Hallo!

Ein Kunde meiner Firma hat sich bei einem Hoster einen Linux-Root-Server gekauft. Das Teil muss entsprechend abgesichert werden.

Ziel: Port von Aussen sperren / Firewall
Updates: Automatisch aktiveren

Thema Updates: gibts sowas überhaupt, das brauchbar ist unter linux ist? Meine Erfahrungen in der alten Firma zum Thema Updates war immer: "Machs lieber am Wochenende, wenns keiner braucht :mad: "

So wie es aussieht ist aber auch mal grad nur das notwendigste auf dem Linux am antworten: HTTP/SSL/SSH/FTP/SMTP/POP

Die STMP/POP könnte man schon mal deaktiveren oder?

Auf dem HTTP antwortet auch nichts mehr als ein "acces denied"

ftp ist auch nur "anonymous access"

Habt ihr FAQs, Guidelines, was ihr so aus dem Ärmel schütteln könnt?

Alpha

Was soll der Server überhaupt machen?

Was soll der Server überhaupt machen?

nichts mehr als http und wartung mit vnc und ssh. ftp zum späteren dateitransfer. aktuell aber nicht gebraucht.

nichts mehr als http und wartung mit vnc und ssh. ftp zum späteren dateitransfer. aktuell aber nicht gebraucht.
Urks :ugly:
Warum läuft da n VNC, zur Wartung reicht SSH, gerade beim Apache.
SSH am besten nur für einen Nutzer erlauben, der nur user ist und ein gutes Passwort hat.
Der kann dann mit sudo oder su alles Nötige machen.
Ne Firewall auf dem Rechner ist auch unnötig, sorge dafür, dass kein POP-Server läuft und schon ist der POP Port nicht mehr verfügbar ;)

Gruß

ok. dann kill ich halt vnc.

die ports kann ich mit xinetd / yast beenden, oder?

bei ssh muss sich immer der root user anmelden. aktuell weiss ich nicht, wie ich das ändere, dass sich da nur ein normaler benutzer anmelden kann.

ssh user@host spezifischen user anmelden

Administration kann ausschließlich über ssh erfolgen.
Ich empfehle, apt-get for suse zu installieren, da yast in der console ein Grauen ist.

ok. dann kill ich halt vnc.

Gut so, wozu hast du den denn gebraucht?
Deine X-Windows kannst du auch durch ssh schicken.
Ein Apache und FTP-Server braucht nichtmal das, runlevel 3 reicht eigentlich.

die ports kann ich mit xinetd / yast beenden, oder?

Ja, machs mit yast und stelle dann gleich das Hochfahrverhalten ein.
Fürs schnelle starten/stoppen reicht (normalerweise) bei SuSE auch auf der Kommandozeile
rc[dienstname] start/stop

bei ssh muss sich immer der root user anmelden. aktuell weiss ich nicht, wie ich das ändere, dass sich da nur ein normaler benutzer anmelden kann.
Der Eintrag "AllowUsers" muss in die sshd_config.
Siehe auch "man sshd_config"

Gruß

ich verstehe es nicht. ich hab mit inetd den pop dienst aus dem start genommen.gucke mit ps -A nach diensten. da ist garnix, was auch nur irgendwie mit "pop" klingt.

genauso wie ftp.

ne idee, was das sein kann?

Sind die Startscripte der Dienste in dem erwünschten Runlevel?

ne idee, was das sein kann?

Ja, PEBKAC.
Tip wie bei deinen sonstigen Windowsproblemen: Lesen, lesen, lesen.

QFT

Der Eintrag "AllowUsers" muss in die sshd_config.
Siehe auch "man sshd_config"

Gruß
Es sollte "PermitRootLogin no" gesetzt sein, damit man über su oder sudo zum root wechseln muss und sich nicht direkt als root anmelden kann.

Du vermisst den Popdienst oder nur das der nicht läuft? normalerweise startet inetd den Dienst bei Bedarf (ankommender Verbindung ?)

Generell beschränkt sich die Absicherung eines Server nicht auf eine Firewall (welche eigentlich auf ne Server eher unnütz ist), 99% der Einbrüche kommen über alte/fehlerhafte Softwareversionen, sowohl im OS (Kernellücken) als auch bei den Webanwendungen. Ein Forum von Anfang des Jahres, oder ne Webseite die ungefiltert was einbindet:
<? include($_POST['seite']) ?>
Damit können Fremde inhalte auf dem Server ausgeführt werden, ein hochladen von Dateien in /tmp o.ä. ist damit ein Kinderspiel, zusammen mit ggf vorhandenen localen Exploits im Kernel (z.B. denen im Kernel mit <2.6.17.4) hat der gute Mensch schon nen rootzugriff.

Zum ansichern taugt eher SuExec, eine beständige Pflege/Update der Software (Joomla/phpbb/wordpress usw.) als ne Firewall.

Es sollte "PermitRootLogin no" gesetzt sein, damit man über su oder sudo zum root wechseln muss und sich nicht direkt als root anmelden kann.
Deswegen postete ich ja noch "man sshd_config" ;)
Ich mache doch nicht die ganze Arbeit für alpha-centauri :P

Gruß

http://www.bsi.de/fachthem/sinet/dienste/dienste_www.htm

http://www.bsi.bund.de/gshb/deutsch/m/m04192.htm

Die Seiten des BSI sind generell eine gute Anlaufstelle zum Thema Sicherheit.

na, ic hsag mal: wenn ic hvon windows aus mit telnet blabla.com pop3 drauf zugreife, bekomm ich ne antwort. das bekommt man doch aus, oder? hatte heute keine zeit für linux. ich dacht mir: domäne und exchange zu sichern ist mal wichtiger für das unternehmen.

ja bekommt man aus.. im inetd den pop3 auskommentieren, bzw sonst mail server abschalten.. ab das macht den Server nicht sicher!

das folgende ist alles, was mit ps -A auf dem server läuft. ich frag mich, was da SMTP/pop3 sein soll



1 ? 00:00:01 init
2 ? 00:00:00 ksoftirqd/0
3 ? 00:00:00 events/0
4 ? 00:00:00 khelper
9 ? 00:00:00 kthread
19 ? 00:00:00 kacpid
90 ? 00:00:03 kblockd/0
133 ? 00:00:00 aio/0
132 ? 00:00:03 kswapd0
725 ? 00:00:00 kseriod
1050 ? 00:00:00 reiserfs/0
2028 ? 00:00:00 udevd
2071 ? 00:00:00 khpsbpkt
2495 ? 00:00:00 khubd
3061 ? 00:00:00 dbus-daemon-1
3938 ? 00:00:00 hwscand
4975 ? 00:00:00 resmgrd
5070 ? 00:00:00 klogd
5079 ? 00:00:01 syslog-ng
5095 ? 00:00:01 nscd
5096 ? 00:00:00 mysqld_safe
5154 ? 00:00:01 mysqld-max
5204 ? 00:00:01 sshd
5218 ? 00:00:00 acpid
5314 ? 00:00:00 powersaved
5331 ? 00:00:00 miniserv.pl
5359 ? 00:00:00 master
5446 ? 00:00:00 httpd2-prefork
5463 ? 00:00:00 cron
5472 ? 00:00:00 httpd2-prefork
5473 ? 00:00:00 httpd2-prefork
5474 ? 00:00:00 httpd2-prefork
5475 ? 00:00:00 httpd2-prefork
5476 ? 00:00:00 httpd2-prefork
5478 ? 00:00:00 hald
5519 tty2 00:00:00 mingetty
5520 tty3 00:00:00 mingetty
5521 tty4 00:00:00 mingetty
5522 tty5 00:00:00 mingetty
5523 tty6 00:00:00 mingetty
5562 tty1 00:00:00 mingetty
6372 ? 00:00:00 httpd2-prefork
19826 ? 00:00:00 qmgr
21311 ? 00:00:00 httpd2-prefork
26199 ? 00:00:00 xinetd
32085 ? 00:00:00 pdflush
32086 ? 00:00:00 pdflush
6375 ? 00:00:00 pickup
6422 ? 00:00:00 sshd
6446 pts/0 00:00:00 bash
6465 pts/0 00:00:00 ps

und die "firewall" lässt sich auch nicht starten. tut sich einfach nix.

das folgende ist alles, was mit ps -A auf dem server läuft. ich frag mich, was da SMTP/pop3 sein soll


Mach mal ps -aux. Das sollte übersichtlicher sein. Daneben noch netstat -anp (ganz ausführlich netstat -tulpen). Da wo Port 110 steht, wird auch der dazugehörige Prozess angezeigt. Btw. möchte ich dir/deiner Firma raten diesen Auftrag an einen Dienstleister abzugeben der Linux Know-How besitzt.

Gruß,
Evil