14
Debian 8.6 Absichern?
Hallo Leute
zurzeit befasse ich mit Debian 8.6 in einer Vmware Umgebung.
Zum Einsatz kommen Debian 8.6 mit apache2 mysql proftpd webmin später vllt ein Mail Server.
Noch mal als Info das ist alles zum testen und es ist kein vserver oder root Server in einem Rechenzentrum.
Gern möchte ich aber alles das absichern bzw simulieren als wenn der Server im RZ steht.
Wie sichert man einen Debian Server am besten ab ?
Auf was muss man achten und welche Programme bzw tools brauch man ?
Was habe ich bis jetzt gemacht:
Debian frisch installiert
ssh port geändert
passwort login deaktiviert
root zugang mit keyfile gesichert
webmin installiert
MFG Motte990
zurzeit befasse ich mit Debian 8.6 in einer Vmware Umgebung.
Zum Einsatz kommen Debian 8.6 mit apache2 mysql proftpd webmin später vllt ein Mail Server.
Noch mal als Info das ist alles zum testen und es ist kein vserver oder root Server in einem Rechenzentrum.
Gern möchte ich aber alles das absichern bzw simulieren als wenn der Server im RZ steht.
Wie sichert man einen Debian Server am besten ab ?
Auf was muss man achten und welche Programme bzw tools brauch man ?
Was habe ich bis jetzt gemacht:
Debian frisch installiert
ssh port geändert
passwort login deaktiviert
root zugang mit keyfile gesichert
webmin installiert
MFG Motte990
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 322303
Url: https://administrator.de/contentid/322303
Ausgedruckt am: 22.11.2024 um 06:11 Uhr
14 Kommentare
Neuester Kommentar
Hallo,
Für SSH solltest du noch auf jedenfall Fail2Ban installieren das dieser gegen BruteForce Angriffe geschützt ist.
Webmin sollte man nicht mehr verwenden siehe hier(https://wiki.ubuntuusers.de/Archiv/Webmin/)
Phill93
Für SSH solltest du noch auf jedenfall Fail2Ban installieren das dieser gegen BruteForce Angriffe geschützt ist.
Webmin sollte man nicht mehr verwenden siehe hier(https://wiki.ubuntuusers.de/Archiv/Webmin/)
Phill93
Moin,
Hier gibts eine ausführliche Anleitung zu dem Thema.
Ansonsten:
- Webmin - weglassen, Konfiguration per ssh erledigen
- prosftp - weblassen, up/downloads per SFTP oder scp
- ssh port ändern - nicht nötig.
lg,
Slainte
Hier gibts eine ausführliche Anleitung zu dem Thema.
Ansonsten:
- Webmin - weglassen, Konfiguration per ssh erledigen
- prosftp - weblassen, up/downloads per SFTP oder scp
- ssh port ändern - nicht nötig.
lg,
Slainte
Moin,
Webmin setzt auch wieder auf klassische Username Passwort Methoden und endet in einem quasi root zugang für jeden der es schafft den passenden Account zu knacken. Absichern wirst du es damit nicht.
Was ich empfehlen kann:
https://www.digitalocean.com/community/tutorials/7-security-measures-to- ...
https://www.digitalocean.com/community/tutorials/an-introduction-to-secu ...
https://github.com/virus2500/blocklist-with-ipset
Es gibt so viele andere Ressourcen die ebenfalls zu empfehlen sind, aber das sprengt einfach den Rahmen.
Gruß
Chris
Debian frisch installiert
Gute sache.ssh port geändert
Blöde Idee -> https://www.adayinthelifeof.nl/2012/03/12/why-putting-ssh-on-another-por ...passwort login deaktiviert
richtig so root zugang mit keyfile gesichert
Wenn du den root login komplett deaktivierst und dafür einen normalen Account anlegst, der sudo nutzen kann, bist du noch etwas besser unterwegs.webmin installiert
Das macht natürlich den ganzen Hickhack von eben hinfällig. Webmin ist genau wie Dinge wie Plesk und Co. eine nette Sache, wenn man keine ahnung hat, aber ich empfehle es grundsätzlich nicht zu installieren.Webmin setzt auch wieder auf klassische Username Passwort Methoden und endet in einem quasi root zugang für jeden der es schafft den passenden Account zu knacken. Absichern wirst du es damit nicht.
Was ich empfehlen kann:
https://www.digitalocean.com/community/tutorials/7-security-measures-to- ...
https://www.digitalocean.com/community/tutorials/an-introduction-to-secu ...
https://github.com/virus2500/blocklist-with-ipset
Es gibt so viele andere Ressourcen die ebenfalls zu empfehlen sind, aber das sprengt einfach den Rahmen.
Gruß
Chris
Hallo,
Zum administrieren des Server sollte nur die konsole verwendet werden oder die Webadministration ist so weit abgesichert, das da kein anderer Außer Dir da hin kommt.
Was Du noch brauchst ist iptables mit brauchbaren Filterregeln! Nur die Ports erlauben die von den Diensten benötigt werden.
Ausgehende neue Verbindungen z.B. darf nur der Benutzer root, alle anderen dürfen keine Verbindungen ins Internet aufbauen.
Fail2ban mit entsprechenden Regeln.
Gruß
Chonta
ssh port geändert
Bringt keine Sicherheitpasswort login deaktiviert
Gutroot zugang mit keyfile gesichert
Am besten wäre wenn sich root über ssh garnicht einloggen köännte sondern nur ein normaler Benutzer und dann erfolgt die Anmeldung als Root mit su und einem langen, sicheren root-passwort.webmin installiert
Gleich wieder deinstallieren.Zum administrieren des Server sollte nur die konsole verwendet werden oder die Webadministration ist so weit abgesichert, das da kein anderer Außer Dir da hin kommt.
Was Du noch brauchst ist iptables mit brauchbaren Filterregeln! Nur die Ports erlauben die von den Diensten benötigt werden.
Ausgehende neue Verbindungen z.B. darf nur der Benutzer root, alle anderen dürfen keine Verbindungen ins Internet aufbauen.
Fail2ban mit entsprechenden Regeln.
Gruß
Chonta
Moin,
lks
- ssh auf Standard-Port lassen
- Fail2Ban
- root-login deaktiveren
- ssh nur mit key, ohne Paßwort
- Nur öffentlich anzubietende Dienste (webserver, Mail, etc) erreichbar. Alle andere Dienste beenden/deaktivieren oder nur auf 127.0.0.1 binden
- Administration nur über VPN oder ssh.
lks
Zitat von @Sheogorath:
Das macht natürlich den ganzen Hickhack von eben hinfällig. Webmin ist genau wie Dinge wie Plesk und Co. eine nette Sache, wenn man keine ahnung hat, aber ich empfehle es grundsätzlich nicht zu installieren.
Das macht natürlich den ganzen Hickhack von eben hinfällig. Webmin ist genau wie Dinge wie Plesk und Co. eine nette Sache, wenn man keine ahnung hat, aber ich empfehle es grundsätzlich nicht zu installieren.
Moin ...
Ich möchte dein Weltbild nicht zerstören, aber es gibt durchaus vielfältige sinnvolle Gründe dafür Plesk einzusetzen und du kannst gerne empfehlen was immer du möchtest ... aber deine abwertende Beurteilung dazu darfst du gerne für dich behalten!
VG
Ashnod
Zitat von @Chonta:
Was Du noch brauchst ist iptables mit brauchbaren Filterregeln! Nur die Ports erlauben die von den Diensten benötigt werden.
Da möchte ich mal nachhaken:Was Du noch brauchst ist iptables mit brauchbaren Filterregeln! Nur die Ports erlauben die von den Diensten benötigt werden.
Es macht doch eher Sinn Dienste die man nicht benötigt gleich wegzulassen.
Dann erledigt sich doch auch die Firewall, oder?
Was soll ich verbieten, wenn an den Ports eh nichts ist.
VG,
deepsys
Zitat von @Deepsys:
Es macht doch eher Sinn Dienste die man nicht benötigt gleich wegzulassen.
Dann erledigt sich doch auch die Firewall, oder?
Was soll ich verbieten, wenn an den Ports eh nichts ist.
Zitat von @Chonta:
Was Du noch brauchst ist iptables mit brauchbaren Filterregeln! Nur die Ports erlauben die von den Diensten benötigt werden.
Da möchte ich mal nachhaken:Was Du noch brauchst ist iptables mit brauchbaren Filterregeln! Nur die Ports erlauben die von den Diensten benötigt werden.
Es macht doch eher Sinn Dienste die man nicht benötigt gleich wegzulassen.
Dann erledigt sich doch auch die Firewall, oder?
Was soll ich verbieten, wenn an den Ports eh nichts ist.
Das ist die grundregel:
Alles was man nicht braucht, abstellen!
Und das was man braucht, was aber nicht für die öffentlichkeit bestimmt ist, nur auf 127.0.0.1 binden.
iptables-regeln um z.B. den Zugriff von ssh nru von bestimmten systemen zu erlauben sind nciht verkehrt.
lks
Es macht doch eher Sinn Dienste die man nicht benötigt gleich wegzulassen.
Das ist Standard!Dann erledigt sich doch auch die Firewall, oder?
Es gibt aber Dineste die Du installierst die dann über ein Port erreichbar sind man aber nicht will das man die außer von localhost oder bestimmten IP-Adressen erreichen kann.- Monitoring
- Dein Webmin könnte so konfiguriert werden das es auf 8443 lauscheot oder 8080 und nur von IPxyz ereichbar ist.
- Auch ohne rotrechte können Programme ausgeführt werden, die auf einem Port lauschen oder nach hause telefonieren wollen.
Ab dem Moment wo Du sicherstellen willst das deine Serverdienste nur auf Anfragen von außen reagieren und nur root selber Daten aus dem Interent nachladen darf brauchst Du iptables.
Firewalls sind ein Tor in Beiderichtungen, wenn so eingestellt, nicht nur von Internet zu deinem Rechner, auch von Deinem Rechner ins Internet.
Was soll ich verbieten, wenn an den Ports eh nichts ist.
Und Du weißt immer 100% welche Ports von Programmen geöffnet werden wenn Du was nach installierst?Soll der nrpe von überall Verbindungen annehmen?
Es macht das Leben einfach nur einfacher
Und in Verbindung mit Fail2Ban und dessen Filterregeln werden IP die z.B. logins versuchen oderanderweitig auffällg sind geblockt.
Also ja das macht Sin
Man muss natürlich immer wissen was man macht.
Gruß
Chonta
@lka und Chonta.
OK, soweit verstanden
Bei mini-Webservern die eh nur port 80,443 und 22 machen, vielleicht nicht, aber schaden kann es auch nicht
Vor allem das Argument mit den nicht root-Programmen hat mich überzeugt
OK, soweit verstanden
Bei mini-Webservern die eh nur port 80,443 und 22 machen, vielleicht nicht, aber schaden kann es auch nicht
Vor allem das Argument mit den nicht root-Programmen hat mich überzeugt
nicht root-Programmen
Genauergesagt stellst Du ein welche UserID nach draußen darf und welche nicht.Du kannst ja mal auf deinem frisch installierten Server
netstat -tulpen|grep LISTENGruß
Chonta
Zitat von @ashnod:
Moin ...
Ich möchte dein Weltbild nicht zerstören, aber es gibt durchaus vielfältige sinnvolle Gründe dafür Plesk einzusetzen und du kannst gerne empfehlen was immer du möchtest ... aber deine abwertende Beurteilung dazu darfst du gerne für dich behalten!
Zitat von @Sheogorath:
Das macht natürlich den ganzen Hickhack von eben hinfällig. Webmin ist genau wie Dinge wie Plesk und Co. eine nette Sache, wenn man keine ahnung hat, aber ich empfehle es grundsätzlich nicht zu installieren.
Das macht natürlich den ganzen Hickhack von eben hinfällig. Webmin ist genau wie Dinge wie Plesk und Co. eine nette Sache, wenn man keine ahnung hat, aber ich empfehle es grundsätzlich nicht zu installieren.
Moin ...
Ich möchte dein Weltbild nicht zerstören, aber es gibt durchaus vielfältige sinnvolle Gründe dafür Plesk einzusetzen und du kannst gerne empfehlen was immer du möchtest ... aber deine abwertende Beurteilung dazu darfst du gerne für dich behalten!
Da ist aber jemand gekränkt. Klingt fast so, als wäre jemandes Weltbild zerstört worden. Vielfalt, Sinn und Plesk sind Worte, die in einem gemeinsamen Satz nichts verloren haben. Sheogorath hat allerdings ebenfalls ein klein wenig Unrecht, denn Plesk ist niemals eine nette Sache - Niemals. Ich wiederhole - Niemals. Und weil's so wahr ist, gleich nochmal: niemals.
Hinsichtlich der sicherheitsbezogenen Konfiguration von Debian lohnt es sich im Übrigen tatsächlich, diesen trockenen, und sich ziehenden Stoff einmal Hand in Hand mit Debby durchzugehen:
https://www.debian.org/doc/manuals/securing-debian-howto/
Kann mir einer sagen wie eine optimale jail.conf aus sehen sollte ?
Sowie was alles auf true steh soll / muss?
Sowie was alles auf true steh soll / muss?
Moin,
alle Dienste, die was irgendwie authentifizierung von extern erlauben, sollten in deiner jail.conf bzw. genauer gesagt in deiner jail.local (best practice) vorkommen. Für all diese Dienste sollte also ein jail existieren und du die entsprechenden Logs auf falsche/fehlerhafte Logins überprüfen. Ggf. kann man hier noch Dienste "ausschließen", die einen solchen Rate-limiting mechanismus noch selbst implementiert haben, aber es schadet auch nicht sie mit drin zu haben.
Per default wird eine sehr ausführliches config-set mitgeliefert. Jetzt vergleichst du das einfach mal mit deinen offnen Ports und laufenden Prozessen. Alles wo du "bingo" rufen kannst, sollte auf true stehen und ggf. angepasst sein. Findest du mal keinen passenden Default-Regelsatz, schau mal im Web ob du einen passenden Filter findest, baue ihn selbst oder schau mal auf Freenode im #fail2ban channel vorbei. Je nachdem wer gerade anwesend ist, hat man da gerne mal Glück ;)
Gruß
Chris
alle Dienste, die was irgendwie authentifizierung von extern erlauben, sollten in deiner jail.conf bzw. genauer gesagt in deiner jail.local (best practice) vorkommen. Für all diese Dienste sollte also ein jail existieren und du die entsprechenden Logs auf falsche/fehlerhafte Logins überprüfen. Ggf. kann man hier noch Dienste "ausschließen", die einen solchen Rate-limiting mechanismus noch selbst implementiert haben, aber es schadet auch nicht sie mit drin zu haben.
Per default wird eine sehr ausführliches config-set mitgeliefert. Jetzt vergleichst du das einfach mal mit deinen offnen Ports und laufenden Prozessen. Alles wo du "bingo" rufen kannst, sollte auf true stehen und ggf. angepasst sein. Findest du mal keinen passenden Default-Regelsatz, schau mal im Web ob du einen passenden Filter findest, baue ihn selbst oder schau mal auf Freenode im #fail2ban channel vorbei. Je nachdem wer gerade anwesend ist, hat man da gerne mal Glück ;)
Gruß
Chris
