Rootserver Absichern

    Hey Leute,


    ich. Mal wieder :)


    Ich hatte ja gerade eben ein Thema auf gemacht. Nun ist es aber so, das die sache die zu dieser einen Frage geführt hat, mehr Probleme aufwirft.


    Deswegen so. Hoffe das ist okay.


    Ich habe meinen Rootserver abgesichert.


    Bis vor 40 Min ging alles, so wie es sein sollte. Alle Domains liefen.


    Bis dahin bestand mein Schutz aus folgenden Punkten:
    1. "root" den Zugriff sperren.
    => neuen User angelegt, passwort vergeben. Su fertig. Rootzugriff, mit su und root als User kommt nicht mehr rein.


    2. Betriebssystem prüfen
    cat /etc/debian_version


    3.update check
    apt-get update
    apt-get upgrade


    4. Prozesse prüfen
    Standart: top (mit "q" zurück)
    apt-get install htop /besseres tool
    Ausführen mit >>>> htop


    5. Vnstat (Netzwerkstraffic prüfen !)
    apt-get install vnstat
    vnstat -u -i eth0
    Ausführen : vnstat


    -------------------------------------------------------------
    So, denn musste ich arbeiten. Nun bin ich wieder zu hause und habe da weiter gemacht, wo ich aufgehört habe:
    1.1 Port ändern
    nano /etc/ssh/sshd_config
    => Port geändert z.B. 55 => sodass der Port jedoch nicht im Konflikt mit anderen Diensten steht
    /etc/init.d/ssh restart



    6. Rootkits löschen
    aptitude install rkhunter
    => in die File => /etc/rkhunter.conf gegangen und bei "MAIL-ON-WARNING=""" meine Mail rein gesetzt
    rkhunter --check


    BTW => Mein System ist ggf. Infiziert. Es gibt Unsichtbare Dateien und Ordner.....


    7. Dienste Überwachen (monit)
    aptitude install monit


    ab in "nano /etc/default/monit" und "startup=0" auf 1 gesetzt...=> startup=1


    Danach die Dienste eingetragen:
    nano /etc/monit/monitrc




    1. Frage: Ist die Absicherung so okay ? Taugt die Was ? was veraltet oder schlecht ?



    2. Frage / 1. Problem:
    Seit dem, was ich heute gemacht habe zeigen alle Domains auf:

    Zitat

    It works!


    This is the default web page for this server.


    The web server software is running but no content has been added, yet.


    Der User ist im Froxlor noch da, auch die Domains und die Ordner


    Aber: auf den FTP komme ich auch nicht mehr - Weder mit Port 21,22,55



    Jemand eine Idee oder Ideen ? :)


    LG

    Der oben geschriebene Beitrag ist meine persönliche Meinung/Interpretation!
    Im übrigen verweise ich auf §675 Abs. 2 BGB .

    Hallo RayMD,


    ja ich habe schon was von iptables gehört. Aber eher im Zusammenhang mit DDOS / DOS Attacken wie man prüfen kann welche IP's angreifen und diese dann aussperren kann.


    Das Hilft mir irgendwie jetzt nicht das die Webseiten nicht mehr erreichbar sind.


    Auch weiß ich jetzt nicht, ob meine Methode zur Absicherung des Servers nun gut oder eher nicht so gut ist.


    Jeder fängt mal klein an und das sind meine Anfänge im Sinne von "Eigenen Server Absichern"


    Über iptables habe ich mich u.a. hier belesen:
    http://64-bit.de/dokumentation…-IPTABLES-HOWTO-3.html#s3



    Wäre schön, wenn du bei Zeit und Lust nochmal auf eine meiner Fragen eingehen könntest, ohne das man sich danach vorkommt als sei man Doof und oder unerwünscht mit der Frage.


    Ich meins nicht böse, aber deine Antwort hat mir halt leider keine meiner Fragen beantwortet und kommt mir so "von oben herab" vor und das ist nicht gerade das was ich erhofft hatte.
    Ich hoffe jedoch, das ich das so rüberbringen konnte das ich damit niemanedens Stolz angegriffen habe.


    LG

    Der oben geschriebene Beitrag ist meine persönliche Meinung/Interpretation!
    Im übrigen verweise ich auf §675 Abs. 2 BGB .

    Hallo Real-DD-2,


    Ich wollte nur sicher gehen, dass du (weil du ja von iptables schon gehört hast) in die iptables mal reinschaust (iptables -L) und überprüfst, ob dort Einträge drin stehen, die vielleicht dein ftp/ssh nerven. Du solltest darauf achten, dass erstmal nichts drin steht und die Policy für IN/OUT auf ACCEPT steht. Falls etwas drin stehen sollte, dann mit iptables -F leeren und ggf. Policy umstellen mit: iptables -P INPUT/OUTPUT ACCEPT


    Da ich nicht weiß was rkhunter, monit und vnstat genau machen, kann ich auch nicht sagen ob das Absichern gut oder schlecht ist. Meiner Meinung nach und das ist nicht böse gemeint, ist das totaler Schwachsinn. Das sind eher Monitoring Tools.


    Hier im Forum gibts ein Thread der die ersten Schritte zeigt. Einfach mal danach suchen.


    Zitat

    "BTW => Mein System ist ggf. Infiziert. Es gibt Unsichtbare Dateien und Ordner....."

    Kannst du das bitte näher erläutern? Weil dein Zitat in meine "Made my Day"-Topliste hinzugefügt worden ist.


    Was Froxlor angeht: Keine Ahnung. Webinterfaces, die tun und lassen was sie wollen, schrecken mich eher ab.


    Zitat

    Aber: auf den FTP komme ich auch nicht mehr - Weder mit Port 21,22,55

    22 (gibts soweit ich weiß nicht mehr, da du es auf 55 geändert hast) und deine 55 (hier SSH nun) sind auch keine FTP Ports.
    Hier muss 20/21 verwendet werden, ggf. 990 bei SSL (je nach Konfiguration). Mehr dazu in den Konfigurationsdateien deines FTP daemon.

    rkhunter:
    http://www.heise.de/download/r…ter-rkhunter-1153493.html


    PRüft an der kommandozeile nach rootkits


    Monit:
    http://mmonit.com/monit/
    prozessüberwachung (Meldung bei zu viel Auslastung, plötzlichem vielen traffik etc.)


    vnstat
    http://humdi.net/vnstat/


    besseres PRozess tool mit Anzeige Speicherauslastung etc.


    iptables ist alles okay.


    Trotzdem zeigen alle Domains nich tmehr auf den richtigen Pfad sondern auf it works


    LG

    Der oben geschriebene Beitrag ist meine persönliche Meinung/Interpretation!
    Im übrigen verweise ich auf §675 Abs. 2 BGB .

    verwende auch kein Froxler, aber eventuell kannst du mal nachschauen, ob eines der tools irgendeinen vhost überschrieben hat?
    Verwendest du Vhosts mit IP oder ohne (sollte wohl einheitlich immer mit oder immer ohne sein. warum ist mir aber nicht ersichtlich.)
    Du verwendest apache? war blödsinn, weil die it Works Meldung kommt ja von apache...


    Zu deiner Frage zum Thema Absichern: das Port ändern, Root-Login verbieten ist zwar der 1. Schritt, aber mit absichern würde ich das jetzt nicht verbinden.
    Da wäre wirklich IPtables wichtig (Nur den erwünschten Netzwerktraffic zulassen).
    Zum Thema SSH: auch wenn du den Port geändert hast, würde ich den Login über ein Zertifikat machen und den Passwort-Login verbieten. Das wäre zumindest das mir bekannte für SSH (außer du möchtest noch eine 2-Faktor-Authentifizierung einbauen?)

    Hey,


    Naja soweit ich weiß sollte keines der Tools eine vhost überschrieben haben.


    Habe geschaut und dazu nichts gefunden.
    Auch das löschen der Tools hat nichts gebracht.
    Würde ungern den Server neu aufsetzen müssen. Aber naja. Unter'm Strich wäre ich ja selbst dran Schuld.


    Ich hoffe trotzdem das wir das auch Ohne hinbekommen.


    Lg

    Der oben geschriebene Beitrag ist meine persönliche Meinung/Interpretation!
    Im übrigen verweise ich auf §675 Abs. 2 BGB .

    Habe jetzt über froxlor mal versucht das Ding neu zu konfigurieren.


    Also debian
    Http
    Apache2


    Danach sollte ich ja folgendes machen:
    Mkdir /var/costumers/webs/
    Mkdir /var/costumers/Logs/
    Mkdir /var/costumers/tmp/


    Chmod 1777 /var/costumers/tmp/
    a2dismod userdir


    /etc/init.d/apache2 restart
    Als Antwort nach dem restart kam das:
    .73:80, the first has precedence, perhaps you need a NameVirtualHost directive
    [Mon Jul 22 01:46:50 2013] [warn] VirtualHost 37.221.195.73:80 overlaps with VirtualHost 37.221.195.73:80, the first has precedence, perhaps you need a NameVirtualHost directive
    ... waiting [Mon Jul 22 01:46:51 2013] [warn] VirtualHost 37.221.195.73:80 overlaps with VirtualHost 37.221.195.73:80, the first has precedence, perhaps you need a NameVirtualHost directive
    [Mon Jul 22 01:46:51 2013] [warn] VirtualHost 37.221.195.73:80 overlaps with VirtualHost 37.221.195.73:80, the first has precedence, perhaps you need a NameVirtualHost directive
    [Mon Jul 22 01:46:51 2013] [warn] VirtualHost 37.221.195.73:80 overlaps with VirtualHost 37.221.195.73:80, the first has precedence, perhaps you need a NameVirtualHost directive
    [Mon Jul 22 01:46:51 2013] [warn] VirtualHost 37.221.195.73:80 overlaps with VirtualHost 37.221.195.73:80, the first has precedence, perhaps you need a NameVirtualHost directive
    [Mon Jul 22 01:46:51 2013] [warn] VirtualHost 37.221.195.73:80 overlaps with VirtualHost 37.221.195.73:80, the first has precedence, perhaps you need a NameVirtualHost directive
    [Mon Jul 22 01:46:51 2013] [warn] VirtualHost 37.221.195.73:80 overlaps with VirtualHost 37.221.195.73:80, the first has precedence, perhaps you need a NameVirtualHost directive


    Hab's jetzt über das iphone per Terminal gemacht, hoffe das kein Fehler unterlaufen ist.


    Eventuell hilft es ja einem von euch das Problem ein zu Grenzen.


    Ansonsten werd ich nach der letzten Nachtschicht, also Dienstag, den Server nochmal komplett neu aufsetzen müssen.


    Lg

    Der oben geschriebene Beitrag ist meine persönliche Meinung/Interpretation!
    Im übrigen verweise ich auf §675 Abs. 2 BGB .

    Schau mal bitte in deine /etc/apache2/ports.conf


    Dort sollte folgendes stehen:


    NameVirtualHost *:80
    Listen 80


    und achte bitte auch darauf, dass es nirgends anders steht.


    Im Verzeichnis /etc/apache2/sites-available sollte sich eine default Datei befinden. Dort ebenfalls achten, dass wenn ein <VirtualHost *:80> geöffnet ist, es auch geschlossen wird </VirtualHost>.
    Das gilt ebenfalls für alle anderen Dateien in diesem Verzeichnis.


    Da ich mich nicht mit Froxlor auskenne, weiß ich nicht, was für Dateien es noch anlegt und was dort drin steht. Hoffe aber, dass du dennoch an die Lösung nah rankommst.


    P.S.: "Chmod 1777 /var/costumers/tmp/" ????? 1777? wirklich, oder nur ein Tippfehler?

    Nabend, guten Morgen,


    Ja es steht überall Port 80 drinnen und in der /Sites-enabled/ Default file steht vhost:80 drinnen und das wird auch wieder geschlossen. Sieht alles richtig aus.


    Chmod 1777, so stand es in der ausgAbe was man einstellen soll bei froxlor.


    Lg



    Nachtrag:
    Habe den Server jetzt neu aufgesetzt. Funzt alles wieder.
    In Zukunft sollte ich mal nen bissel besser aufpassen.


    LG


    ps:
    Tipps und Tricks zum Absichern eines Servers sind trotzdem gern gesehen :)

    Der oben geschriebene Beitrag ist meine persönliche Meinung/Interpretation!
    Im übrigen verweise ich auf §675 Abs. 2 BGB .

    Einmal editiert, zuletzt von Real-DD-2 ()