Securitycheck

moses · 16. Januar 2010

Hallo!

Habe mir als totaler inet-Server-Neuling das letzte halbe Jahr einiges durchgelesen, was die Sicherheit eines vServers betrifft, denn ich möchte gerne eine Datenbank für mein ERP-System darauf betreiben, welche durch das Internet erreichbar sein soll. Das ganze ist also dz. so abgesichert:

Die Verbindung erfolgt SSL-Verschlüsselt durch einen SSH-Tunnel
Die Ports die nicht verwendet werden wurden abgesperrt
SSH-Root-login wurde verboten
SSH-Port wurde geändert
Es werden sichere Passwörter verwendet
Updates für Etch wurden geladen und installiert
chkrootkit, tripwire, CalmAV und rkhunter wurde installiert
Der Zugriff auf ..de/phpmyadmin ..de/syscp wurde per .htaccess abgesichert

Nun ist die Frage, ob dies alles ausreicht um den Server einigermaßen sicher betreiben zu können bzw. ob man das testen kann? Ich frage hier, weil ich es schwer einschätzen kann ob und wie man einen Webserver "hacken" kann.

emefge moses

Artimis · 16. Januar 2010

Kannst noch die Shell auf /bin/false oder so setzen und ohne Shell-Login den Tunnel starten.
Außerdem kann man die geringe Unsicherheit des Passwortes (wird aber oft überbewertet) durch verwendung von ordentlichen Schlüsseln noch weiter in die Paranoia treiben.
Dazu einfach in den /etc/shadow statt des Passwort-Hashes ein "!" oder so eintragen und in die ~/.ssh/authorized_keys den Public-Key des Private-Keys vom Client eintragen. Mit PuTTY-Keygen kann man schön einfach Schlüssel erzeugen. So ein 4096b-RSA-Key sollte die nächsten Jahrzehnte unknackbar sein. Aber bitte: Nicht selbst aussperren, ok? xD
Wenn du da noch mehr Infos zu brauchst, gib Laut, ich schreibe dir dann ein Tut.

Aber ansonsten sieht das schon schier aus!

Vor allem der Gedanke, den viele vergessen: mySQL ist normalerweise völlig unverschlüsselt und muss praktisch über SSH getunnelt werden. Auf die unstable-Lösung mit sicherem mySQL würde ich nicht unbedingt setzten, wenn es sich vermeiden lässt.