Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Debian 8.6 Absichern?

Mitglied: Motte990

Motte990 (Level 1) - Jetzt verbinden

28.11.2016 um 12:10 Uhr, 1402 Aufrufe, 14 Kommentare

Hallo Leute

zurzeit befasse ich mit Debian 8.6 in einer Vmware Umgebung.

Zum Einsatz kommen Debian 8.6 mit apache2 mysql proftpd webmin später vllt ein Mail Server.

Noch mal als Info das ist alles zum testen und es ist kein vserver oder root Server in einem Rechenzentrum.
Gern möchte ich aber alles das absichern bzw simulieren als wenn der Server im RZ steht.

Wie sichert man einen Debian Server am besten ab ?

Auf was muss man achten und welche Programme bzw tools brauch man ?


Was habe ich bis jetzt gemacht:

Debian frisch installiert
ssh port geändert
passwort login deaktiviert
root zugang mit keyfile gesichert
webmin installiert


MFG Motte990
Mitglied: Phill93
28.11.2016 um 12:48 Uhr
Hallo,

Für SSH solltest du noch auf jedenfall Fail2Ban installieren das dieser gegen BruteForce Angriffe geschützt ist.

Webmin sollte man nicht mehr verwenden siehe hier(https://wiki.ubuntuusers.de/Archiv/Webmin/)

Phill93
Bitte warten ..
Mitglied: SlainteMhath
28.11.2016 um 12:49 Uhr
Moin,

Hier gibts eine ausführliche Anleitung zu dem Thema.

Ansonsten:
- Webmin - weglassen, Konfiguration per ssh erledigen
- prosftp - weblassen, up/downloads per SFTP oder scp
- ssh port ändern - nicht nötig.

lg,
Slainte
Bitte warten ..
Mitglied: Sheogorath
28.11.2016 um 12:50 Uhr
Moin,

Debian frisch installiert
Gute sache.

ssh port geändert
Blöde Idee -> https://www.adayinthelifeof.nl/2012/03/12/why-putting-ssh-on-another-por ...

passwort login deaktiviert
richtig so

root zugang mit keyfile gesichert
Wenn du den root login komplett deaktivierst und dafür einen normalen Account anlegst, der sudo nutzen kann, bist du noch etwas besser unterwegs.

webmin installiert
Das macht natürlich den ganzen Hickhack von eben hinfällig. Webmin ist genau wie Dinge wie Plesk und Co. eine nette Sache, wenn man keine ahnung hat, aber ich empfehle es grundsätzlich nicht zu installieren.

Webmin setzt auch wieder auf klassische Username Passwort Methoden und endet in einem quasi root zugang für jeden der es schafft den passenden Account zu knacken. Absichern wirst du es damit nicht.

Was ich empfehlen kann:
https://www.digitalocean.com/community/tutorials/7-security-measures-to- ...
https://www.digitalocean.com/community/tutorials/an-introduction-to-secu ...
https://github.com/virus2500/blocklist-with-ipset

Es gibt so viele andere Ressourcen die ebenfalls zu empfehlen sind, aber das sprengt einfach den Rahmen.

Gruß
Chris
Bitte warten ..
Mitglied: Chonta
28.11.2016 um 12:52 Uhr
Hallo,

ssh port geändert
Bringt keine Sicherheit

passwort login deaktiviert
Gut

root zugang mit keyfile gesichert
Am besten wäre wenn sich root über ssh garnicht einloggen köännte sondern nur ein normaler Benutzer und dann erfolgt die Anmeldung als Root mit su und einem langen, sicheren root-passwort.

webmin installiert
Gleich wieder deinstallieren.

Zum administrieren des Server sollte nur die konsole verwendet werden oder die Webadministration ist so weit abgesichert, das da kein anderer Außer Dir da hin kommt.

Was Du noch brauchst ist iptables mit brauchbaren Filterregeln! Nur die Ports erlauben die von den Diensten benötigt werden.
Ausgehende neue Verbindungen z.B. darf nur der Benutzer root, alle anderen dürfen keine Verbindungen ins Internet aufbauen.

Fail2ban mit entsprechenden Regeln.

Gruß

Chonta
Bitte warten ..
Mitglied: Lochkartenstanzer
28.11.2016 um 13:07 Uhr
Moin,

  • ssh auf Standard-Port lassen
  • Fail2Ban
  • root-login deaktiveren
  • ssh nur mit key, ohne Paßwort
  • Nur öffentlich anzubietende Dienste (webserver, Mail, etc) erreichbar. Alle andere Dienste beenden/deaktivieren oder nur auf 127.0.0.1 binden
  • Administration nur über VPN oder ssh.

lks
Bitte warten ..
Mitglied: ashnod
28.11.2016 um 13:11 Uhr
Zitat von Sheogorath:
Das macht natürlich den ganzen Hickhack von eben hinfällig. Webmin ist genau wie Dinge wie Plesk und Co. eine nette Sache, wenn man keine ahnung hat, aber ich empfehle es grundsätzlich nicht zu installieren.

Moin ...
Ich möchte dein Weltbild nicht zerstören, aber es gibt durchaus vielfältige sinnvolle Gründe dafür Plesk einzusetzen und du kannst gerne empfehlen was immer du möchtest ... aber deine abwertende Beurteilung dazu darfst du gerne für dich behalten!

VG

Ashnod
Bitte warten ..
Mitglied: Deepsys
28.11.2016 um 13:26 Uhr
Zitat von Chonta:
Was Du noch brauchst ist iptables mit brauchbaren Filterregeln! Nur die Ports erlauben die von den Diensten benötigt werden.
Da möchte ich mal nachhaken:
Es macht doch eher Sinn Dienste die man nicht benötigt gleich wegzulassen.
Dann erledigt sich doch auch die Firewall, oder?
Was soll ich verbieten, wenn an den Ports eh nichts ist.

VG,
deepsys
Bitte warten ..
Mitglied: Lochkartenstanzer
28.11.2016 um 13:45 Uhr
Zitat von Deepsys:

Zitat von Chonta:
Was Du noch brauchst ist iptables mit brauchbaren Filterregeln! Nur die Ports erlauben die von den Diensten benötigt werden.
Da möchte ich mal nachhaken:
Es macht doch eher Sinn Dienste die man nicht benötigt gleich wegzulassen.
Dann erledigt sich doch auch die Firewall, oder?
Was soll ich verbieten, wenn an den Ports eh nichts ist.

Das ist die grundregel:

Alles was man nicht braucht, abstellen!

Und das was man braucht, was aber nicht für die öffentlichkeit bestimmt ist, nur auf 127.0.0.1 binden.

iptables-regeln um z.B. den Zugriff von ssh nru von bestimmten systemen zu erlauben sind nciht verkehrt.

lks
Bitte warten ..
Mitglied: Chonta
28.11.2016 um 14:09 Uhr
Es macht doch eher Sinn Dienste die man nicht benötigt gleich wegzulassen.
Das ist Standard!

Dann erledigt sich doch auch die Firewall, oder?
Es gibt aber Dineste die Du installierst die dann über ein Port erreichbar sind man aber nicht will das man die außer von localhost oder bestimmten IP-Adressen erreichen kann.
- Monitoring
- Dein Webmin könnte so konfiguriert werden das es auf 8443 lauscheot oder 8080 und nur von IPxyz ereichbar ist.
- Auch ohne rotrechte können Programme ausgeführt werden, die auf einem Port lauschen oder nach hause telefonieren wollen.
Ab dem Moment wo Du sicherstellen willst das deine Serverdienste nur auf Anfragen von außen reagieren und nur root selber Daten aus dem Interent nachladen darf brauchst Du iptables.
Firewalls sind ein Tor in Beiderichtungen, wenn so eingestellt, nicht nur von Internet zu deinem Rechner, auch von Deinem Rechner ins Internet.

Was soll ich verbieten, wenn an den Ports eh nichts ist.
Und Du weißt immer 100% welche Ports von Programmen geöffnet werden wenn Du was nach installierst?
Soll der nrpe von überall Verbindungen annehmen?
Es macht das Leben einfach nur einfacher
Und in Verbindung mit Fail2Ban und dessen Filterregeln werden IP die z.B. logins versuchen oderanderweitig auffällg sind geblockt.
Also ja das macht Sin
Man muss natürlich immer wissen was man macht.

Gruß

Chonta
Bitte warten ..
Mitglied: Deepsys
28.11.2016 um 14:32 Uhr
@LKA und Chonta.
OK, soweit verstanden
Bei mini-Webservern die eh nur port 80,443 und 22 machen, vielleicht nicht, aber schaden kann es auch nicht

Vor allem das Argument mit den nicht root-Programmen hat mich überzeugt
Bitte warten ..
Mitglied: Chonta
28.11.2016 um 14:35 Uhr
nicht root-Programmen
Genauergesagt stellst Du ein welche UserID nach draußen darf und welche nicht.
Du kannst ja mal auf deinem frisch installierten Server
machen, dann weißt Du auf was der so lauscht.

Gruß

Chonta
Bitte warten ..
Mitglied: 131725
06.12.2016, aktualisiert um 16:15 Uhr
Zitat von ashnod:

Zitat von Sheogorath:
Das macht natürlich den ganzen Hickhack von eben hinfällig. Webmin ist genau wie Dinge wie Plesk und Co. eine nette Sache, wenn man keine ahnung hat, aber ich empfehle es grundsätzlich nicht zu installieren.

Moin ...
Ich möchte dein Weltbild nicht zerstören, aber es gibt durchaus vielfältige sinnvolle Gründe dafür Plesk einzusetzen und du kannst gerne empfehlen was immer du möchtest ... aber deine abwertende Beurteilung dazu darfst du gerne für dich behalten!

Da ist aber jemand gekränkt. Klingt fast so, als wäre jemandes Weltbild zerstört worden. Vielfalt, Sinn und Plesk sind Worte, die in einem gemeinsamen Satz nichts verloren haben. Sheogorath hat allerdings ebenfalls ein klein wenig Unrecht, denn Plesk ist niemals eine nette Sache - Niemals. Ich wiederhole - Niemals. Und weil's so wahr ist, gleich nochmal: niemals.

Hinsichtlich der sicherheitsbezogenen Konfiguration von Debian lohnt es sich im Übrigen tatsächlich, diesen trockenen, und sich ziehenden Stoff einmal Hand in Hand mit Debby durchzugehen:
https://www.debian.org/doc/manuals/securing-debian-howto/
Bitte warten ..
Mitglied: Motte990
22.12.2016 um 09:52 Uhr
Kann mir einer sagen wie eine optimale jail.conf aus sehen sollte ?

Sowie was alles auf true steh soll / muss?
Bitte warten ..
Mitglied: Sheogorath
22.12.2016 um 13:14 Uhr
Moin,

alle Dienste, die was irgendwie authentifizierung von extern erlauben, sollten in deiner jail.conf bzw. genauer gesagt in deiner jail.local (best practice) vorkommen. Für all diese Dienste sollte also ein jail existieren und du die entsprechenden Logs auf falsche/fehlerhafte Logins überprüfen. Ggf. kann man hier noch Dienste "ausschließen", die einen solchen Rate-limiting mechanismus noch selbst implementiert haben, aber es schadet auch nicht sie mit drin zu haben.

Per default wird eine sehr ausführliches config-set mitgeliefert. Jetzt vergleichst du das einfach mal mit deinen offnen Ports und laufenden Prozessen. Alles wo du "bingo" rufen kannst, sollte auf true stehen und ggf. angepasst sein. Findest du mal keinen passenden Default-Regelsatz, schau mal im Web ob du einen passenden Filter findest, baue ihn selbst oder schau mal auf Freenode im #fail2ban channel vorbei. Je nachdem wer gerade anwesend ist, hat man da gerne mal Glück ;)

Gruß
Chris
Bitte warten ..
Ähnliche Inhalte
Netzwerkmanagement

Auf Debian 8.6 mit Putty zugreifen über SSH, Zugriff verweigert seit der neuen VM

gelöst Frage von M.MarzNetzwerkmanagement4 Kommentare

Hallo zusammen, ich habe vor kurzem Debian zu Testzwecken auf deinem XenServer installiert. Eine SSH verbindung mit Putty verlief ...

Voice over IP

Cisco CUCM 8.6 Fritzbox Siptrunk

Frage von Herbrich19Voice over IP2 Kommentare

Hallo, Ich habe mir jetzt eine Cisco CUCM 8.6 installiert. Schön, nur jetzt weiß ich nicht wie es weiter ...

Linux Desktop

Debian Netzwerkmanager

Frage von solardriftwoodLinux Desktop3 Kommentare

Hallo, ich hatte Linux Kodachi live gestartet, kann mich jedoch nicht per WLAN mit dem Internet verbinden, es funktioniert ...

Debian

Debian Server- Aktualisierungen

gelöst Frage von brammerDebian16 Kommentare

Hallo, bei uns sollen diverse Spezial Rechner mit einem Debian eingesetzt werden. An verschiedenen Standorten weltweit . Jetzt plant ...

Neue Wissensbeiträge
Virtualisierung

VEEAM Instant VM Recovery Datenverlust möglich

Information von sabines vor 2 StundenVirtualisierung

Wer instant VM Recovery unter Veeam nutzt, sollte seine Installation überprüfen. In manchen Fällen könnte es zu Datenverlust kommen, ...

Administrator.de Feedback
Hinweise auf Dienstleister oder auf Suchmaschinen
Information von Frank vor 3 TagenAdministrator.de Feedback71 Kommentare

Lieber User, Admins und Moderatoren, aus gegebenen Anlass möchte ich zwei Dinge endgültig klarstellen und für die Nachwelt festhalten: ...

Router & Routing

PfSense 2.4 IPSec VPN mobile Clients Phase 2 wird plötzlich nicht mehr aufgebaut - So einfach war die Lösung

Tipp von the-buccaneer vor 4 TagenRouter & Routing9 Kommentare

Moinsen! Nachdem ich mir hierbei nen Wolf gesucht habe, möchte ich doch die Welt an dieser simplen Lösung teilhaben ...

Humor (lol)
Wählscheiben Telefon
Information von brammer vor 4 TagenHumor (lol)4 Kommentare

Hallo, Mal wirkliche eine nette Spielerei brammer

Heiß diskutierte Inhalte
Backup
VMware ESXi Cluster Backup
Frage von ADRNEXBackup23 Kommentare

Hallo zusammen, Ich habe eine vmware esxi cluster Umgebung mit ca. 20TB Daten, die auf einem SAN liegen. Es ...

Netzwerkmanagement
Softwareverteilung für kleines Unternehmen mit sehr gemixter Hardware
gelöst Frage von BavarianSysadNetzwerkmanagement20 Kommentare

Hallo zusammen^^, ich stehe vor dem Problem das wir im Unternehmen eine Softwareverteilung einführen soll, leider ist dies wie ...

Windows 10
Dell Optiplex 790 Installation Windows 10
gelöst Frage von Ghost108Windows 1016 Kommentare

Guten morgen zusammen, möchte gerne auf meinem Optiplex 790 Windows 10 installieren (Clean Install). Habe das BIOS von Legacy ...

Sicherheit
Windows 10 zusperren (Ähnlich Kiosk-Modus)
Frage von SignumV6Sicherheit12 Kommentare

Hallo werte Wissende, ich suche eine Möglichkeit (Software) Windows 10 so zuzudrehen das nur ein Programm + einen PDF-Reader ...