Was ist neu?

Server sicher machen aber wie?

Deey

- Premium Member -
Wie macht ihr euere Server ein bisschen sicherer gegen SSH Attacken und Injections über vielleicht unsichere Scripts und dergleichen? Bei meinem bald ehemaligen oder besser gesagt alten Hoster gab es eine vorkonfigurierte Firewall die aber auch so ihre Tücken hatte. Mein nächster Server hat das nicht und ich könnte sie nur optional für einen Sack Euros haben, den ich nicht einsehe. Es gibt doch auch Firewall Scripts für Server aber welche ist einfach zu handhaben? Hilfe
 

tootie fucking fruity

- Royal Clan Member -
Also, wenn du deinen Server immer mit den anstehenden Updates versorgst, nicht all zu viel Aller-Welt-Freescripts verwendest, ungenutzte Dienste abschaltest, ungenutzte Ports dicht machst bist du eigentlich schon recht sicher.
Wenn du Daten aus Formularen vom User übernimmst, müssen die ankommenden Daten natürlich korrekt geprüft werden um Injections zu verhindern.

Wenn das so als Grundsatz beherzigt wird, bist du schon fein raus.

Und wenn du dann noch in der Lage bist, Domains aufm Server von Hand anzulegen, und damit auf Sicherheits-Scheunentore wie Plesk, Confixx und ähnliches zu verzichten, bist du schon ganz weit vorne.

Root-Login abschalten, und einloggen nur mit public/private-Keyfiles, damit umgehst du die Anfälligkeit für BruteForce-Angriffe.

Ansonsten kannst du noch iptables als Regelsatz verwenden, welcher weitere Absicherung vornimmt, das nur so auf Zuruf ist aber schwierig, das sollte dir vielleicht jemand machen.

Um zu checken, ob jemand böses mit deinem Server versucht hat oder bzw. schon erfolgreich war, gibts Tools wie z.B. Tripwire

Tripwire [Freakempire Wiki]

Zu checken, wie sicher dein System von außen ist, dabei hilft dir Nessus:
http://de.wikipedia.org/wiki/Nessus_(Software)

Das alles können hier natürlich nur erste Denkanstöße sein, in welche Richtung du intensiver googlen kannst, um dir einen eigenen Maßnahmen- und Toolkatalog zusammenzustellen.
Serversicherheit ist natürlich kein Buch mit sieben Siegeln, man muss aber die Zeit haben, sich damit zu beschäftigen.
Das heisst, bei Hochproduktivservern, solltest du vielleicht doch drüber nachdenken, dir nen Admin zu nehmen, der dir das Ding erst mal sturmfest macht. Ich habe nen Admin, der mir für 60 Euro die Stunde alle neuen Maschinen pimpt, weil ich selber zwar schon ne Menge weiß, er aber noch viel mehr .. im Grunde sind das einmalig vielleicht 60-120 Euro, und der Server ist erstmal grundfest.

Wie gesagt, wenn dann noch Updates regelmäßig gemacht werden fürs OS, und gewissen Verhaltensgrundregeln beachtet werden, kann dir gar nicht mehr so viel passieren.
 

SeoPunk

- Royal Clan Member -
Deinen SSH Port auf eine fantastische Zahl umstellen ist auch eine gute Sache, hat mir sehr viel mehr Ruhe gebracht als ich vermutet habe. Wegen unsicheren Scripten und fehlerhaften Formularen die auch missbraucht werden können empfehle ich dir modsecurity.
 

tootie fucking fruity

- Royal Clan Member -
Deinen SSH Port auf eine fantastische Zahl umstellen ist auch eine gute Sache, hat mir sehr viel mehr Ruhe gebracht als ich vermutet habe. Wegen unsicheren Scripten und fehlerhaften Formularen die auch missbraucht werden können empfehle ich dir modsecurity.
Jo, vermindert die BruteForce-Attacken um gefühlte 80% ...
 

Raptor

- Royal Clan Member -
Wenns ne kleine Erleichterung sein könnte und wenn Du vielleicht sogar WHM/Cpanel benutzt, kannst Du ganz easy die ConfigServer Firewall installieren die ich selbst absolut super finde ConfigServer Security & Firewall
Lässt sich über den WHM sehr gut konfigurieren und du hast per Email einen wunderbaren sofort Überblick wer sich da bei Dir am Server zu schaffen machen will.....die werden natürlich erstmal geblockt :D

Als zweites noch mod_security drauf. Bei WHM/Cpanel kannste das auch bei den PlugIns einfach aus der Liste installieren und direkt dort konfigurieren oder die vorkonfigurierte Einstellung übernehmen.
 

neo

Registrierter Benutzer
Staff member
Das Problem bei der Software Firewall ist natürlich die Auslastung die durch sie verursacht wird. Die Hardware Firewall steckt locker eine grosse Anzahl Attacken aus dem Netz weg ohne dabei deine Server CPU ausszulasten. Es kommt auch darauf an wie stark dein Traffic Aufkommen ist aber in eine Hardware Firewall ist sicher nie falsch investiert.
 

mesh

- Premium Member -
Und immer schön Logs lesen.
Manchmal reicht schon 2x täglich das Auslesen von wtmp.
 

archandha

- Premium Member -
Hi,

wie tootie-fucking-fruity schon geschrieben hat, ist Aktualisierungund abschalten von allem unnötigem wichtig.

Wir nutzen keine Firewall auf unseren Servern. Warum? Es gibt nichts zu blocken, da alle Dämonen aus sind, soweit sie nicht benötigt werden. Die die extern benötigt werden kann ich nicht per Firewall blocken, denn sie werden ja benötigt. Die die nur intern benötigt werden, z.B. syslogd, mysqld, werden alle einzeln so konfiguriert, das die nur auf das loopback hören, also nicht auf irgentwelche Netzwerkkarten. Also lauscht niemand auf irgentwelchen Ports, ergo brauche ich die auch nicht zu sperren, da die eh nicht konnektiert sind.

Das einzige was man mit einer SW-Firewall dann noch erreichen kann, ist das keine icmp-Meldungen mehr kommen, um den Traffic zu sparen.

Wichtigstes Prinzip ist eigentlich, nichts laufen zu lassen, was nicht unbedingt nötig ist. Nichts! Und was läuft ist aktuell.

Man kann noch Tripwire etc. installieren, jepp. SSH Port verlegen ist eine gute Maßnahme um den Bot-Traffic niedriger zu halten. Hier habe ich früher mit einem Script Fehlkonnekts aussortiert und für eine gewisse Weile die IP dann gesperrt, aber das lohnt auch nicht mehr, seit der Port verlegt wurde. Andererseits wird es nicht lange dauern, dann wird jemand die Bots um einen Portscanner erweitern...

LG
 

Fuyonet.com

- Premium Member -
Jo, es wurde schon gesagt.

SSH Port als aller erstes mal auf einen utopischen Port umlenken.
Software Firewall bringt da wenig, da es sich meist um einen Paketfilter (iptables) handelt.

bastelt euch Passwörter auf die keiner kommt !!! Baut euch eine Eselsbrücke, dass niemald sich das erahnen kann.

zb bauen wir mal ein Root passwort für WebRoyals

und genau diesen Satz nehmen wir als Vorlage
zb bauen wir mal ein Root passwort für WebRoyals
dataus nehmen wir die Anfangsbuchstaben und machen sonderzeichen davor und dahinter:

§zbbwmeRPWfWR&
für den Ersteller leicht zu merken, für angreifer unmöflich zu erraten :)

lasst sie doch Attacken auf euren SSH Port fahren. Solange sie sich bei euch die Zähne ausbeissen, hacken sie keinen anderen *lol*
 

Neue Themen

Oben