Adrian3591 Geschrieben 3. Mai 2013 Geschrieben 3. Mai 2013 Hallo an alle, Ich hätte da mal ne Frage. Und zwar habe ich zu hause privat einen Debian Squeeze Server laufen. Diesen nutze ich zum üben um mir den Umgang mit Linux Dingen näher zu bringen. Nun wollte ich mir zu Hause auf diesen Server nen eigenen Mailserver, FTP Server und Print Server. Apache Webserver für meine Webentwicklungssachen ist schon installiert. In Bezug auf Sicherheitsvorkehrungen habe ich folgendes getan: neuen Benutzer mit root Rechten angelegt und Root Benutzer gesperrt.Mehrstelliges Passwort für diesen gesetzt mit allen möglichen Zeichen , Sonderzeichen und Zahlenkombinationen Fail2Ban ist eingerichtet, sowie IPtables. Meine Frage ist folgende, gibt es in Bezug auf die Sicherheit bei nem Server noch weitere Punkte die man beachten kann / muss / sollte? Über konstruktive Vorschläge würde ich mich freuen
SaJu Geschrieben 3. Mai 2013 Geschrieben 3. Mai 2013 Hallo Adrian, in Sachen Sicherheit kannst Du eigentlich nicht mehr viel tun. Die Anwendungen sollten eben am Besten nicht unter dem Benutzer root laufen.
charmanta Geschrieben 3. Mai 2013 Geschrieben 3. Mai 2013 den FTP Server dichtmachen oder den Port ändern ... und den Zugang an root via ssh dichtmachen oder auch hier den Port ändern
Adrian3591 Geschrieben 3. Mai 2013 Autor Geschrieben 3. Mai 2013 Hallo erstmal und danke für eure Antworten. @Saju: danke für den Tipp werde mir dies mal anschauen wie ich das umsetze. @charmanta: Port ändern bringt rein gar nichts. Hier kann man einfach einen Scan durchführen und horchen welcher Port bei einer bestimmten Art von Anfrage antwortet. Da ist es egal ob du SSH auf 22 machst oder 6432. den Port kriegt man trotzdem raus
charmanta Geschrieben 3. Mai 2013 Geschrieben 3. Mai 2013 Stimmt. Aber den Portscan kann man ja unterbinden, gelle ?
lilith2k3 Geschrieben 3. Mai 2013 Geschrieben 3. Mai 2013 Hallo erstmal und danke für eure Antworten. @Saju: danke für den Tipp werde mir dies mal anschauen wie ich das umsetze. @charmanta: Port ändern bringt rein gar nichts. Hier kann man einfach einen Scan durchführen und horchen welcher Port bei einer bestimmten Art von Anfrage antwortet. Da ist es egal ob du SSH auf 22 machst oder 6432. den Port kriegt man trotzdem raus Ja. Aber man verwirrt die "Skriptkiddies". Wer dann rein will, muss schon gezielt suchen. Ist kein Sicherheitsfeature, aber eine simple Hürde.
Adrian3591 Geschrieben 3. Mai 2013 Autor Geschrieben 3. Mai 2013 Okay, da habt ihr recht @charmanta, wie kann man einen Portscann unterbinden? bzw wie muss man sich das vorstellen?
flashpixx Geschrieben 3. Mai 2013 Geschrieben 3. Mai 2013 Zu SSH: Authentifizierung nur via Schlüssel und mittels sudo dann zum root wechseln. Auf FTP würde ich ganz verzichten, wenn ich ehrlich bin, da Du eh nen Apache laufen hast, würde sich z.B. WebDAV via HTTPs anbieten. Und Du kannst via SSH (scp) auch Dateien übertragen.
lilith2k3 Geschrieben 3. Mai 2013 Geschrieben 3. Mai 2013 Ergänzung zu flashpixx: sudo -i ist der Befehl der Stunde
axxis Geschrieben 3. Mai 2013 Geschrieben 3. Mai 2013 Nur das installieren was du brauchst (ggf. Programme runterschmeissen, die du nicht brauchst), Security Announces deiner Distro abonnieren und zeitig updaten. Neben deinem fail2ban gibt es z.B. rkhunter, snort und aehnliches. Inwieweit das fuer dich snakeoil ist (oder nicht), musst du herausfinden. Ueber deinen Mailserver sollten nur authentifizierte User relayen duerfen, Stichwort "Open Relay". Bei mehreren WebApps bietet es sich z.B. an PHP nicht als Apache-Modul zu verwenden, sondern gegen ein CGI. Das und suexec koennen Kollateralschaden von kompromittierten/Amok laufenden Apps verringern/eliminieren.
Empfohlene Beiträge
Erstelle ein Benutzerkonto oder melde Dich an, um zu kommentieren
Du musst ein Benutzerkonto haben, um einen Kommentar verfassen zu können
Benutzerkonto erstellen
Neues Benutzerkonto für unsere Community erstellen. Es ist einfach!
Neues Benutzerkonto erstellenAnmelden
Du hast bereits ein Benutzerkonto? Melde Dich hier an.
Jetzt anmelden