fedora 7 fürs inet abhärten?
 

hallo, ich bräucht mal eine initialzündungsantwort: hab mir grad ein fedora7-vps konto gekauft. was muss ich als erstes einstellen, damit das nicht innerhalb 10 minuten gekapert wird? ich glaub zugang hab ich per ssh. thx!!

schau mal was alles offen ist (netstat -taupen) und was die firewall so alles schluckt (more /etc/sysconfig/iptables).

zum "härten" würde ich root und hauptbenutzer verschiedene passwörter verpassen ( echo PASSWORT | passwd --stdin root) und dann root login verbieten (vi /etc/ssh/sshd_config - die zeile AllowRootLogin editieren).

quotas für den entsprechenden Benutzer einrichten (wenns ein Applikationsbenutzer ist), und gegebenenfalls die Shell in der passwd auf "false" setzen, wenn keine interaktive Shell benötigt wird.

SELINUX aktivieren (weiss jetzt nicht, ob das beim 7er dabei ist) und die erste Zeit mal die Logs ansehen. Mailserver Sendmail oder Postfix nur auf localhost lauschen lassen, per iptables sicherheitshalber zumachen...

Weitere Ideen, wertes Forum ?

thx, das hilft schon mal ein stück weiter! eine frage, wenn ich root login verbiete, wie komm ich dann als root rein, hab ja keinen lokalen zugang zum vps?

ssh als user, und dann mit "su -" auf den root wechseln (vorher sicherstellen, daß du das mit dem User darfst :)

Der Grund ist ganz einfach: im Zweifelsfall muss dann jemand 2 Passwörter knacken statt einem. Weitere Spielereien, wie z.b. ssh login nur für die eigene Domain erlauben oder Adresskreise sperren würde ich aufgrund der technisch machbaren Probleme eher unterlassen - im Ernstfall kommst gar ned rein :D

Was rennt sonst drauf ?

Bin auch nicht sonderlich paranoid veranlagt ...

o kein root login
o ssh port verlegt (die blagen scannen immer 22 und müllen die logs voll)
o kein pwd login, sondern public/private key
o sudo benutzen
o shorewall für vereinfachung von iptables firewall
o rkhunter und chkrootkit als cron job

sonst nix.

noch rennt nix drauf, is ein nacktes fedora system, aber die eier rühren sich seit gestern nicht, sollte eigentlich schon aktiv sein. drauf rennen soll ein smtp server mit greylisting und einem ordentlichen spamfilter und irgendein webinterface zum dateien ablegen und abholen. ipcop kenn ich, ich frag mich nur, ob das mit bloß einem netzwerkinterface tut..

wirst für an smtp nicht auch sinnvollerweise dns brauchen ? nimm named-chroot als rpm, das ist ein bonus.

die firewall (ist schon dabei) ist ein iptables script. mach mal auf der maschine iptables-save, dann siehst du die aktuellen einstellungen.
die distribution ipcop ist was ganz anderes, und shorewall... naja, einmal eigerichtet rennts doch eh... vor allem, wenn nichts anderes als smtp (25er) und webzeugs/ftp drauf sollen - das sind grad mal eine handvoll regeln.

Das wird aber nicht viel bringen. Für solche Fälle verwende ich fail2ban :-)

Doch das bringt was. Die Logs bleiben sauber :p
Passwort-Login stelle ich gar nicht zur Verfügung ;-)

Ich bleibe doch lieber bei fail2ban :ja:. Da hat das potentielle Script Kiddy 3 Versuche frei bevor es gebannt wird.

Einen anderen SSH Port kann man mittels Portscan relativ leicht finden, deswegen ist diese Methode nicht wirklich optimal.