Stephan Schaffner schrieb:
Bei der Installation habe ich gleichzeitig die Festplatte mit LVM verschlüsseln
lassen.
LVM kann imo. keine Partitionen verschlüsseln. TrueCrypt macht das.
Daraufhin habe ich mich gut 3-4 Stunden damit beschäftigt, wie ich
SSH richtig sicher konfiguriere, dabei habe ich mich auf den Link
http://www.debianhowto.de/doku.php/de:howtos:woody:ssh bezogen. Ja, ich
wusste das es für Woody war, da ich aber eh nur rumgetestet habe dachte ich
mir, wenn es schief geht, neu Aufsetzten, ist doch kein Problem! Nach den
3-4 besagten Stunden habe ich dann
den Port geändert,
Wie hier schon diskutiert, das machts nicht wirklich sicherer.
Public/private Methode eingerichtet,
Ich schätze du meinst Authorisierung vie SSH keys. Du bist dir darüber
im Klaren, dass sich dann jeder der an deinem PC sitzt ohne
Passwortabfrage auf deinem Server einloggen kann?
PasswortAuth. deaktiviert
Stell dir vor deine Festplatte geht kaputt und der private key ist
hin... Halte ich für eine ganz schlechte Idee.
30 Sek Zeit zum einloggen Zeit
Sprich einfach ein Timeout für das eingeben des SSH passworts? Das hast
du abgeschaltet. meinst du vielleicht ein timeout auf su? was soll das
nützen?
/*Edit: Ich sehe grade das steht tatsächlich so in dem komischen forum:
Wir deaktivieren die kennwortbasierte Authentifizierung und verwenden
nur noch die auf dem Austausch des öffentlichen Schlüssels basierende
Authentifizierung, die wir im letzten Abschnitt eingerichtet haben.
# disable password authentication
PasswordAuthentication no
# Nur unter Woody setzen, nicht mehr unter Sarge
PAMAuthenticationViaKbdInt no
Wir geben dem Benutzer 30 Sekunden Zeit, um sich einzuloggen. Erfolgt in
dieser Zeit kein erfolgreicher Login, so wird die Verbindung
abgebrochen. Es kann sich immer nur ein Benutzer gleichzeitig einloggen.
imo useless, sorry.
*/
und nur sich ein Benutzer nur maximal 2 mal anmelden kann (da sich mein Kumpel
in zukunft ja auch einloggen will).
2 mal in welchem Zeitintervall? Oder 2 mal gleichzeitig? Wie auch immer,
wo ist das sicherer? Das ist ja dann eher nervig, angenommen du kopierst
grad nen backup, was länger dauert als du erwartet hast, d.h. du hast
den prozess im vordergrund laufen. gleichzeitig ist dein kollege drin,
aber grad nicht erreichbar weil auf der toilette, und du willst auf den
rechner ... Und sicherer wird dein System davon auch nicht.
3-4 Stunden hätte ich erlich gesagt
nicht erwartet, aber geschafft ist geschafft und das aus fast eigener Kraft,
eure Links haben mir da aber sehr geholfen! Danke nochmal!
3-4 Stunden für 5 Zeilen Änderungen aus einem wiki... hm.
Ich versuche mich heute Abend ein bisschen mit Denyhost zu beschäftigen. Ich
habe bei den Wikibooks ne kleinigkeit über die IpTables gelesen und mekre
jetzt schon, dass kann etwas schwieriger werden. Zeit habe ich ja aber noch
genug!
apt-get install fail2ban
sollte reichen. Tut iirc genau das was denyhosts auch macht, aber man
braucht sich nicht einzulesen... Funktioniert übrigens mit iptables....
Wenn dies fertig eingerichtet ist, sollte der Server doch in einem Recht
sicheren zustand sein. Dass ich alle Pakete updaten muss in sehr niedrigen
abständen ist mir klar.
Debian oder? d.h. security updates solltest du machen, sonst eigentlich
nichts.
Zu Sachen SELinux habe ich noch nicht durchgegoogelt, genauso wenig wie
Firewall für Linux.
Ist zwar glaube ich im Thread schon 3 mal geschrieben worden, aber
nochmal ganz deutlich:
IPTABLES == Firewall
oder auch:
Firewall == IPTABLES
Und dazu gibts sehr gute Anleitungen im Internet, die man entweder
stupide pasten oder verstehen kann.
http://de.gentoo-wiki.com/Iptables
Schöne abgestufte Einführung von ganz einfach bis ganz gut.
Soll jetzt auch nicht gemein klingen oder so, aber vielleicht ist es
sinnvoller, wenn du dir ein Buch über Linux an sich und evtl ein paar
sicherheitsaspekte kaufst, und das anstatt irgendwelcher
vorsteinzeitlicher wikis liest und verstehst.
cu
Dieter
--
----------------------------------------------------------------------------
PUG - Penguin User Group Wiesbaden - http://www.pug.org
