Themabewertung:
  • 0 Bewertung(en) - 0 im Durchschnitt
  • 1
  • 2
  • 3
  • 4
  • 5
Einrichtung und Absicherung eines v/RootServers
#1
Erste Schritte Absicherung eines v/RootServers

Schon vorab:

Was ich in diesem Tutorial zeige sind nur Richtlinien, auf die ich keine Gewähr gebe. Jeder sollte selbst entscheiden, welche Sicherheitsmethoden er anwendet bzw. auslässt oder gar extra hinzufügt.
Man sollte sich aber immer vor Augen halten, dass es keinen perfekt abgesicherten Server gibt, jedoch versuchen wir nun wenigstens eine "Grundsicherung" herzustellen Big Grin.

In meinem Beispiel hier geht es darum einen vServer so weit einzurichten, dass ein ..

- Apache2 Server inkl. PHPMyAdmin, MySQL und PHP5
- Teamspeak3 Server
- ProFTPD Server

laufen. Dazu kommt natürlich noch die Absicherung.

INFO: Auf IPTABLES werde ich hier nicht eingehen, da jeder seine eigene IPTABLES konfigurieren und anpassen sollte.



Zuerst updaten wir die Packetquellen und bringen alle Pakete auf den neusten Stand und installieren den, wie ich finden, deutlich komfortablen Editor nano.

Code:
apt-get update  && apt-get upgrade && apt-get install nano

Absicherung

1. SSH Port ändern

Durch das Ändern des SSH Ports laufen die meisten Bruteforceskripte, die versuchen euer Passwort zu knacken, ins Leere, da sie auf den Standard SSH Port 22 ausgelegt sind.

Dazu editieren wir die SSH Config

Code:
nano /etc/ssh/sshd_config

Und ändern die Zeile

Code:
Port 22

zu unserem neuen Port. Achtet bitte darauf keinen bereits vom System verwendeten Port zu nehmen. Hier empfiehlt sich einen Port oberhalb von 64000 zu nehmen. Dies dient einfach dazu langwierig Überschneidungen zu vermeiden.



Mit
Code:
/etc/init.d/ssh restart
starten wir den SSH Dienst neu und testen in einer neuen Putty Session ( DIE ALTE NICHT SCHLIEßEN!!! ), ob der Port funktioniert, um uns nicht selbst auszusperren.

Installation von Fail2Ban

Fail2Ban ist ein Tool, das IP Adressen, die eine gewisse Zahl von fehlerhaften Loginversuchen im SSH oder Anfragen an den Webserver gestartet haben, zeitlich bannt.
Meiner Meinung ist die wichtigste Funktion der Schutz des SSH Logins durch einen zeitlichen Bann nach X fehlerhaften Loginversuchen.

Wir installieren fail2ban mittels

Code:
sudo apt-get install fail2ban

Alternativ können wir noch die Config anpassen.
Zuerst kopieren wir die Config, da die Config in der normalen Datei nicht durchgeführt werden sollte, da sie so vor Updates sicher ist.

Code:
sudo cp /etc/fail2ban/jail.conf /etc/fail2ban/jail.local

Mit
Code:
sudo nano /etc/fail2ban/jail.local
editieren wir die Datei. Die Config sollte selbsterklärend sein.


SSH Login beschränken

Standardmäßig können sich auf Linux-Systemen alle Benutzer per SSH einloggen. Manchmal möchte man dies aber nur bestimmten Benutzern erlauben. Dies ist beispielsweise der Fall, wenn FTP-User als System-User angelegt werden. Diesen möchte man in der Regel natürlich keinen Login erlauben.

Ein Weg, dieses Problem zu lösen, ist, ihnen keine Shell zu geben, indem man in der /etc/passwd die Shell des jeweiligen Benutzers "/bin/bash" durch "/bin/false" ersetzt. Dies funktioniert jedoch nur dann, wenn der Benutzer auch für keine andere Anwendung eine Shell benötigt.(Copyright by http://www.it-blog.net/artikel/28-SSH-Lo...enken.html


Also legen wir fest, dass alle Benutzer, die sich per SSH einloggen dürfen Mitglied der Gruppe SSH sein müssen.

Also erstellen wir die Gruppe SSH und fügen als erstes! den Benutzer root hinzu, um uns nicht selber auszusperren.

[HTML]adduser root ssh[/HTML]

Nun müssen in der /etc/ssh/sshd_config folgende Zeilen eingefügt werden:

Code:
sudo nano etc/ssh/sshd_config

Code:
# Limit SSH login to users of the given groups
AllowGroups ssh

Mittels
Code:
/etc/init.d/sshd restart
starten wir den SSH Dienst neu. Nun wirken unsere Änderungen.





WEITERES FOLGT ZEITNAH!
Antworten


Gehe zu:


Benutzer, die gerade dieses Thema anschauen: 1 Gast/Gäste