iptables --uid-owner im VCP?

    Hallo,


    ich habe folgendes Problem:
    Ich möchte einen Minecraft Server auf unseren Vserver starten, allerdings hat dieser bereits in der Vergangenheit gehackt und hat einen anderen Server angegriffen, worauf unser Vserver von netcup gesperrt wurde.
    Damit so etwas nicht noch einmal passiert möchte ich nun gerne OUTGOING connections für den minecraft benutzer nur für ESTABLISHED und RELATED erlauben, was mit iptables durchaus möglich wäre, nur ist dies auf einem Vserver von netcup nur über das VCP möglich. Dieses bietet allerdings die dafür benötigte --uid-owner Option nicht.


    Danke im Vorraus für jegliche Hilfe,


    mfg

    Kannst du dir nicht evtl vorstellen das dein Server durch unsichere Einstellungen übernommen worden ist ?


    Die einfachsten Sicherheitseinstellungen:
    - SSH Port ändern
    - Root Login verbieten (neuen Benutzer erstellen über diesen einloggen und dann über su root in den root Benutzer wechseln)


    Natürlich den Minecraftserver nur über einen Benutzer laufen lassen, man weis ja nie

    Danke für deine Rückmeldung,


    SSH Port geändert,
    Passwort: Alphanumerisch, Großkleinschreibung, und Sonderzeichen und lang also ich hoff mal dass das keiner geknackt hat, der log zeigte auch keine loginversuche
    Root login hab ich nicht verboten weil ich SUDO hasse^^


    und der minecraft server lief unter eigenem benutzer mit eingeschränkten rechten(also das einzige worauf der zugreifen durfte war der minecraft ordner)


    hast du vielleicht ideen wie ich das mit den firewall regeln hinbiegen könnte?

    Zitat von Sebastian3196;37202

    Die einfachsten Sicherheitseinstellungen:
    - SSH Port ändern
    - Root Login verbieten (neuen Benutzer erstellen über diesen einloggen und dann über su root in den root Benutzer wechseln)


    SSH-Port ändern: Was erwartest du dir davon? Ein simpler Port-Scan befördert dir den SSH-Zugang innerhalb 1s zu Tage.


    Root Login verbieten: Wenn dann bitte gleich auf SSH-Keys umstellen und die IP-Bereiche für den SSH-Server in der Firewall auf das nötigste beschränken.


    Solange aber nicht klar ist, wieso der Server mal geknackt wurde, sind diese ganzen Bemühungen sinnlos. Aus Unwissenheit/Gewohnheit wird die gleiche Sicherheitslücke wohl wieder in die Konfiguration eingebaut werden.


    Ich weiß zwar nicht welche Distribution verwendet wird, aber jede Distribution hat eigene Tools die den installierten Software-Stand gegen bekannte Sicherheitslücken prüfen - Das Gegenstück für Windows-Benutzer namens PSI von Secunia dürfte ja jedem bekannt sein.

    "Security is like an onion - the more you dig in the more you want to cry"

    ja klar waren andere dinge auch noch drauf ich hab ca. nen tag die logfiles durchgeschaut minecraft war das einzige was erhöhte verbindungen festgestellt hat, könnte natürlich genausogut samp, apache oder der mail server gewesen sein obwohl ich letztere beiden anzweifeln würde.

    danke vmk


    umstellung auf ssh keys werde ich machen danke für den tipp was ip bereiche angeht kann ich leider nix machen mein inet zuhause kriegt von der isp ne dynamische ip und das is net der einzige pc von dem aus ich zugreife.


    naja zuerst warst ubuntu 9.10 und jetzt debian 5.0.3 ich werd mal googlen nach den tools :)

    Dynamische IP zuhause: Nur weil du nicht weißt was man da macht, heißt das nicht das man da nichts machen kann.


    Notiere dir einfach mal ein paar Tage (teilw. Woche) lang, welche IP du bekommst. Dann manchst du ein whois auf die IP-Adresse. Du wirst merken, dass die IP-Adressen alle im gleichen oder in ganz wenigen Subnetzen liegen. Dieses Subnetz trägst du dann als erlaubten Bereich in die Firewall ein. Im Vergleich zu allen verfügbaren IP-Adressen hast du damit den Bereich für den SSH-Server um sicherlich über 99% verkleinert.


    Selbst wenn du hier einen Fehler machst - Die Firewall läuft extern und ist immer erreichbar.


    edit/update: Für Debian gibt es debsecscan.

    "Security is like an onion - the more you dig in the more you want to cry"