Man nennt mich auch Sicherheitsfanatiker

    Hallo liebe Netcup'ler,


    ich betreibe nun seit geraumer Zeit einen KVM Server bei Netcup. Bis heute total zufrieden.
    Bedingt dadurch das ich relativ schnell Angriffe in meinen Logs wahrnehmen konnte, fing ich auch schnell an mich mit dem Thema Sicherheit zu beschäftigen und habe mir mein kleinen "Panzer" gebaut.
    Nun ist es aber so, dass ich mich niemals als Profi-Administrator betiteln würde und ich daher gerne von euch wissen würde, wie ihr meine Konfiguration findet und ob ihr noch Tipps habt oder gar Verbesserungsvorschläge habt !


    Die meisten Angriffe bei mir beziehen sich auf mein Mailingsystem durch Bruteforce (Derzeit auch mit einer Proxyliste damit der Angreifer mehr oder weniger fail2ban aushebeln kann, gibt es da noch Tricks ?).


    Meine Konfiguration sieht wie folgt aus :


    Generelles :
    -fail2ban
    -uwf (vereinfachte Firewall / Jegliche nicht benötigen Port verschlossen)
    -Regelmäßige MANUELLE (dist-)Updates
    -Monatlicher Komplettscan von chkrootkit,rkhunter sowie ClaimAV mit E-Mail benachrichtigung
    -Täglicher logcheck report(eigentlich genügend oder ist eine manuelle Untersuchung der Logs weiterhin erforderlich ?).


    SSH :
    - Port geändert
    - Only Keyfiles
    - Passphrase über 30 stellig.
    - Root zugriff(bewusst) erlaubt.


    Postfix/Dovecot :
    - Keine Open Relays
    - Standart E-Mail Adressen wie admin@domain.tld existieren nicht.
    - Spam(amavis) und Viren(ClaimAV) Schutz


    apache2/mysql :
    - Dienst-Informationen zu apache aus den Header verschwinden lassen (ServerSignature = Off)
    - mysql an den localhost binden lassen


    proftp:
    - sftp
    -Keyfiles


    Hoffe ich habe jetzt nichts vergessen.
    Wie bereits erwähnt würde ich gerne von euch erfahren ob ihr das so gut heißen könnt oder ob ich evtl. wichtiges vergessen habe ?
    Sind Überwachungstools wie monin wirklich hilfreich ? Würden sie mir in richtung Sicherheit helfen oder dienen sie doch nicht eher nur der Erreichbarkeit ?


    Mit freundlichen Grüßen
    HomeWell

    Hallo,
    sieht alles nach einer Standard Installation aus. :)


    Zu den "Standard Email Adressen existieren nicht": Da wäre ich vorsichtig. postmaster@, webmaster@, info@ und abuse@ sollten schon vorhanden sein, damit man Dich im Notfall einfach erreichen kann. Ansonsten kann das ein Grund sein, Dich auf eine Blacklist zu packen.

    Zitat von perryflynn

    Hallo,
    sieht alles nach einer Standard Installation aus. :)


    Zu den "Standard Email Adressen existieren nicht": Da wäre ich vorsichtig. postmaster@, webmaster@, info@ und abuse@ sollten schon vorhanden sein, damit man Dich im Notfall einfach erreichen kann. Ansonsten kann das ein Grund sein, Dich auf eine Blacklist zu packen.


    Bis jetzt habe ich eine Catch-all Adresse. Wäre das nicht ausreichend ? Denn erreichbar wäre ich ja :) ?!?


    btw. Wie darf ich "Standart" verstehen ? Sollte ich noch etwas verbessern ? Hast du da etwas für mich ?

    Zitat von HomeWell

    ich betreibe nun seit geraumer Zeit einen KMS Server bei Netcup


    Ich vermute nur ein vertipper, oder betreibst du einen virtualisierten KMS-Server auf dem KVM-Server?

    Zitat von HomeWell

    Die meisten Angriffe bei mir beziehen sich auf mein Mailingsystem durch Bruteforce (Derzeit auch mit einer Proxyliste damit der Angreifer mehr oder weniger fail2ban aushebeln kann, gibt es da noch Tricks ?).


    Blocklisten einbauen: I-BlockList | Lists

    Zitat von HomeWell

    Täglicher logcheck report(eigentlich genügend oder ist eine manuelle Untersuchung der Logs weiterhin erforderlich ?).


    JA die Logs sollten von Hand gecheckt werden, da auch dinge auftauchen können, an die du vorher nicht gedacht hast oder durch ein Update abgeändert wurden

    Zitat von HomeWell

    - Only Keyfiles / - Passphrase über 30 stellig. / - Root zugriff(bewusst) erlaubt.


    Die Passphrase bezieht sich auf den Key nehme ich mal an? Sonnst ist es erstmal ja uninteressant, da du nur den Key erlaubst.
    Weiter, was ist so schlimm daran, denn remote rootzugriff zu sperren? Erst auf den User anmelden und dann als root anmelden

    Zitat von HomeWell

    Standart E-Mail Adressen wie admin@domain.tld existieren nicht.


    Was ist an der E-Mailadresse den schlimm? Ich finde solch eine Adresse wichtig um erreicht zu werden

    Zitat von HomeWell

    Spam(amavis) und Viren(ClaimAV) Schutz


    policyd greylisting und realtime blacklist, mal als Stichwörter für Spam eingeworfen, was du noch machen könntest. Eventuell auch FRAMS von Bitdefender

    Zitat von HomeWell

    mysql an den localhost binden lassen


    Remote willst du nichts machen nehme ich dann mal an, sonnst auch hier mit IP-Tables arbeiten und einer verschlüsselten Verbindung

    Zitat von HomeWell

    proftp: - sftp / -Keyfiles


    Für SFTP benötigst du kein proftpd

    Vielen Dank an dich twiddern: ,
    ich werde mir deine kleine Auflistung zu Herzen nehmen und sie mal abarbeiten und gründlicher anschauen.


    ps. Ja war ein Tippfehler :P Die letzte Auflistung mit Proftp ist verwirrend ich weiß :) Ist aber so das meine Froxlor Accounts FTp nutzen und ich mit mein selbst erstellten User SFTP nutze :) Wollte dafür keine extra Auflistung machen.

    Hallo HomeWell,


    deine Aufstellung klingt vernünftig. Mit Sicherheitsfanatiker hat das wenig zu tun, das ist eher eine übliche Absicherung eines Servers.


    Noch ein paar Anregungen:


    clamav im Mailbetrieb: HOME - Sanesecurity ClamAV: Phishing, Spam & Malware Signatures einbinden und vor dem Spamassassin stellen.
    spamassassin: NiX Spam: DNSBL und Blacklist zum Download | iX ist auch sehr nützlich.
    spamassassin/bayes: Nicht nur aus 'nem Ordner anlernen lassen, verbrannte Emailadressen kannst du auch direkt dort einliefern lassen.
    firewall/ssh: IP-Range für den SSH-Server massiv eingrenzen. Dank vorhandener KVM-Konsole kommst du auch immer wieder auf den vServer drauf.
    updates: Jede Distribution hat sollte ein Skript haben, was deinen Server gegen bekannte Sicherheitslücken prüft. Ich bekomme so täglich eine Mail, wenn es unsichere Pakete gibt.

    "Security is like an onion - the more you dig in the more you want to cry"


    Danke sehr vmk,


    ein weiterer Beitrag der sich sehen lässt. Ich ging bereits davon aus spamassassin in Benutzung zu haben doch nach einer Überprüfung musste ich feststellen, dass ich es vergessen haben muss. Demnach hole ich das jetzt erstmal fix nach ;)


    MfG.

    Nochmal explizit die Frage gestellt ob ich mit diesem Setup gegen Brute-Force-Attacken was mein E-Mail System betrift sicher bin und Abends ruhig schlafen kann ?


    Denn ich habe täglich mit Angriffen zu tun.


    Hier ein Beispiel :
    Logcheck BruteForce - Pastebin.com Hoffe der pastebin Link ist in Ordnung leider gibt es in diesem Forum keine Spoiler Funktion und ich würde das Forum nur flooden.


    MfG.

    Brauchst du Authentifizierung wirklich auf Port 25/143? Wenn nein, dann lass das nur noch über verschlüsselte Verbindungen zu. Das meiden die meisten Leute beim BruteForce.

    "Security is like an onion - the more you dig in the more you want to cry"

    Meine Fail2Ban-Logdatei sieht zwar nicht so überladen aus, ruhig geht es aber trotzdem nicht zu.


    Seit ich die Parameter der Jail für sasl und postfix etwas strenger eingestellt habe, kommen nur noch alle 2-3 Wochen große Angriffswellen und dann ist erstmal Ruhe (nachdem der größte Teil der IPs für eine Woche gebannt ist):


    maxretry = 3
    bantime = 604800


    Ich würde mich aber auch nicht als Sicherheitsexperten betiteln und bin noch auf der Suche nach einer besseren Lösung (Blocklisten).

    Zitat von vmk

    Brauchst du Authentifizierung wirklich auf Port 25/143? Wenn nein, dann lass das nur noch über verschlüsselte Verbindungen zu. Das meiden die meisten Leute beim BruteForce.


    Magst du das eventuell genauer erklären ?


    Und ich dachte ich wäre schon großzügig mit meinen 3 Stunden :D Dennoch denke ich das eine erhöhung dieser Einstellung nur bedingt eine Hilfe ist. Denn Proxys gibt es genug und wenn der Client vom Hacker merkt das die IP geblockt wurde, nimmt er einfach die nächste da spielt es keine Rolle ob die IP 3 Stunden oder 7 Tage(wie in deinem Fall) gesperrt ist ^^

    Zitat von HomeWell


    Magst du das eventuell genauer erklären ?


    Zufällige Angriffe erfolgen in der Regel über unverschlüsselte Verbindungen. Wenn du auf unverschlüsselten Verbindungen gar kein Login zulässt, dass bist du schon mal die Skript-Kiddies los.

    "Security is like an onion - the more you dig in the more you want to cry"

    Zitat von vmk

    Zufällige Angriffe erfolgen in der Regel über unverschlüsselte Verbindungen. Wenn du auf unverschlüsselten Verbindungen gar kein Login zulässt, dass bist du schon mal die Skript-Kiddies los.


    Ich gehe mal davon aus das damit jetzt eine TLS-Verschlüsselung gemeint ist. Das wäre eine Möglichkeit aber da mein Mailserver nicht nur Privat im Einsatz ist und ich den Usern somit nur signierte Zertifikate anbieten würde(bzw bedingt der Nuterfreundlichkeit sogar müsste), müsste ich mir diese erstmal Organisieren :) Aber ich kann mir gut vorstellen das die heutigen Brute-Force-Tools damit kein Problem haben sollten oder ?!?