fedora 7 fürs inet abhärten? - Seite 4

Philipp · 10.01.2008, 21:28

Zitat:

Original geschrieben von schichtleiter
Es ist doch völlig egal, ob das heute upgedated wurde - Fakt is der Fehler war für lange Zeit offen (und vermutlich einigen Leuten bekannt, die jedoch kein Interesse daran hatten dass dies publik wird ) und während dieser Zeit hätte jeder der lustig ist den Server DoSen können.

Unter diesen Gesichtspunkt hat aber auch Linux nichts auf einen produktiven Server verloren. Ganze drei Kernel Updates gab es allein im Dezember:
http://lists.debian.org/debian-secur.../msg00209.html
http://lists.debian.org/debian-secur.../msg00213.html
http://lists.debian.org/debian-secur.../msg00218.html

Zitat:

Original geschrieben von schichtleiter
Ob der Server im Rechenzentrum steht oder nicht, Sicherheits- und Applikationsebene gehört imho hardwaremäßig getrennt; damit meine ich eine getrennte Firewall. Eventuell könnte man diese auf einer Virtual Machine auf der selben Hardware laufen lassen, die optimale Lösung sind trotzdem 2 getrennte Maschinen (Beispiel: DDoS - die Firewall brennt ab und is im Eimer, dadurch is aber der eigentliche Server automatisch vom Netz getrennt, rennt weiter und es entsteht kein Datenverlust - die Dienste können sobald die Firewall ersetzt ist, wieder ans Netz gehen). Dass du dort vermutlich eine andere Hardware verwenden solltest, steht auf einem anderen Blatt, die Fähigkeit zur Adaptierung setzte ich prinzipiell voraus.

Also so ungeschützt ist ein Server im Rechenzentrum auch wieder nicht. Einige bieten sogar eine zuschaltbare Anti-DDoS Lösung

Zitat:

Original geschrieben von schichtleiter
Die Dimensionierung der Hardware spielt für das Prinzip keine Rolle...

Oh doch. Ein größer Server langweilt sich auch bei Hochlast ziemlich, während ein kleiner Server allein schon beim Filtern meiner knapp 10000 Spam Emails/Tag in die Knie gehen würde.

ingomar · 11.01.2008, 09:05

ich würde mal empfehlen, die haarspaltereien um prinzip <-> verwendbarkeit sein zu lassen. schliesslich kann es sein, daß er auf seiner site auch mit fail2ban nix zu schützen hat (was sind schon 50 versuchte logins pro tag ?)...

...oder er hat ein massives problem mit login attempts und malformed urls- diese problemchen wird aber ER erkennen und lösen müssen. "one size fits all" gibt es in der it schon lange nicht mehr, sorry.

das thema der performance ist weiters so eine sache - technisch gesehen könnte ich mir als privater etwa nagios, munin, statusmails, loadbalancing am webserver und weitere locker sparen. andererseits - es hat seine gründe, warum es rennt...

@schichtleiter: bei einem VPS konto wirst du kaum ein /xx netz bekommen, in das du NATen kannst. ist ja doch eher die sache eines eigenen standortes oder einer colocation, da kann man sowas recht leicht machen.

vielleicht noch eine gschicht aus dem realen leben: wir verwenden die WRTs zur anbindung von gebäudeteilen mit einer thibor firmware und außenantennen... im Rechenzentrum haben wir watchguard fireboxen (meist 750er) und parallel ASA oder PIX - klassische 2-vendor-policy.

spunz · 11.01.2008, 21:42

Zitat:

Original geschrieben von schichtleiter

Ob der Server im Rechenzentrum steht oder nicht, Sicherheits- und Applikationsebene gehört imho hardwaremäßig getrennt

was genau soll denn eine "hardware" firewall auf der erst wieder ne software läuft denn bringen? die notwendigen dienste sind auch mit einer "hardware" firewall weiterhin erreichbar und somit angreifbar.

eine vm bringt hier übrigens keine zusätzliche sicherheit, sondern eine zusätzliche gefahr durch lücken in der vm software.

wer unbedingt eine firewall "braucht", sollte zu einer integrierten lösung greifen. hierfür gibt es entsprechende pci lösungen, die "hardware" firewall wird sozusagen im server eingebaut. je nach geldbeutel kann man die firwall durch ein ids/ips system durchaus noch nützlich machen.

le bart · 13.01.2008, 15:16

eine trivial frage hätt ich noch:
wenn ich eine neue gruppe anlege mit einem user, dann hat der user ausser auf sein home verzeichnis keine schreibrechte im system, oder? zb wenn apache den user apache in der gruppe apache kreiert dann kann der nur in seine programmverzeichnisse schreiben?

ingomar · 14.01.2008, 09:28

prinzipiell - ja. mit ausnahme von /tmp, halt.

le bart · 14.01.2008, 17:02

aso, und wenn ich als root apache isntallier und der sich selbst einen user apache kreiert dann is der so gscheit in die verzeichnisse die gruppe apache mitzunehmen bevor er sich vom root zum apache degradiert? oder versteh ich da was falsch, die verzeichnisse gehörhen ja root, apache müsst also gar keinen zugriff haben?

ingomar · 15.01.2008, 11:17

ferndiagnose is ein bissl hart, weisst...

also, 1: bei meinem internen webserver gehört /var/www sowohl dem user als auch der gruppe www-data (zugriffsrechte oktal 775). die weltweiten rechte könnte ich auch runterschrauben, aber egal. das sollte entsprechend deinen vorgaben, vorlieben und applikationsanforderungen gesetzt sein.

2, es gibt einen user und gruppe www-data, wurde bei der installation von apache angelegt. login für den user ist nicht möglich.

3, wenn du SELINUX fährst, muss noch der security context passen.bspw.:

[www]# ls -alFZ
drwxrwxrwx apache apache system_u

bject_r:httpd_sys_content_t gallery/
drwxr-xr-x apache apache system_u

bject_r:httpd_sys_content_t html/
drwxr-xr-x apache apache system_u

bject_r:httpd_sys_content_t icons/
drwxr-xr-x apache apache system_u

bject_r:httpd_sys_content_t usage/

ad hoc fällt mir auch nicht wesentlich mehr ein, im zweifelsfall würde ich solche sachen immer restriktiver gestalten, bis probleme auftauchen. oder alternativ zuerst zumachen, und dann schrittweise bis zum gewünschten ergebnis öffnen. wie machts der colo ?

le bart · 27.01.2008, 19:34

hallo!
so, nach 1000 tutorials und knapp am nervenkollaps etc hab ich postfix mit dovecot und auth über tls endlich am laufen, uff.

nur können jetzt alle user inklusive root über den sals-tls-smtp connecten.. wie berbiet ich root den smtp login? von der konfig her hab ichs ungefähr so wie hier, keine mysql db, keine login-files, ich hab keine ahnung von wo er sich die logindaten holt..

http://www.howtoforge.com/fedora-8-s...p-ispconfig-p5

ingomar · 05.02.2008, 00:13

sicher, daß du als root connecten kannst ?

mail versenden geht, aber dovecot...

siehe auch folgendes output von meiner maschine (RHEL5.1)

# Valid UID range for users, defaults to 500 and above. This is mostly
# to make sure that users can't log in as daemons or other system users.
# Note that denying root logins is hardcoded to dovecot binary and can't
# be done even if first_valid_uid is set to 0.
#first_valid_uid = 500
#last_valid_uid = 0
# Valid GID range for users, defaults to non-root/wheel. Users having
# non-valid GID as primary group ID aren't allowed to log in. If user
# belongs to supplementary groups with non-valid GIDs, those groups are
# not set.
#first_valid_gid = 1
#last_valid_gid = 0

-> damit lässt sich sicher was basteln, sag ich mal...

15.01.2008, 11:17	#37
ingomar rh 805007434729099 Registriert seit: 03.09.2003 Ort: wien Alter: 55 Beiträge: 710	ferndiagnose is ein bissl hart, weisst... also, 1: bei meinem internen webserver gehört /var/www sowohl dem user als auch der gruppe www-data (zugriffsrechte oktal 775). die weltweiten rechte könnte ich auch runterschrauben, aber egal. das sollte entsprechend deinen vorgaben, vorlieben und applikationsanforderungen gesetzt sein. 2, es gibt einen user und gruppe www-data, wurde bei der installation von apache angelegt. login für den user ist nicht möglich. 3, wenn du SELINUX fährst, muss noch der security context passen.bspw.: [www]# ls -alFZ drwxrwxrwx apache apache system_ubject_r:httpd_sys_content_t gallery/ drwxr-xr-x apache apache system_ubject_r:httpd_sys_content_t html/ drwxr-xr-x apache apache system_ubject_r:httpd_sys_content_t icons/ drwxr-xr-x apache apache system_ubject_r:httpd_sys_content_t usage/ ad hoc fällt mir auch nicht wesentlich mehr ein, im zweifelsfall würde ich solche sachen immer restriktiver gestalten, bis probleme auftauchen. oder alternativ zuerst zumachen, und dann schrittweise bis zum gewünschten ergebnis öffnen. wie machts der colo ?

11.01.2008, 09:05	#32
ingomar rh 805007434729099 Registriert seit: 03.09.2003 Ort: wien Alter: 55 Beiträge: 710	ich würde mal empfehlen, die haarspaltereien um prinzip <-> verwendbarkeit sein zu lassen. schliesslich kann es sein, daß er auf seiner site auch mit fail2ban nix zu schützen hat (was sind schon 50 versuchte logins pro tag ?)... ...oder er hat ein massives problem mit login attempts und malformed urls- diese problemchen wird aber ER erkennen und lösen müssen. "one size fits all" gibt es in der it schon lange nicht mehr, sorry. das thema der performance ist weiters so eine sache - technisch gesehen könnte ich mir als privater etwa nagios, munin, statusmails, loadbalancing am webserver und weitere locker sparen. andererseits - es hat seine gründe, warum es rennt... @schichtleiter: bei einem VPS konto wirst du kaum ein /xx netz bekommen, in das du NATen kannst. ist ja doch eher die sache eines eigenen standortes oder einer colocation, da kann man sowas recht leicht machen. vielleicht noch eine gschicht aus dem realen leben: wir verwenden die WRTs zur anbindung von gebäudeteilen mit einer thibor firmware und außenantennen... im Rechenzentrum haben wir watchguard fireboxen (meist 750er) und parallel ASA oder PIX - klassische 2-vendor-policy.

13.01.2008, 15:16	#34
le bart Veteran Registriert seit: 07.11.2003 Alter: 51 Beiträge: 393	eine trivial frage hätt ich noch: wenn ich eine neue gruppe anlege mit einem user, dann hat der user ausser auf sein home verzeichnis keine schreibrechte im system, oder? zb wenn apache den user apache in der gruppe apache kreiert dann kann der nur in seine programmverzeichnisse schreiben?

14.01.2008, 09:28	#35
ingomar rh 805007434729099 Registriert seit: 03.09.2003 Ort: wien Alter: 55 Beiträge: 710	prinzipiell - ja. mit ausnahme von /tmp, halt.

14.01.2008, 17:02	#36
le bart Veteran Registriert seit: 07.11.2003 Alter: 51 Beiträge: 393	aso, und wenn ich als root apache isntallier und der sich selbst einen user apache kreiert dann is der so gscheit in die verzeichnisse die gruppe apache mitzunehmen bevor er sich vom root zum apache degradiert? oder versteh ich da was falsch, die verzeichnisse gehörhen ja root, apache müsst also gar keinen zugriff haben?

27.01.2008, 19:34	#38
le bart Veteran Registriert seit: 07.11.2003 Alter: 51 Beiträge: 393	hallo! so, nach 1000 tutorials und knapp am nervenkollaps etc hab ich postfix mit dovecot und auth über tls endlich am laufen, uff. nur können jetzt alle user inklusive root über den sals-tls-smtp connecten.. wie berbiet ich root den smtp login? von der konfig her hab ichs ungefähr so wie hier, keine mysql db, keine login-files, ich hab keine ahnung von wo er sich die logindaten holt.. http://www.howtoforge.com/fedora-8-s...p-ispconfig-p5

05.02.2008, 00:13	#39
ingomar rh 805007434729099 Registriert seit: 03.09.2003 Ort: wien Alter: 55 Beiträge: 710	sicher, daß du als root connecten kannst ? mail versenden geht, aber dovecot... siehe auch folgendes output von meiner maschine (RHEL5.1) # Valid UID range for users, defaults to 500 and above. This is mostly # to make sure that users can't log in as daemons or other system users. # Note that denying root logins is hardcoded to dovecot binary and can't # be done even if first_valid_uid is set to 0. #first_valid_uid = 500 #last_valid_uid = 0 # Valid GID range for users, defaults to non-root/wheel. Users having # non-valid GID as primary group ID aren't allowed to log in. If user # belongs to supplementary groups with non-valid GIDs, those groups are # not set. #first_valid_gid = 1 #last_valid_gid = 0 -> damit lässt sich sicher was basteln, sag ich mal...

Aktive Benutzer in diesem Thema: 1 (Registrierte Benutzer: 0, Gäste: 1)