.

Viele Grüße

Eicke

apropo mailinglisten, welche könnt ihr empfehlen? (auf das thema bezogen)

Hallo,

schaue mal bei SuSE, da gibt es spezielle Maillinglisten,
in denen Du auf die Securityfixes hingewiesen wirst.

Du brauchst das dann nur noch einspielen.

Viele Grüße

Eicke

Dann gehe doch einfach der Reihe nach alles durch,das mußt du sicher auch machen wenn du ein einigermaßen gutes System haben willst!

Gucke speziell welche Dienste laufen mit ps- ax
und beende alle die du nicht brauchst!

Dann solltest du einen cron machen welcher automatisch über YOU die Patches einspielt!

Dann eine Firewall wäre auch sehr sinnvoll mit Hilfe von einem Paketfilter und einem IDS wie Snort und zusätzlich Tripwire. (ob eine läuft kannste sehen mit iptables -L)

Du solltest nach Möglichkeit auch root über ssh verbieten(nur speziellen Benutzer erlauben),und oder an MAC Adressen fest machen.(Wenn es geht auch an einer IP)



usw usw usw......

Da kann man noch Stunden schreiben....

er weiß grad mal wie man linux schreibt´

... und mietet sich 'nen root-server bei 1&1 - klasse idee

und mietet sich 'nen root-server bei 1&1 - klasse idee

*kopfschüttel* wann wird endlich der root-server-führerschein ins leben gerufen? btw.


Dann eine Firewall wäre auch sehr sinnvoll
wieso? vor was soll die denn schützen?
das einzige was mir spontan einfällt sind ddos angriffe, wobei ein packetfilter in diesem fall auch nicht sehr effektiv ist,
er kann die ddos-attacke nur abschwächen, nicht vollkommen verhindern.


//ash51

Nun nen Root Server zu mieten ohne jeden Plan von Linux ist echt ne ungeschickte Idee!!!!

@ash51
Aber was soll bitte an einer Firewall nicht nützlich sein???
Ein vernünftiger Paketfilter hilft die meisten Angriffe abzuwehren.
Das sollte natürlich nicht alles sein wie oben beschrieben.............

Oder haste ne bessere Idee?

Einfach alle nicht benötigten Daemons raus schmeissen. Root über ssh verbieten und das wars schon. Firewall bringt dich, glaub ich net wirklich weiter... Ports sind offen. Hacker gehen net über gefilterte portso sondern über Lücken in sachen wie sendmail u.s.w. Da bringt dir die Firewall auch nix...

moinmoin,

danke für eure tipps ... wenn ich root über ssh sperre, verhindert das doch nur den login, su klappt weiterhin?
(sonst sperr ich mich ja selbst aus...)

Original geschrieben von lechfusion
danke für eure tipps ... wenn ich root über ssh sperre, verhindert das doch nur den login, su klappt weiterhin?
SSH hat mit su nichts zu tun. Wenn su vorher geklappt hat, funktioniert das auch nach DenyUser root.

ja ist logisch ... sorry für die blöde frage

Hallo Hirsch,

----------------------
""Einfach alle nicht benötigten Daemons raus schmeissen. Root über ssh verbieten und das wars schon. Firewall bringt dich, glaub ich net wirklich weiter... Ports sind offen. Hacker gehen net über gefilterte portso sondern über Lücken in sachen wie sendmail u.s.w. Da bringt dir die Firewall auch nix...""
----------------------

Warum verwendet man den dann überhaupt einen packetfilter?

Gegen Scriptkiddies und wenn man Ports hat, wo man den Daemon net ausstellen kann z.B. ;)

Hi!
Also, ich hab noch zig irreführenden Tutorials dieses (http://www.linuxfaqs.de/howto/iptableshowto.php) gefunden.
Hat mir für die ersten Schritte sehr geholfen. Wenn du erst mal das Prinzip verstanden hast, geht dir der Rest - sprich die endgültige Implementierung - relativ leicht von der Hand.

so long