web/ftp-server absichern

[mdkuser]

Hallo, kurze Frage:

Ich habe einen Server aufgesetzt, mit Apache2 Webserver und vsftpd FTPserver. Jetzt möchte ich den Server absichern. Firewall ist schon so konfiguriert, dass nur Anfragen auf Port 80, 443 (http, https), 21, 20 (FTP) und 22 (ssh) zugelassen werden.
In die /etc/hosts.deny habe ich ALL:ALL eigetragen, was muss ich jetzt in der /etc/hosts.allow explizit für Dienste für ALL freigeben? Also der Zugriff über http, https und ftp soll von jeder IP aus möglich sein, ssh nur von meinem lokalen Netzwerk aus.
Ich denke mir das so (hoffentlich stimmt die Syntax):

/etc/hosts.allow

Code:

http:ALL
https:ALL
ftp:ALL
ssh:192.168.1.0/255.255.255.0

/etc/hosts.deny

Code:

ALL:ALL

So richtig?

Danke schon mal für eure Hilfe!

[Liberace]

Wenn der Apache und der vstfp als Standalone laufen brauchst du sie nicht in der host.allow auflisten. Ansonsten heisst es sshd und die Adresse wuerde 192.168.1. lauten. Und ich habe keine Null vergessen. Und du brauchst keine Netzmaske angeben.

[mdkuser]

Danke für die Antwort!

also die syntaktisch richtige /etc/hosts.allow sieht dann also so aus:

Code:

http:ALL
https:ALL
ftp:ALL
sshd:192.168.1.

Korrekt?


P.S. Gibt es eine Liste, wie die Dienste, die man in die hosts.allow eintragen muss, korrekt heissen? Ich habe hier nur geraten.
Ist ftp eigentlich richtig, oder muss es in meinem Fall vsftpd (oder ftpd) heissen?
Wie erkenne ich, ob ein Dienst als Standalone läuft?

[Liberace]

Mach mal ein ps aux | grep httpd und ps aux |grep vsftpd. Ansonsten traegst du den Namen des Daemons ein. Und der SSH Daemon heisst nunmal sshd. Ich tippe mal darauf das sie standalone laufen, teste es doch einfach. Wenn du aus deinem Netz die Abfrage an den Apache erfolgreich ist, bist du klueger.

[mdkuser]

Danke! Ja vsftpd ist standalone (ist so in der vsftpd.conf definiert) Apache ist auch ereichbar.

ps aux | grep httpd und ps aux |grep vsftpd. Ansonsten traegst du den Namen des Daemons ein.

Ich nehme mal an, dann wird mir angezeigt, ob der Dämon standalone ist, stimmts?
Was meinst du mit "trägst du den Namen des Daemons ein"? Also dann doch nicht http bzw. https oder ftp sondern HTTPD und VSFTPD, richtig?
Irgendwie bin ich jetzt leicht verwirrt...
Welche Einträge in die hosts.allow machen überhaupt Sinn in Punkto Sicherheit?
Kann ich damit auch RemoteZugriff auf den Xserver verhindern?

[Liberace]

Ich nehme mal an, dann wird mir angezeigt, ob der Dämon standalone ist, stimmts?
Ja.

Was meinst du mit "trägst du den Namen des Daemons ein"? Also dann doch nicht http bzw. https oder ftp sondern HTTPD und VSFTPD, richtig?
Ja.

Irgendwie bin ich jetzt leicht verwirrt...
Ja.

Welche Einträge in die hosts.allow machen überhaupt Sinn in Punkto Sicherheit?
ssh

Kann ich damit auch RemoteZugriff auf den Xserver verhindern?
Nein.

[mdkuser]

Danke, jetzt habe ich das verstanden.

Also in der hosts.allow machen nur Einträge Sinn, die nicht standalone sind, also vom xinetd kontrolliert werden.

Also für nfs sollten unbedingt einträge in die hosts.allow bzw. hosts.deny gemacht werden, für ssh auch. Was ist mit Samba? Gibt es sonst noch vom xinetd abhängige Dienste, die aus Security-Gründen unbedingt durch hosts.deny hostss-allow eingeschänkt werden sollten?
P.S. Diese Info brauche ich nicht für den Server sondern generell (das samba und nfs auf einem webserver nix zu suchen haben ist mir schon klar )

[Liberace]

Auch nicht ganz. Lese dir einfach mal diesen LINK
durch.

[mdkuser]

Danke! Hilft mir weiter!