fedora 7 fürs inet abhärten?
 

hallo, ich bräucht mal eine initialzündungsantwort: hab mir grad ein fedora7-vps konto gekauft. was muss ich als erstes einstellen, damit das nicht innerhalb 10 minuten gekapert wird? ich glaub zugang hab ich per ssh. thx!!

schau mal was alles offen ist (netstat -taupen) und was die firewall so alles schluckt (more /etc/sysconfig/iptables).

zum "härten" würde ich root und hauptbenutzer verschiedene passwörter verpassen ( echo PASSWORT | passwd --stdin root) und dann root login verbieten (vi /etc/ssh/sshd_config - die zeile AllowRootLogin editieren).

quotas für den entsprechenden Benutzer einrichten (wenns ein Applikationsbenutzer ist), und gegebenenfalls die Shell in der passwd auf "false" setzen, wenn keine interaktive Shell benötigt wird.

SELINUX aktivieren (weiss jetzt nicht, ob das beim 7er dabei ist) und die erste Zeit mal die Logs ansehen. Mailserver Sendmail oder Postfix nur auf localhost lauschen lassen, per iptables sicherheitshalber zumachen...

Weitere Ideen, wertes Forum ?

thx, das hilft schon mal ein stück weiter! eine frage, wenn ich root login verbiete, wie komm ich dann als root rein, hab ja keinen lokalen zugang zum vps?

ssh als user, und dann mit "su -" auf den root wechseln (vorher sicherstellen, daß du das mit dem User darfst :)

Der Grund ist ganz einfach: im Zweifelsfall muss dann jemand 2 Passwörter knacken statt einem. Weitere Spielereien, wie z.b. ssh login nur für die eigene Domain erlauben oder Adresskreise sperren würde ich aufgrund der technisch machbaren Probleme eher unterlassen - im Ernstfall kommst gar ned rein :D

Was rennt sonst drauf ?

Bin auch nicht sonderlich paranoid veranlagt ...

o kein root login
o ssh port verlegt (die blagen scannen immer 22 und müllen die logs voll)
o kein pwd login, sondern public/private key
o sudo benutzen
o shorewall für vereinfachung von iptables firewall
o rkhunter und chkrootkit als cron job

sonst nix.

noch rennt nix drauf, is ein nacktes fedora system, aber die eier rühren sich seit gestern nicht, sollte eigentlich schon aktiv sein. drauf rennen soll ein smtp server mit greylisting und einem ordentlichen spamfilter und irgendein webinterface zum dateien ablegen und abholen. ipcop kenn ich, ich frag mich nur, ob das mit bloß einem netzwerkinterface tut..

wirst für an smtp nicht auch sinnvollerweise dns brauchen ? nimm named-chroot als rpm, das ist ein bonus.

die firewall (ist schon dabei) ist ein iptables script. mach mal auf der maschine iptables-save, dann siehst du die aktuellen einstellungen.
die distribution ipcop ist was ganz anderes, und shorewall... naja, einmal eigerichtet rennts doch eh... vor allem, wenn nichts anderes als smtp (25er) und webzeugs/ftp drauf sollen - das sind grad mal eine handvoll regeln.

Das wird aber nicht viel bringen. Für solche Fälle verwende ich fail2ban :-)

Doch das bringt was. Die Logs bleiben sauber :p
Passwort-Login stelle ich gar nicht zur Verfügung ;-)

Ich bleibe doch lieber bei fail2ban :ja:. Da hat das potentielle Script Kiddy 3 Versuche frei bevor es gebannt wird.

Einen anderen SSH Port kann man mittels Portscan relativ leicht finden, deswegen ist diese Methode nicht wirklich optimal.

Die Muehe eines Portscanns macht sich aber kein Scriptkiddie-Massen-SSH-Breakin-Script.
Mir is es eigentlich wurscht, wenn da ein paar tausen Anfragen pro Tag reinkommen - dank Pubkey only fuehle ich mich trotzdem sicher, und logrotate schupft den Krempel nach spaetestens 3 Monaten zum Fenster raus.

ich hab kein fail2ban oder sonstiges und krieg für einen "heftigeren" tag vom logwatch etwa 30 versuche von (neulich) 75.27.106.59.dedicated.sakura.ne.jp gemeldet.

wirklich stressen tut mich das nicht, viel "lustiger" sind da die stümperhaften versuche, apache irgendwelche mysql-exploits unterzuschieben (wo doch kein sql ´druff is), oder die versuche, offen zu relayen. kommt zwar nix raus, aber im log stehts auf jeden fall - und ports ändern ist da nicht. war schon genug stress, den bind als hidden primary einzurichten, da tu ich mir mit postfix nicht nochmal die tour an. :)

30 Versuche sind nicht heftig. Da habe ich schon viel schlimmeres gesehen.

Aus einen meiner LogWatch Berichte von Heute:
Diese Chinesen haben 7 Stunden versucht sich auf einen meiner Server einzuloggen. Nach 3 Versuchen wurden sie immer von Fail2Ban für eine Stunde gebannt :hehe:

gut, fail2ban läuft (dank yum sofort) aber er lässt mich auch nach x fehlversuchen noch ran... was könnt da falsch laufen? im jails.conf hab ich schon bei der iptables-action den port von ssh auf den port gestellt auf dem bei mir ssh läuft.

hier mal der output von iptables -save zur allgemeinen analyse ob eh nur ssh offen is, thx!:
und fail2ban.log

Einmal geht es einmal nicht.
Ich bin für eine Sperre komplett aus dem Bereich, braucht eh keiner einen Zugriff.
http://www.okean.com/thegoods.html und Ruhe ist im Hühnerstall.

Sloter

Keine Ahnung wo da das Problem liegen kann, da ich Debian 4.0 verwende.

Ich persönlich habe mit den Red Hat basierenden Distributionen die schlechtesten Erfahrungen gemacht. Leider sind dort sehr oft die Pakete nur halb oder gar nicht richtig vorkonfiguriert. Zumindest wenn man die gut vorkonfigurierten Debian Pakete gewohnt ist, sind machen RPM Pakete wirklich eine Qual :(

ich weiss nur dass ich nicht weiss welches paket ich installieren muss, damit kde startet, kdm hab ich schon, aber startx is nicht vorhanden..
ist bei debian auch so gut wie alles vorkonfiguriert? ich brauch eine distri in der erstmal alles mit standardeinstellungen aus dem paketmanager heraus läuft, sonst bin ich verloren!

startx ist beim X11 dabei

LG

http://x.cygwin.com/docs/ug/using-re...emote-apps-ssh

jetzt kann ich über ssh xclient-anwendungen starten, aber wie krieg ich jetzt kde gestartet? bei startx über cygwinx krieg ich vom remote client die meldung
cannot find a free vt: invalid argument
??
thx!

ich probiers mit vnc

so, bisher alles super, vnc und squid über tunnel, firewall regeln hab ich auch halbwegs kapiert, eine frage noch, laut messages gibt es immer wieder dhcp anfragen. bedeuten die einträge, dass der fremde mit seiner anfrage kommentarlos abgewiesen wird oder kriegt er die letzte meldung mitgeteilt? thx!

hab jetzt openvpn mit zertifikaten zum laufen gebracht, jetzt stellt sich mir die frage, ob ich in iptables sämtlichen traffic von tun erlauben soll (gleiche regel wie lo), oder ob ich jeweils die benötigten ports von tun zum localhost freigeben soll. glaubt ihr es gibt realistische chancen, dass jemand über den openvpn reinkommt?

Ney.

Hast Du jetzt etwa KDE auf dem VPS Konto installiert? :eek:

ja, rennt auch 1a, nur brauch ichs nicht mehr, hab webmin entdeckt :-)

Normalerweise installiert man kein KDE oder sonstige grafische Oberfläche auf einen Webserver. Es sei den auf den Ding läuft Windows Server :ms:

Falls Du hauptsächlich Websites hosten willst, gibt es auch noch http://www.isp-control.net/ oder http://www.syscp.org/

danke

Daniel B. Cid entdeckte, dass fail2ban, ein Werkzeug zum Blockieren von IP-Adressen, die Anmelde-Probleme verursachen, zu liberal für das Verarbeiten von SSH-Log-Dateien ist. Dies ermöglicht einem Angreifer, jede IP-Adresse zu blockieren.
http://www.debian.org/security/2008/dsa-1456
DARUM rennt auf meinem server nicht mal iptables, sondern nur jene software, die unbedingt notwendig ist. wozu hat man schließlich ein NAT davor?
Jeder Daemon, dass die Systemkomplexität erhöht und nicht unbedingt notwendig ist, ist ein Daemon zuviel
Sicherheitsrelevante Filter etc. haben nicht mMn nicht lokal, sondern auf dedizierten Maschinen, die dafür ausgelegt sind (in meinem Fall ein Linksys WRT54G) zu rennen.

Und? Das Paket war Heute bei meinen täglichen Security Updates dabei :confused:

Also ich glaube kaum das man in Rechenzentren Consumerhardware wie den WRT54G verwenden sollte :D. Ausserdem sind meine Server üppig dimensioniert.

Es ist doch völlig egal, ob das heute upgedated wurde - Fakt is der Fehler war für lange Zeit offen (und vermutlich einigen Leuten bekannt, die jedoch kein Interesse daran hatten dass dies publik wird ;)) und während dieser Zeit hätte jeder der lustig ist den Server DoSen können.

Ob der Server im Rechenzentrum steht oder nicht, Sicherheits- und Applikationsebene gehört imho hardwaremäßig getrennt; damit meine ich eine getrennte Firewall. Eventuell könnte man diese auf einer Virtual Machine auf der selben Hardware laufen lassen, die optimale Lösung sind trotzdem 2 getrennte Maschinen (Beispiel: DDoS - die Firewall brennt ab und is im Eimer, dadurch is aber der eigentliche Server automatisch vom Netz getrennt, rennt weiter und es entsteht kein Datenverlust - die Dienste können sobald die Firewall ersetzt ist, wieder ans Netz gehen). Dass du dort vermutlich eine andere Hardware verwenden solltest, steht auf einem anderen Blatt, die Fähigkeit zur Adaptierung setzte ich prinzipiell voraus.

Die Dimensionierung der Hardware spielt für das Prinzip keine Rolle...

Unter diesen Gesichtspunkt hat aber auch Linux nichts auf einen produktiven Server verloren. Ganze drei Kernel Updates gab es allein im Dezember:
http://lists.debian.org/debian-secur.../msg00209.html
http://lists.debian.org/debian-secur.../msg00213.html
http://lists.debian.org/debian-secur.../msg00218.html

Also so ungeschützt ist ein Server im Rechenzentrum auch wieder nicht. Einige bieten sogar eine zuschaltbare Anti-DDoS Lösung :-)

Oh doch. Ein größer Server langweilt sich auch bei Hochlast ziemlich, während ein kleiner Server allein schon beim Filtern meiner knapp 10000 Spam Emails/Tag in die Knie gehen würde.

ich würde mal empfehlen, die haarspaltereien um prinzip <-> verwendbarkeit sein zu lassen. schliesslich kann es sein, daß er auf seiner site auch mit fail2ban nix zu schützen hat (was sind schon 50 versuchte logins pro tag ?)...

...oder er hat ein massives problem mit login attempts und malformed urls- diese problemchen wird aber ER erkennen und lösen müssen. "one size fits all" gibt es in der it schon lange nicht mehr, sorry.

das thema der performance ist weiters so eine sache - technisch gesehen könnte ich mir als privater etwa nagios, munin, statusmails, loadbalancing am webserver und weitere locker sparen. andererseits - es hat seine gründe, warum es rennt...


@schichtleiter: bei einem VPS konto wirst du kaum ein /xx netz bekommen, in das du NATen kannst. ist ja doch eher die sache eines eigenen standortes oder einer colocation, da kann man sowas recht leicht machen.


vielleicht noch eine gschicht aus dem realen leben: wir verwenden die WRTs zur anbindung von gebäudeteilen mit einer thibor firmware und außenantennen... im Rechenzentrum haben wir watchguard fireboxen (meist 750er) und parallel ASA oder PIX - klassische 2-vendor-policy.

was genau soll denn eine "hardware" firewall auf der erst wieder ne software läuft denn bringen? die notwendigen dienste sind auch mit einer "hardware" firewall weiterhin erreichbar und somit angreifbar.

eine vm bringt hier übrigens keine zusätzliche sicherheit, sondern eine zusätzliche gefahr durch lücken in der vm software.

wer unbedingt eine firewall "braucht", sollte zu einer integrierten lösung greifen. hierfür gibt es entsprechende pci lösungen, die "hardware" firewall wird sozusagen im server eingebaut. je nach geldbeutel kann man die firwall durch ein ids/ips system durchaus noch nützlich machen.

eine trivial frage hätt ich noch:
wenn ich eine neue gruppe anlege mit einem user, dann hat der user ausser auf sein home verzeichnis keine schreibrechte im system, oder? zb wenn apache den user apache in der gruppe apache kreiert dann kann der nur in seine programmverzeichnisse schreiben?

prinzipiell - ja. mit ausnahme von /tmp, halt. :)

aso, und wenn ich als root apache isntallier und der sich selbst einen user apache kreiert dann is der so gscheit in die verzeichnisse die gruppe apache mitzunehmen bevor er sich vom root zum apache degradiert? oder versteh ich da was falsch, die verzeichnisse gehörhen ja root, apache müsst also gar keinen zugriff haben?

ferndiagnose is ein bissl hart, weisst... :D

also, 1: bei meinem internen webserver gehört /var/www sowohl dem user als auch der gruppe www-data (zugriffsrechte oktal 775). die weltweiten rechte könnte ich auch runterschrauben, aber egal. das sollte entsprechend deinen vorgaben, vorlieben und applikationsanforderungen gesetzt sein.

2, es gibt einen user und gruppe www-data, wurde bei der installation von apache angelegt. login für den user ist nicht möglich.

3, wenn du SELINUX fährst, muss noch der security context passen.bspw.:

[www]# ls -alFZ
drwxrwxrwx apache apache system_u:object_r:httpd_sys_content_t gallery/
drwxr-xr-x apache apache system_u:object_r:httpd_sys_content_t html/
drwxr-xr-x apache apache system_u:object_r:httpd_sys_content_t icons/
drwxr-xr-x apache apache system_u:object_r:httpd_sys_content_t usage/


ad hoc fällt mir auch nicht wesentlich mehr ein, im zweifelsfall würde ich solche sachen immer restriktiver gestalten, bis probleme auftauchen. oder alternativ zuerst zumachen, und dann schrittweise bis zum gewünschten ergebnis öffnen. wie machts der colo ?

hallo!
so, nach 1000 tutorials und knapp am nervenkollaps etc hab ich postfix mit dovecot und auth über tls endlich am laufen, uff.

nur können jetzt alle user inklusive root über den sals-tls-smtp connecten.. wie berbiet ich root den smtp login? von der konfig her hab ichs ungefähr so wie hier, keine mysql db, keine login-files, ich hab keine ahnung von wo er sich die logindaten holt..

http://www.howtoforge.com/fedora-8-s...p-ispconfig-p5

sicher, daß du als root connecten kannst ?

mail versenden geht, aber dovecot...

siehe auch folgendes output von meiner maschine (RHEL5.1)

# Valid UID range for users, defaults to 500 and above. This is mostly
# to make sure that users can't log in as daemons or other system users.
# Note that denying root logins is hardcoded to dovecot binary and can't
# be done even if first_valid_uid is set to 0.
#first_valid_uid = 500
#last_valid_uid = 0
# Valid GID range for users, defaults to non-root/wheel. Users having
# non-valid GID as primary group ID aren't allowed to log in. If user
# belongs to supplementary groups with non-valid GIDs, those groups are
# not set.
#first_valid_gid = 1
#last_valid_gid = 0


-> damit lässt sich sicher was basteln, sag ich mal... :)