Wie sichere ich einen vServer richtig ab.

ahjo klar das meint ich ja dasde wenigstens den ssh offen lässt

aber is ja eh egal da iptables auf v servern garnet funzt.
Dafür gibts halt die firewall im vcp

Zitat von killerbees19;6454

Stehe ich heute auf der Leitung oder verstehe ich dich gerade wirklich nicht? Was soll daran ein Sicherheitsrisiko für andere User am Node sein?

MfG Christian

Hallo Christian,

damit meinte ich, das möglicherweise aus Unwissenheit Ports geöffnet werden und somit Angriffsfläche für Exploits geboten wird, die besser geschlossen blieben wären. Kommt es dadurch zu illegalen Aktionen auf einem vServer, könnte das andere in Mitleidenschaft ziehen. Einen anderen Thread zu dem Thema hatten wir ja erst vor nicht allzu langer Zeit hier im Forum.
Mag vielleicht weit hergeholt klingen, aber man kennt ja das Sprichwort vom kotzenden Gaul vor der Apotheke und so.
Ansonsten wird netcup schon seine Gründe haben, wieso sie nicht standardmäßig die Firewall für Neukunden freischalten, sondern das nur auf Anfrage machen.

Zitat

damit meinte ich, das möglicherweise aus Unwissenheit Ports geöffnet werden und somit Angriffsfläche für Exploits geboten wird, die besser geschlossen blieben wären. Kommt es dadurch zu illegalen Aktionen auf einem vServer, könnte das andere in Mitleidenschaft ziehen.

nich nur das wenn da irgendwo irgendwelche ports offen sind mit dem server irgendnen mist gemacht wird der die cpu und ram dauerhaft ans max treibt sind das ressourcen die andern auf ihrem vserver fehlen könnten da ja je nach angebot bis zu 4 gb shared sind.

ich nehm an du meinst den thread hier http://forum.netcup.de/showthread.php?t=187

Zitat von koweto;6501

das möglicherweise aus Unwissenheit Ports geöffnet werden

Verstehe ich noch immer nicht. Die Firewall hat von Haus aus keine Regeln und bei Linux sind standardmäßig alle Ports dicht, außer die, die von einem Programm geöffnet werden. Also wo liegt das Sicherheitsrisiko? Von Haus aus sind sowieso alle existierenden Ports offen...

Zitat von koweto;6501

Ansonsten wird netcup schon seine Gründe haben, wieso sie nicht standardmäßig die Firewall für Neukunden freischalten, sondern das nur auf Anfrage machen.

Ich glaube da stand einmal wo etwas wie: "Die Firewall kann bei unsachgemäßer Benutzung (=Sperrung von Ports) zu Fehlern führen, wenn man nicht weiß was man tut", um es sinngemäß wiederzugeben. Ich finde es nur irgendwie unpassend, dass die Firewall nicht von Haus aus für jeden aktiviert ist. Wer einen vServer hat sollte sich a) mit einer Firewall auskennen und b) sollte er auch die Möglichkeit haben eine zu benutzen, wenn iptables schon nicht funktioniert...

MfG Christian

Wie ist das gemeint mit "PermitRootLogin no" und nicht mehr als root anmelden?

Hab das auf no gestellt und kann mich weiterhin mit WinSCP und Putty als root anmelden.

du hast diese Option in der sshd_config geändert? und danach auch den ssh neu gestartet?

Zitat von DavidR;6562

Wie ist das gemeint mit "PermitRootLogin no" und nicht mehr als root anmelden?

Hab das auf no gestellt und kann mich weiterhin mit WinSCP und Putty als root anmelden.

Einfach mal mit "/etc/init.d/ssh restart" den Daemon neustarten. Du kannst auch mit AllowUsers bla blubb (...) sagen, dass nur die User bla, blubb, (...) sich einloggen dürfen.

OK hab den Neustart vergessen gehabt.

Bestimmte User muss ich wohl nicht erlauben da ich neben den root nur noch einen hab.

Hey

dürfte ich diese Anleitung in einem anderen forum posten?

MfG c20xe

Hallo! Danke für das tut. Entgegen der Annahme, dass das nur Leute lesen, die einen Vorfall hatten, mache ich mir nun vorher Gedanken um die Absicherung meines Servers.

Hatte schon eine 1200-seitige Anleitung offen, da ist das wie eine Offenbarung, da ich auf diesem Gebiet wirklich Anfäger bin.

Wie sicher kann man den Server denn einschätzen, wenn diese Vorkehrungen alle getroffen wurden? (Ich weiß, dass es keinen 100%-ig sicheren server gibt)

Zitat

1. Wie kann ich einen Benutzer anlegen, wenn ich für SSH den Zugang über Root nicht zulasse.

In die Bash einfach "useradd --help" reinhämmern. Der Rest erklärt sich von selbst. Der SSHd lässt per Standard alle benutzer zu, die ein PW haben und auf einer gültige Shell liegen (z.B. /bin/bash oder /bin/sh (was eig. nur ein Link zu /bin/bash ist)).

Zitat

Wie kann ich in der Firewall (denke mal die in OpenVCP) einen Port sperren?

http://www.netcup-wiki.de/wiki/Firewall_des_VCP

Hallo an Alle

Ich möchte mich auch bedanken für dieses tolle Tut zum absichern des Servers.
Ich hab mir vor einigen Tagen einen vServer bestellt und seit dem viel gelesen etc. und abgesichert, so wie es hier beschrieben wird.

SSH Port geändert
root "ausgesperrt"
root pw geändert (man kann ja nie wissen)
chkrootkit, rkhunter und clamav installiert, upgeddatet und läuft
SySCP Passwort geändert

Als nächstes ist die Firewall dran, welche ja mitlerweile standartmäßig mitgeliefert wird.
wie man diese einstellt, kann man unter http://www.netcup-wiki.de/wiki/Firewall_des_VCP auch sehr gut lesen, versteht man auch. Aber nun bin ich mit meinem Latein am ende

Vieleicht könnte man ja am Anfang einschreiben, welche Ports man offen haben sollte für einige sachen. Die SuFu im Forum hat mir mit den Schlagworten "Ports", "wichtige Ports" nichts gebracht.

Ich möchte:
- meine Webseite erreichen,
- ich hab eine WBB3 Lizenz, also nen Forum sollte auch erreichbar sein,
- für mich würde ich ein Mailkonto anlegen, also bräuchte ich auch diese Ports (smtp, pop3)
- und vieleicht mal noch nen TS3 Server (wenn der dann wirklich keine Macken mehr macht und den Traffic sinnlos nach oben schraubt).
- https weiterhin erreichen. Darüber läuft ja das OpenVCP

Natürlich hab ich mir auch schon http://www.iana.org/assignments/port-numbers angeschaut, mich mit ne Zettel hingesetzt und wollt mir die wichtigen rausschreiben. Nach 5 Minuten konnt ich leider schon komische Menschen über das Display huschen sehen

Es wäre net, wenn ihr mir diese Frage zu den Ports (also welche ich frei lassen müsste für das da oben) beantworten könnten. Wenn es nicht als Post hier rein gehört, weil Ports "geheim" sind, dann bitte per PM.

Noch macht der Server nix. Erst wenn die Sicherheit da ist, mach ich mit dem Rest weiter.

Vielen Dank
Salle

Also eigentlich brauchst du nur die Ports offen lassen die du brauchst.

In deinem Fall sollten das 80,25,110 und der ssh port sein.
Den 443 für Sichere http Verbindungen brauchst du nur offen lassen wenn du auf deinem Server auch https nutzt. Das OpenVCP läuft nicht auf deinem Server also brauchst du den nicht offen lassen. Das OpenVCP funktioniert auch so.
Wenn du also nichts weiter laufen hasst sollte das reichen. Wenn du noch andere Ports im Gebrauch hast solltest du diese auch offen haben ganz klar

MfG
Andre

Zur Firewall: Folgende Regeln setzen:

http, https, smtp, smtps, pop3, pop3s, ts ACCEPT
und am Ende dann ein DROP ohne Angabe eines Ports.

Portnummern bekommst Du via SSH Shell mit »netstat -tulpe« bzw »netstat -tulpen« raus.

Zitat

Wenn es nicht als Post hier rein gehört, weil Ports "geheim" sind, dann bitte per PM.

Ports sind nicht geheim.

Danke für die Antworten.

Ich hab mich im Forum umgesehen zwecks Konfiguration und Reihenfolge. Jetzt sieht es so aus:

[Blockierte Grafik: http://img231.imageshack.us/img231/9923/firewallxi.jpg]


Mit dem ergebnis, dass SSH nicht mehr geht und meine Site nicht mehr angezeigt wird, obwohl der Drop als letztes kommt.

Leider finde ich im Wiki keine Erläuterung, was es mit den Werten "Übereinstimmung" und "Wert" zu tun hat.

Oder muss ich bei Protokoll alles einzeln (als TCP, UDP, ICMP) und nich any machen. Bin davon ausgegangen, dass any alle 3 anspricht.

Gruß
Salle

Stell das Protokoll ein. Hier im Forum war zu lesen, dass any keine Wirkung hat.