Re: [PUG] Root Server absichern
Moin, ich weis nicht aber ich habe gerade das Gefühl hier wird das Kind mit dem Bad ausgeschüttet. Zum einen gibt es zig Tausend Gameserver im Internet bei denen sich kein Aas wirklich um Sicherheit schert und hier soll für eine 'private' (nicht kommerziell/professional) Geschichte, bei denen Themen wie Datenverlust etc. sich klar in Grenzen hält, mit Kanonen auf Spatzen geschossen werden. Mal abgesehen von den Daten die Stephan hier via Bit Torrent und FTP sammeln und/oder verteilen möchte sehe ich nichts was irgendwie kritisch wäre. Bei den Daten muss Stephan sich sowieso eine Backup/Restore Strategie festlegen (keine ist auch eine!) und somit für sich entscheiden wie wichtig diese für Ihn sind. (Ich glaube nicht das er alle für Ihn wichtigen Informationen auf diesem Server horten möchte. (Thema - Verschlüsseln der Platte/Partition/Files) Ansonsten geht es darum alle nicht genutzten Dienste/Zugänge abzuschalten und die genutzten sicher einzurichten. Also alles in allem eigentlich eine ideale Spielwiese um den Umgang mit einem Root-Server in der Praxis zu erlernen. ;-) Gruß, Klaus -- PUG - Penguin User Group Wiesbaden - http://www.pug.org
Re: [PUG] Root Server absichern
Klaus, was willst du mir jetzt damit sagen? Ich glaube heute nachmittag werde ich ein komplett neues Debian durfpacken, und testen was ich machen will. z.B. weis ich NICHT, wie ich einen Dienst beende ;) Ich bin froh den Server noch NICHT bestellt zu haben! -- PUG - Penguin User Group Wiesbaden - http://www.pug.org
Re: [PUG] Root Server absichern
* Stephan Schaffner ([EMAIL PROTECTED]) [03.09.08 09:10]: Klaus, was willst du mir jetzt damit sagen? Ich glaube heute nachmittag werde ich ein komplett neues Debian durfpacken, und testen was ich machen will. z.B. weis ich NICHT, wie ich einen Dienst beende ;) Also eigentlich hatte ich mich Klaus angeschlossen und gesagt mach' halt 'mal. Aber nach der letzten Aussage von Dir, Stephan: Finger weg und erst einmal zuhause mit alter Hardware, Server betreiben üben. Kann man auch ins wilde Internet per DynDNS loslassen falls man mag, aber erst nachdem Du Dir debian-administration.org durchgelesen hast. Ich bin froh den Server noch NICHT bestellt zu haben! Ich auch ;-) Sebastian -- Religion ist das Opium des Volkes. Karl Marx [EMAIL PROTECTED]@N GÜNTHER mailto:[EMAIL PROTECTED] pgpKWzgIr2DFn.pgp Description: PGP signature -- PUG - Penguin User Group Wiesbaden - http://www.pug.org
Re: [PUG] Root Server absichern
Du hast meine letzte aussage falsch verstanden! (oder ich habe nicht ganz beschrieben was ich meinte, entschuldigung) Ich habe ja noch einen PC bei mir in den Keller. Den werde ich ja hochholen und dadrauf ein bissl herum testen ;) MfG Stephan -- PUG - Penguin User Group Wiesbaden - http://www.pug.org
Re: [PUG] Root Server absichern
Stephan Schaffner schrieb: Ich bin froh den Server noch NICHT bestellt zu haben! Hmm, ja besser ist das... Also ich hatte grob 4 Jahre nun einen Root Server, seit Anfang des Jahres bin ich wieder zurück auf Webspace gezogen. Die Gründe dafür sind nicht weil ich mich mit Linux nicht auskenne, sondern einfach weil das Projekt für das die Server eigentlich waren nicht mehr existent ist. 2 Jahre lang lief der Server unter Gentoo, eine Firewall war nicht aktiv. SSH ging nur mit Key Auth. Probleme gab es keine. Grund hierfür ist wohl einfach das der Server eher ein Exot war, und die Standard SuSE/Debian Angriffsroutinen nicht passend waren um irgendwelche Schwächen auszuloten. Als nächstes ist es so: Wenn auf einem Port _kein_ Dienst läuft, ist dieser Port auch nicht offen. Da macht auch eine Firewall nichts, außer das abklopfen der Ports schneller. Das war übrigens die schönste Zeit, danach lief der Server unter Debian/Plesk und hier fingen die Probleme und der ärger dann schon an. Offene Hintertüren in schlechten PHP Skripten die dich zum Spam Verteiler machen sind da nur eines der Probleme die dich erwarten könnten. Die Suche nach solchen Problemen dauert Nächte lang und wird deine Lehrer/Arbeitgeber mächtig erfreuen wenn du am nächsten Tag vollkommen unausgeschlafen in der Schule / auf der Arbeit erscheinst. Aus der Debian/Plesk Geschichte habe ich zumindest eines gelernt: Ein selbst Administrierter Server ist besser in den Griff zu bekommen, der macht auch nur das was man auf ihm installiert, und das sollte auch nur das sein was man wirklich haben möchte. So ein Baukasten glänzt mit zahlreichen Funktionen die kein Mensch braucht. Das tolle Kundeninterface wird von so gut wie keinem wirklich genutzt. Fehleranalyse ist im Baukasten schwerer als es dies bei einer Standardinstallation ist. Und zu guter letzt, lese dir das mal durch: http://burnachurch.com/70/dein-neuer-linux-server/ so long Thorsten signature.asc Description: OpenPGP digital signature -- PUG - Penguin User Group Wiesbaden - http://www.pug.org
Re: [PUG] Root Server absichern
Hallo Martin, warum das ? Es schadet doch sicherlich nicht, wenn man auch den ssh Zugang noch zusätzlich mit einer Firewall schützt. Ich wüsste auch nicht, warum IP Adressen aus China oder Nigeria bei mir den ssh connecten sollten. Grüße Christian Martin Schmitt schrieb: Mit dieser Faustregel kommst Du aber _extremst_ schnell an den Punkt, wo sich die Katze sicherheitstechnisch in den eigenen Schwanz beißt. -- PUG - Penguin User Group Wiesbaden - http://www.pug.org
Re: [PUG] Root Server absichern
hi, ich finde, es schadet auch nix, wenn sie es tun ;-) so werden sie wenigstens zeitweise gehindert, andere server mit brute-force attacken zu belatschen. unsere strategie ist da auch einfach: passwort-auth abschalten, nur keys erlauben und denyhosts auf den ssh ansetzen, denn dürfen die halt 10mal probieren und danach wird die ip für einen monat gesperrt ;-) den ssh-port auf einen anderen port umlenken, nungut, mag vielleicht gegen script-kiddys helfen, aber besagte cracks werden meine server mit sicherheit nicht über ssh knacken, und die leute, denen ich das zutraue, die finden ssh auch auf anderen ports, versprochen ;-) lg sven Christian Felsing schrieb: Hallo Martin, warum das ? Es schadet doch sicherlich nicht, wenn man auch den ssh Zugang noch zusätzlich mit einer Firewall schützt. Ich wüsste auch nicht, warum IP Adressen aus China oder Nigeria bei mir den ssh connecten sollten. Grüße Christian Martin Schmitt schrieb: Mit dieser Faustregel kommst Du aber _extremst_ schnell an den Punkt, wo sich die Katze sicherheitstechnisch in den eigenen Schwanz beißt. -- PUG - Penguin User Group Wiesbaden - http://www.pug.org
Re: [PUG] Root Server absichern
Sven, ich habe ein anleitung gefunden, wie man unter Woody den Public Key aktiviert und root deaktiviert bei ssh, aber kennst du zufällig noch eine Quelle wo ich die denyhost einstellen kann? Obwohl, wenn ich recht überlege war meine Frage eben schwachsinnig, habe doch hier genug Links :X MfG Gamienator -- PUG - Penguin User Group Wiesbaden - http://www.pug.org
Re: [PUG] Root Server absichern
http://denyhosts.sourceforge.net/ ist nicht nur für ssh interessant sondern bietet sich auch bei anderen diensten an wir nutzen zwar fast ausschliesslich gentoo, aber ich denke dass auch andere distributionen pakete anbieten, ansonsten, ./configure, make make install ;-) sven Stephan Schaffner schrieb: Sven, ich habe ein anleitung gefunden, wie man unter Woody den Public Key aktiviert und root deaktiviert bei ssh, aber kennst du zufällig noch eine Quelle wo ich die denyhost einstellen kann? Obwohl, wenn ich recht überlege war meine Frage eben schwachsinnig, habe doch hier genug Links :X MfG Gamienator -- PUG - Penguin User Group Wiesbaden - http://www.pug.org
Re: [PUG] Root Server absichern
Danke Sven! Für debian ist es kein Problem, dafür gibt es nämlich ein Debian Paket *g* Aber Python v2.3 wird benötigt. Ob dadurch nicht wieder eine kleine Sicherheitslücke entstehen kann? Ich werde aber dieses Program an meiner Kiste heute nachmittag zuhause ausprobieren! MfG Stephan Schaffner -- PUG - Penguin User Group Wiesbaden - http://www.pug.org
Re: [PUG] Root Server absichern
Hi, Stephan Schaffner schrieb: Aber Python v2.3 wird benötigt. Ob dadurch nicht wieder eine kleine Sicherheitslücke entstehen kann? Warum sollte durch Python eine Sicherheitslücke entstehen? Ich werde aber dieses Program an meiner Kiste heute nachmittag zuhause ausprobieren! MfG Stephan Schaffner cu Dieter -- PUG - Penguin User Group Wiesbaden - http://www.pug.org
Re: [PUG] Root Server absichern
Hi Dieter! Aja, je mehr Programme sich auf dem BS befinden, desto mehre möglichkeiten gibt es den PC anzugreifen. Oder irre ich mich da in dieser Hinsicht? -- PUG - Penguin User Group Wiesbaden - http://www.pug.org
Re: [PUG] Root Server absichern
Stephan Schaffner schrieb: Hi Dieter! Hi, Aja, je mehr Programme sich auf dem BS befinden, desto mehre möglichkeiten gibt es den PC anzugreifen. Oder irre ich mich da in dieser Hinsicht? Naja, im Prinzip. also ganz theoretisch, hast du recht. Aber sowas bezeichnet man nicht als Sicherheitslücke. Wenn jemand soweit in deinen Rechner reinkommt, dass er Python code ausführen kann, dann ist sowieso was faul. cu Dieter -- PUG - Penguin User Group Wiesbaden - http://www.pug.org
Re: [PUG] Root Server absichern
Stimmt, da ist auch was Wahres dran : -- PUG - Penguin User Group Wiesbaden - http://www.pug.org
Re: [PUG] Root Server absichern
Jetzt fällt mir gerade was ein in Sachen SSH - Ich weis nicht ob dass über Denyhost möglich ist, aber im Grunde sollte der SSH nur 2 IP zulassen dürfen! (Mein Kumpel und ich haben jeweils an unseren Router eine Dynamische DNS eingerichtet) Das müsste heisen dass der Root den DynDNS eintrag auflösen muss und dadurch weis dass nur wir zugriff haben! Ich das möglich es so meinem zukünftigen Pinguin zu sagen? MfG Stephan Am 03.09.08 schrieb Stephan Schaffner [EMAIL PROTECTED]: Stimmt, da ist auch was Wahres dran : -- PUG - Penguin User Group Wiesbaden - http://www.pug.org
Re: [PUG] Root Server absichern
du, stephan, nimms nicht persönlich, aber n bisserl lesen solltest du schon bevor du fragst, sonst kriegste irgendwann keine oder nur plumpe antworten. dafür ist denyhosts nicht da, und das geht aus der doku auch ziemlich eindeutig hervor. was du jetzt wieder ansprichst ist ein firewall-thema, womit wir wieder beim thema iptables + scripting wären, und dazu gab es schon mails. also, zeig bereitschaft, selber zu lesen, und dir wird gerne geholfen, aber lass nicht den eindruck entstehen, das du alles vorgekaut bekommen willst. vielleicht ne kleine bettlektüre, und das ist wirklich absolut nicht böse gemeint: http://www.tty1.net/smart-questions_de.html liebe grüße sven Stephan Schaffner schrieb: Jetzt fällt mir gerade was ein in Sachen SSH - Ich weis nicht ob dass über Denyhost möglich ist, aber im Grunde sollte der SSH nur 2 IP zulassen dürfen! (Mein Kumpel und ich haben jeweils an unseren Router eine Dynamische DNS eingerichtet) Das müsste heisen dass der Root den DynDNS eintrag auflösen muss und dadurch weis dass nur wir zugriff haben! Ich das möglich es so meinem zukünftigen Pinguin zu sagen? MfG Stephan Am 03.09.08 schrieb *Stephan Schaffner* [EMAIL PROTECTED] mailto:[EMAIL PROTECTED]: Stimmt, da ist auch was Wahres dran : -- PUG - Penguin User Group Wiesbaden - http://www.pug.org
Re: [PUG] Laptop-Kauf
Hallo, nun soll auch bei mir ein neues Laptop her. Ich dachte an einen Dualcore-Prozessor bis 2,1 GHz, 2 GB RAM, 160-200 GB Platte, 15 Breitbild matt mit mehr als 1024 px Horizontalauflösung und mit Touchpad. Hervorragende Linux-Unterstützung ist natürlich Pflicht, demnach brauche ich auch keine Win-Lizenz, was wiederum Geld sparen sollte. Ich bin auf der Suche auf den Thinkpad T61(i) gestoßen. Kein Protest, aber eine Anmerkung: es gibt das T61 in sehr verschiedenen Varianten. Ich habe von meinem Arbeitgeber und von meinem Hauptkunden jeweils ein T61. Die Geräte könnten aber unterschiedlicher kaum sein. Das kleine T61 hat eine CPU mit 1,8 GHz und Intel 950 Chipsatzgrafik bei einer Auflösung von 1280x800. Damit sind keine Geschwindigkeitswunder zu erwarten, aber für normales Arbeiten reicht es voll und ganz. Das WLAN ist ein Intel 3945. Das interne DVD-ROM ist über USB angeschlossen. Mit der normalen Debian Etch Boot-CD lässt es sich gar nicht erst installieren, weil das DVD-ROM nicht erkannt wird. Man braucht mindestens Etch'n'half, Lenny oder Sidux geht natürlich auch. Das Gerät ist leicht, schlank und für Mobiles Arbeiten gut geeignet. Das große T61 hat 2.2 GHz, Nvidia Quattro Grafik, 1680x1050 Auflösung und Intel 4965 WLAN. Mit dem proprietären Nvidia Treiber kommt es bei glxgears auf 5400 FPS. Das DVD-RW ist am SATA Bus. Das Notebook lässt sich mit Debian Etch problemlos installieren, lediglich für das WLAN braucht man Etch'n'half oder einen separat installierten Treiber. Die Kiste ist ziemlich performant, aber mit über 2,5 kg nicht wirklich für Mobilanwendungen geeignet. Beide Modelle sind für SUSE Linux Enterpise 10 Desktop zertifiziert, laufen jedoch problemlos auch mit Debian, s.o. Ich bin mit beiden sehr zufrieden. Vor dem Kauf sollte man aber gut überlegen, was man genau machen möchte, da die Anwendungsprofile doch recht unterschiedlich sind. Gruß, Harald -- PUG - Penguin User Group Wiesbaden - http://www.pug.org
Re: [PUG] Root Server absichern
Hallo Sven, danke für deinen Beitrag, ich kann jetzt hier nur schlecht lesen weil ich mich in meinem Büro bei meinem Ausbildungsplatz sitze. Heute Nachmittag, wenn ich mich mit meinem Debian System noch mehr auseinander setzten werde, genau analysieren. MfG und nochmla danke für alle antworten und mühen Stephan -- PUG - Penguin User Group Wiesbaden - http://www.pug.org
Re: [PUG] Laptop-Kauf
Hi Harald, 2008/9/3 Harald Weidner [EMAIL PROTECTED]: ein Intel 3945. Das interne DVD-ROM ist über USB angeschlossen. Mit der wie erkenne ich einfach, ob ein Internes DVD Laufwerk am IDE/Sata oder am USB Bus hängt? lsusb, lspci, dmesg oder sowas? Vielen Dank und Grüsse markus -- PUG - Penguin User Group Wiesbaden - http://www.pug.org
Re: [PUG] Probleme mit Windows
Hi, 2008/8/21 Michael Bischof [EMAIL PROTECTED]: Worüber reden wir? Über den MBR? Wenn ja dann genauso wie beschrieben. dd if=/dev/sda1 of=/mnt/kallari/data/backup.dd bs=512 count=1 - wie Du den nennst ist Deine Sache. Heißt er ,,backup.sda1.mbr würde ich ihn Nur noch mal als Frage, da Nathanael alles hinbekommen hat. bs=512 übernimmt doch die alte Partitionierung wieder. Falls Windows nichts daran geändert hat, ist das ok. Ansonsten wäre nicht ein bs=446 (nur der Bootcode im MBR) besser? Oder kommt GRUB dann durcheinander? Grüsse markus -- PUG - Penguin User Group Wiesbaden - http://www.pug.org
Re: [PUG] Probleme mit Windows
Markus Wolf schrieb: 2008/8/21 Michael Bischof [EMAIL PROTECTED]: dd if=/dev/sda1 of=/mnt/kallari/data/backup.dd bs=512 count=1 - wie Du den nennst ist Deine Sache. Heißt er ,,backup.sda1.mbr würde ich ihn Nur noch mal als Frage, da Nathanael alles hinbekommen hat. bs=512 übernimmt doch die alte Partitionierung wieder. Falls Windows nichts daran geändert hat, ist das ok. Ansonsten wäre nicht ein bs=446 (nur der Bootcode im MBR) besser? Oder kommt GRUB dann durcheinander? Zunächst mal (wie schon angemerkt): Wenn man tatsächlich den MBR von sdb1 sichert, braucht man sich um die Partitionstabelle keine Gedanken zu machen, weil die darin nicht existiert. Wenn man wirklich den MBR sichert (also bspw. von /dev/sdb) spricht IMO nichts dagegen, ihn komplett zu sichern. Wenn man die Sicherung tatsächlich mal zurückschreibt, kann man sich immer noch überlegen, ob man auch die Partitionstabelle überschreiben will oder nur die 440 für den Bootcode (446 inkl. Windows Disk Signatur und zwei 0en) reservierten Bytes. Andererseits sehe ich nur zwei in diesem Zusammenhang relevante Möglichkeiten: 1. Die Partitionierung hat sich nicht geändert, seit der MBR gesichert wurde. Dann sollte es auch nicht schaden, die Partitionstabelle mit den Werten zu überschreiben, die eh schon drinstehen. 2. Die Partitionierung hat sich geändert. Dann würde ich noch nicht mal den Bootcode zurückschreiben wollen. Denn IIRC (nicht verifiziert) lädt der Bootcode von GRUB die für den Dateisystemzugriff notwendigen Stage 1.5 Files über Blocknummern. Und die dürften nach einer Neupartitionierung mit ziemlicher Sicherheit nicht mehr stimmen. Gruß mks -- PUG - Penguin User Group Wiesbaden - http://www.pug.org
Re: [PUG] Laptop-Kauf
Markus Wolf schrieb: Hi Harald, Hi, wie erkenne ich einfach, ob ein Internes DVD Laufwerk am IDE/Sata oder am USB Bus hängt? lsusb, lspci, dmesg oder sowas? lshw | grep -A 3 -B 3 -i dvd und dann bei bus-info schauen zum beispiel Vielen Dank und Grüsse markus cu Dieter -- PUG - Penguin User Group Wiesbaden - http://www.pug.org
Re: [PUG] Root Server absichern
Hi, eine Alternative zu einem Rootserver ist ein Managedserver da kannst du alles installieren lassen was du willst. Kostet vieleicht ein bisschen mehr aber dafür hast du damit keinen Stress. Gruß Bernhard -- PUG - Penguin User Group Wiesbaden - http://www.pug.org
Re: [PUG] Root Server absichern
Hi Bernhard. danke für deinen Vorschlag, aber mir schmeckt der Gedanke nicht dass jemand anderes als ich Zugriff auf meinen Server hat! -- PUG - Penguin User Group Wiesbaden - http://www.pug.org
Re: [PUG] Root Server absichern
So mailingliste, es gibt neuigkeiten! Ich habe einen alten P II aus meinem Keller hoch geholt, richtig zusammengeschraubt und zum laufen grebracht. Debian 4.0 (Etch) habe ich mittels der Netzwerk-Intallation der größeren CD (150MB) draufgepackt. Bei der Installation habe ich gleichzeitig die Festplatte mit LVM verschlüsseln lassen. Daraufhin habe ich mich gut 3-4 Stunden damit beschäftigt, wie ich SSH richtig sicher konfiguriere, dabei habe ich mich auf den Link http://www.debianhowto.de/doku.php/de:howtos:woody:ssh bezogen. Ja, ich wusste das es für Woody war, da ich aber eh nur rumgetestet habe dachte ich mir, wenn es schief geht, neu Aufsetzten, ist doch kein Problem! Nach den 3-4 besagten Stunden habe ich dann den Port geändert, Public/private Methode eingerichtet, PasswortAuth. deaktiviert, 30 Sek Zeit zum einloggen Zeit und nur sich ein Benutzer nur maximal 2 mal anmelden kann (da sich mein Kumpel in zukunft ja auch einloggen will). 3-4 Stunden hätte ich erlich gesagt nicht erwartet, aber geschafft ist geschafft und das aus fast eigener Kraft, eure Links haben mir da aber sehr geholfen! Danke nochmal! Ich versuche mich heute Abend ein bisschen mit Denyhost zu beschäftigen. Ich habe bei den Wikibooks ne kleinigkeit über die IpTables gelesen und mekre jetzt schon, dass kann etwas schwieriger werden. Zeit habe ich ja aber noch genug! Wenn dies fertig eingerichtet ist, sollte der Server doch in einem Recht sicheren zustand sein. Dass ich alle Pakete updaten muss in sehr niedrigen abständen ist mir klar. Zu Sachen SELinux habe ich noch nicht durchgegoogelt, genauso wenig wie Firewall für Linux. Aber morgen ist ja auch noch ein Tag, ich glabe Denyhost raubt mir heute noch genug :D MfG Gamienator P.S. Sven, Ist diese E-Mail einigermaßen ordentlich nach deinem Nettiquette, die du mir geschickt hast? -- PUG - Penguin User Group Wiesbaden - http://www.pug.org
Re: [PUG] Root Server absichern
Dieter Ries schrieb: Stephan Schaffner schrieb: Hi Dieter! Hi, Aja, je mehr Programme sich auf dem BS befinden, desto mehre möglichkeiten gibt es den PC anzugreifen. Oder irre ich mich da in dieser Hinsicht? Naja, im Prinzip. also ganz theoretisch, hast du recht. Aber sowas bezeichnet man nicht als Sicherheitslücke. Wenn jemand soweit in deinen Rechner reinkommt, dass er Python code ausführen kann, dann ist sowieso was faul. Was aber nicht heißt, daß man das von sich weisen kann. Eine passende Analogie wäre: da die Haustür abgeschlossen ist, braucht die Wohnungstür nicht verschlossen zu sein. Was ist denn, wenn der Nachbar der Böse ist (oder der Gärtner ;-)? Also ist die Frage mit dem Hinweis, daß etwas anderes vorher unsicher sein muß, um es ausnutzen zu können, nicht beantwortet. Anders: gibt es überhaupt dafür *eine* Antwort oder sollte man mit einer Kommt darauf an Methode daran gehen? Gruß Silvério -- PUG - Penguin User Group Wiesbaden - http://www.pug.org
Re: [PUG] Root Server absichern
Silverio Santos schrieb: Dieter Ries schrieb: Stephan Schaffner schrieb: Hi Dieter! Hi, Aja, je mehr Programme sich auf dem BS befinden, desto mehre möglichkeiten gibt es den PC anzugreifen. Oder irre ich mich da in dieser Hinsicht? Naja, im Prinzip. also ganz theoretisch, hast du recht. Aber sowas bezeichnet man nicht als Sicherheitslücke. Wenn jemand soweit in deinen Rechner reinkommt, dass er Python code ausführen kann, dann ist sowieso was faul. Was aber nicht heißt, daß man das von sich weisen kann. Eine passende Analogie wäre: da die Haustür abgeschlossen ist, braucht die Wohnungstür nicht verschlossen zu sein. Was ist denn, wenn der Nachbar der Böse ist (oder der Gärtner ;-)? Also ist die Frage mit dem Hinweis, daß etwas anderes vorher unsicher sein muß, um es ausnutzen zu können, nicht beantwortet. Anders: gibt es überhaupt dafür *eine* Antwort oder sollte man mit einer Kommt darauf an Methode daran gehen? Ich weiss nicht. Im Prinzip, wie gesagt, ist natürlich jedes Programm eine potentielle Anwendung die eine Lücke haben kann. Aber auf dem Paranoia-Niveau könnte man argumentieren, dass wenn Python installiert ist weniger Festplattenplatz da ist, wo ein pöser 1337 8aXX0r seine fiesen Hacktools hinschleusen kann ... Ich bin nicht der Meinung, dass ein Interpreter für eine Scriptsprache, vorausgesetzt in einer stabilen Version, eine echte Sicherheitslücke darstellt. Gruß Silvério cu Dieter -- PUG - Penguin User Group Wiesbaden - http://www.pug.org
Re: [PUG] Root Server absichern
Stephan Schaffner schrieb: Bei der Installation habe ich gleichzeitig die Festplatte mit LVM verschlüsseln lassen. LVM kann imo. keine Partitionen verschlüsseln. TrueCrypt macht das. Daraufhin habe ich mich gut 3-4 Stunden damit beschäftigt, wie ich SSH richtig sicher konfiguriere, dabei habe ich mich auf den Link http://www.debianhowto.de/doku.php/de:howtos:woody:ssh bezogen. Ja, ich wusste das es für Woody war, da ich aber eh nur rumgetestet habe dachte ich mir, wenn es schief geht, neu Aufsetzten, ist doch kein Problem! Nach den 3-4 besagten Stunden habe ich dann den Port geändert, Wie hier schon diskutiert, das machts nicht wirklich sicherer. Public/private Methode eingerichtet, Ich schätze du meinst Authorisierung vie SSH keys. Du bist dir darüber im Klaren, dass sich dann jeder der an deinem PC sitzt ohne Passwortabfrage auf deinem Server einloggen kann? PasswortAuth. deaktiviert Stell dir vor deine Festplatte geht kaputt und der private key ist hin... Halte ich für eine ganz schlechte Idee. 30 Sek Zeit zum einloggen Zeit Sprich einfach ein Timeout für das eingeben des SSH passworts? Das hast du abgeschaltet. meinst du vielleicht ein timeout auf su? was soll das nützen? /*Edit: Ich sehe grade das steht tatsächlich so in dem komischen forum: Wir deaktivieren die kennwortbasierte Authentifizierung und verwenden nur noch die auf dem Austausch des öffentlichen Schlüssels basierende Authentifizierung, die wir im letzten Abschnitt eingerichtet haben. # disable password authentication PasswordAuthentication no # Nur unter Woody setzen, nicht mehr unter Sarge PAMAuthenticationViaKbdInt no Wir geben dem Benutzer 30 Sekunden Zeit, um sich einzuloggen. Erfolgt in dieser Zeit kein erfolgreicher Login, so wird die Verbindung abgebrochen. Es kann sich immer nur ein Benutzer gleichzeitig einloggen. imo useless, sorry. */ und nur sich ein Benutzer nur maximal 2 mal anmelden kann (da sich mein Kumpel in zukunft ja auch einloggen will). 2 mal in welchem Zeitintervall? Oder 2 mal gleichzeitig? Wie auch immer, wo ist das sicherer? Das ist ja dann eher nervig, angenommen du kopierst grad nen backup, was länger dauert als du erwartet hast, d.h. du hast den prozess im vordergrund laufen. gleichzeitig ist dein kollege drin, aber grad nicht erreichbar weil auf der toilette, und du willst auf den rechner ... Und sicherer wird dein System davon auch nicht. 3-4 Stunden hätte ich erlich gesagt nicht erwartet, aber geschafft ist geschafft und das aus fast eigener Kraft, eure Links haben mir da aber sehr geholfen! Danke nochmal! 3-4 Stunden für 5 Zeilen Änderungen aus einem wiki... hm. Ich versuche mich heute Abend ein bisschen mit Denyhost zu beschäftigen. Ich habe bei den Wikibooks ne kleinigkeit über die IpTables gelesen und mekre jetzt schon, dass kann etwas schwieriger werden. Zeit habe ich ja aber noch genug! apt-get install fail2ban sollte reichen. Tut iirc genau das was denyhosts auch macht, aber man braucht sich nicht einzulesen... Funktioniert übrigens mit iptables Wenn dies fertig eingerichtet ist, sollte der Server doch in einem Recht sicheren zustand sein. Dass ich alle Pakete updaten muss in sehr niedrigen abständen ist mir klar. Debian oder? d.h. security updates solltest du machen, sonst eigentlich nichts. Zu Sachen SELinux habe ich noch nicht durchgegoogelt, genauso wenig wie Firewall für Linux. Ist zwar glaube ich im Thread schon 3 mal geschrieben worden, aber nochmal ganz deutlich: IPTABLES == Firewall oder auch: Firewall == IPTABLES Und dazu gibts sehr gute Anleitungen im Internet, die man entweder stupide pasten oder verstehen kann. http://de.gentoo-wiki.com/Iptables Schöne abgestufte Einführung von ganz einfach bis ganz gut. Soll jetzt auch nicht gemein klingen oder so, aber vielleicht ist es sinnvoller, wenn du dir ein Buch über Linux an sich und evtl ein paar sicherheitsaspekte kaufst, und das anstatt irgendwelcher vorsteinzeitlicher wikis liest und verstehst. cu Dieter -- PUG - Penguin User Group Wiesbaden - http://www.pug.org
Re: [PUG] Root Server absichern
hi, Am Donnerstag, den 04.09.2008, 00:01 +0200 schrieb Dieter Ries: den Port geändert, Wie hier schon diskutiert, das machts nicht wirklich sicherer. halte ich auch für Quark. Public/private Methode eingerichtet, Ich schätze du meinst Authorisierung vie SSH keys. Du bist dir darüber im Klaren, dass sich dann jeder der an deinem PC sitzt ohne Passwortabfrage auf deinem Server einloggen kann? PasswortAuth. deaktiviert Stell dir vor deine Festplatte geht kaputt und der private key ist hin... Halte ich für eine ganz schlechte Idee. Das halte ich von dir für Quark. Sollte der Fall eintreten, bootet er einfach das Rettungssystem (od. hat ein Backup vom Schlüssel) und gut ist es. Abschalten vom Passwort Login ist absolut sinnvoll. und nur sich ein Benutzer nur maximal 2 mal anmelden kann (da sich mein Kumpel in zukunft ja auch einloggen will). 2 mal in welchem Zeitintervall? Oder 2 mal gleichzeitig? Wie auch immer, [...] Stimme ich zu. Ist Quark. Selbstbeschneidung war noch nie sinnvoll. Aber wenn er das weißt, arbeitet er ohnehin in einer Screen Session. 3-4 Stunden hätte ich erlich gesagt nicht erwartet, aber geschafft ist geschafft und das aus fast eigener Kraft, eure Links haben mir da aber sehr geholfen! Danke nochmal! 3-4 Stunden für 5 Zeilen Änderungen aus einem wiki... hm. Nicht alle lernen gleich schnell. Ich versuche mich heute Abend ein bisschen mit Denyhost zu beschäftigen. Ich habe bei den Wikibooks ne kleinigkeit über die IpTables gelesen und mekre jetzt schon, dass kann etwas schwieriger werden. Zeit habe ich ja aber noch genug! apt-get install fail2ban sollte reichen. Tut iirc genau das was denyhosts auch macht, aber man braucht sich nicht einzulesen... Funktioniert übrigens mit iptables Man sollte nie eine Software verwenden, ohne zumindest zu verstehen, was sie macht. Lesen ist daher immer eine gute Idee ;-) Zu Sachen SELinux habe ich noch nicht durchgegoogelt, genauso wenig wie Firewall für Linux. Vergiss SELinux. cu denny signature.asc Description: Dies ist ein digital signierter Nachrichtenteil -- PUG - Penguin User Group Wiesbaden - http://www.pug.org
Re: [PUG] Root Server absichern
Silverio Santos schrieb: Was aber nicht heißt, daß man das von sich weisen kann. Eine passende Analogie wäre: da die Haustür abgeschlossen ist, braucht die Wohnungstür nicht verschlossen zu sein. Was ist denn, wenn der Nachbar der Böse ist (oder der Gärtner ;-)? Also ist die Frage mit dem Hinweis, daß etwas anderes vorher unsicher sein muß, um es ausnutzen zu können, nicht beantwortet. Anders: gibt es überhaupt dafür *eine* Antwort oder sollte man mit einer Kommt darauf an Methode daran gehen? Eben das ist der Punkt wenn hinterher das Unsicherste mod_python Skript im Webserver Verzeichnis landet ist das nun doch eine Hintertür die man sich durch Unwissenheit an Land gezogen hat. Das ist wie mit Iptables oder den ganzen Personal Firewalls, alles trügerisches Sicherheitsgemauschel wenn man nicht wirklich Ahnung hat was auf der Kiste eigentlich läuft. Gruß Silvério Gruß Thorsten signature.asc Description: OpenPGP digital signature -- PUG - Penguin User Group Wiesbaden - http://www.pug.org
Re: [PUG] Root Server absichern
Denny Schierz schrieb: hi, Hi, Stell dir vor deine Festplatte geht kaputt und der private key ist hin... Halte ich für eine ganz schlechte Idee. Das halte ich von dir für Quark. Sollte der Fall eintreten, bootet er einfach das Rettungssystem (od. hat ein Backup vom Schlüssel) und gut ist es. Abschalten vom Passwort Login ist absolut sinnvoll. Hm. Rettungssystem booten ist dann wieder downtime. Aber OK, ich denk das ist von den genannten Punkten sicher einer, den man zwar diskutieren kann, der aber sicherheitsrelevant sein kann. 3-4 Stunden für 5 Zeilen Änderungen aus einem wiki... hm. Nicht alle lernen gleich schnell. Sorry, ich stelle fest, dass die Formulierung deutlich aggressiver ist als das geplant war. Was ich sagen wollte sollte eher so formuliert sein: Meiner Meinung nach kann man in 3-4 Stunden deutlich besseres Lehrmaterial durcharbeiten, wo dann auch Hintergrund- und technische Informationen gegeben werden. Ich versuche mich heute Abend ein bisschen mit Denyhost zu beschäftigen. Ich habe bei den Wikibooks ne kleinigkeit über die IpTables gelesen und mekre jetzt schon, dass kann etwas schwieriger werden. Zeit habe ich ja aber noch genug! apt-get install fail2ban sollte reichen. Tut iirc genau das was denyhosts auch macht, aber man braucht sich nicht einzulesen... Funktioniert übrigens mit iptables Man sollte nie eine Software verwenden, ohne zumindest zu verstehen, was sie macht. Lesen ist daher immer eine gute Idee ;-) Right. Aber grade als Einsteiger ist es sinnvoll, ein Programm zu wählen, und sich darüber informieren, was man nicht lange konfigurieren muss, wobei man Fehler machen kann. Zu Sachen SELinux habe ich noch nicht durchgegoogelt, genauso wenig wie Firewall für Linux. Vergiss SELinux. Full Ack. Das ist nur nervig, wenn du mal was am Kernel machen willst oder so. Wobei das bei debian ja sowieso interessant ist ... Ansonsten, was noch interessant ist, da auch die Root Server heute genug Ressourcen haben: Ein natives Basissystem auf dem nur die nötigsten Dienste laufen, also zB sshd, apache und vmware, und dann in der vmware auf einer anderen IP alle anderen Dienste. Sprich mail, Files, irssi etc.. Hat den Vorteil, wenn man der VMware nur eine CPU, und nur 50% des RAM gibt, dass der Webserver über diese Dienste nicht in die Knie zwingbar ist. cu denny cu Dieter -- PUG - Penguin User Group Wiesbaden - http://www.pug.org
Re: [PUG] Root Server absichern
Thorsten Gowik schrieb: Silverio Santos schrieb: Was aber nicht heißt, daß man das von sich weisen kann. Eine passende Analogie wäre: da die Haustür abgeschlossen ist, braucht die Wohnungstür nicht verschlossen zu sein. Was ist denn, wenn der Nachbar der Böse ist (oder der Gärtner ;-)? Also ist die Frage mit dem Hinweis, daß etwas anderes vorher unsicher sein muß, um es ausnutzen zu können, nicht beantwortet. Anders: gibt es überhaupt dafür *eine* Antwort oder sollte man mit einer Kommt darauf an Methode daran gehen? Eben das ist der Punkt wenn hinterher das Unsicherste mod_python Skript im Webserver Verzeichnis landet ist das nun doch eine Hintertür die man sich durch Unwissenheit an Land gezogen hat. Das ist allerdings eine andere Situation. Und auch da liegt das Problem nicht daran, dass Python installiert ist. Das ist wie mit Iptables oder den ganzen Personal Firewalls, alles trügerisches Sicherheitsgemauschel wenn man nicht wirklich Ahnung hat was auf der Kiste eigentlich läuft. Gruß Silvério Gruß Thorsten cu Dieter -- PUG - Penguin User Group Wiesbaden - http://www.pug.org
Re: [PUG] Root Server absichern
Dieter Ries schrieb: Das ist allerdings eine andere Situation. Und auch da liegt das Problem nicht daran, dass Python installiert ist. Ich spreche da aus einer eigenen schmerzlichen Erfahrung ^^ In der Regel hat man das was man selber verbockt gut im Griff, interessant wird es erst wenn die tolle™ Webseite von $Kunde auf dem Server liegt die eben nicht sicher ist. Für $Kunde kann hier natürlich alles stehen, vom guten Kumpel bis hin zu einem CMS das total outdated ist. cu Dieter Gruß Thorsten signature.asc Description: OpenPGP digital signature -- PUG - Penguin User Group Wiesbaden - http://www.pug.org
Re: [PUG] Root Server absichern
Dieter Ries schrieb: Public/private Methode eingerichtet, Ich schätze du meinst Authorisierung vie SSH keys. Du bist dir darüber im Klaren, dass sich dann jeder der an deinem PC sitzt ohne Passwortabfrage auf deinem Server einloggen kann? Hast Du schonmal was von einer sogenannten Passphrase gehört? PasswortAuth. deaktiviert Stell dir vor deine Festplatte geht kaputt und der private key ist hin... Halte ich für eine ganz schlechte Idee. Genau dafür wurden Backups erfunden. Zusätzlich kann man sehr leicht für Redundanz sorgen, indem man Keys auf mehreren Clients hat; z.B. Laptop und Workstation. Der einzige realistische Weg, einen SSH-Server wirklich sicher zu betreiben, sind SSH-Keys und abgeschaltete Password Authentication. Der ganze andere Zirkus von wegen Firewall, Portknocking, und diesem Tool, das Bots aussperrt, ist reines Securitygewixe. Sowas kann man vielleicht als Kompromiß einsetzen, wenn man doofe User hat, die mit Keys nicht klarkommen. Aber auch dann nur nach sorgfältiger Abwägung der (durchaus vorhandenen) Alternativen. -martin signature.asc Description: OpenPGP digital signature -- PUG - Penguin User Group Wiesbaden - http://www.pug.org
Re: [PUG] Root Server absichern
Thorsten Gowik schrieb: Eben das ist der Punkt wenn hinterher das Unsicherste mod_python Skript im Webserver Verzeichnis landet ist das nun doch eine Hintertür die man sich durch Unwissenheit an Land gezogen hat. http://www.modpython.org/: Mod_python is an Apache module that embeds the Python interpreter within the server. Was hat der Python-Interpreter unter /usr/bin/python damit zu tun? -martin signature.asc Description: OpenPGP digital signature -- PUG - Penguin User Group Wiesbaden - http://www.pug.org