Absichern von Linux Server

  • Ich denke, es würde bereits genügen, den Server im abgeschalteten Zustand und ohne Autostart auszuliefern.

    Gleichzeitig würde ich nur ein wirklich getestetes Minimalsystem als Default setzen. Oder Zumindest bei den Vorinstallationen eine richtige Anleitung anbieten.


    Diese preinstall Dinger sind schön für die "ahnungslose Masse, die sich mal gerade einen Server mietet, weil er ja so billig ist und ja schon alles läuft"; mit allen (im Forum zu lesenden) Konsequenzen.


    Preinstalled Images haben für mich auch was von einem ALDI Rechner.

    Da iss ne Meeeeenge drauf, damit für jeden was dabei ist, aber 90% davon wird von kaum jemandem benutzt, oder man weiß garnicht, daß das drauf ist und was es macht.

  • Man könnte ja im CCP/SCP ein einfaches Textfeld einbauen um den Public Key abzufragen. Der muss ja dann nur in die authorized_keys geschrieben werden.

    so lange das Format von authorized_keys f. den Serverteil des KEYS unabhängig von der Distro/vom Release ist ...

    (RFC4716-Format? OpenSSH-Format?)

    Grüße / Greetings

    Walter H.


    RS 1000 SAS G8 xRAM; RS 500 SSD G8; S 1000 G7; VPS 200 G8 Akt.; Webhost. 1000 m. 75%

  • Hallo,



    indeed.


    Ich wollte nur nochmal betonen, daß das auch Angeraten ist.


    Server haben bei mir grundsätzlich gar keinen Passwort Zugriff. Das Erste ist das Aufspielen meines Key und das Sperren aller Passwortlogins.

    es ging hier um das root Passwort, welches schon vorhanden sein sollte allerdings erst nachdem SSH für root verboten wurde.


    Eckhard

  • Moin!


    Ich bin noch relativ "frisch" was das eigene Administrieren von Servern - in meinem Fall einen V-Server - angeht. Bevor ihr jetzt die Hand auf die Augen legt, sicherlich eine häufige Geste, ich habe das ganze tatsächlich mal im Master-Studium gehabt, aber lange ist es her. Nachdem der Server aufgesetzt wurde, habe ich Ubuntu 18.04.3 LTS mit Docker aus den NetCup-Images gewählt und folgendes getan:

    • Zweitnutzer mit sudo
    • Root-SSH gesperrt
    • Schlüsselerzeugung, Schlüssel"installation", Einloggen nur noch Key-Only
    • Setzen von iptabeles (22, 80, 443 erlaubt als IN, Out erstmal alles)
    • fail2ban für ssh

    Eine Überprüfung des Servers eben mit dem tool rkhunter ergab erstmal keine "Treffer", der log für fail2ban ist auch relativ überschaubar.


    Kann ich noch etwas tun, um den Server mehr abzusichern?


    Viele Grüße *smily*

    "Nobody exists on purpose. Nobody belongs anywhere. We're all going to die. Come watch TV." (Morty)

  • Kann ich noch etwas tun, um den Server mehr abzusichern?

    Dieses hier verinnerlichen: Das sichere Betreiben eines Servers ist eine niemals endende Aufgabe, welche regelmäßig viel Zeit in Anspruch nimmt.

    Als Einstieg: InfoSec Handbook: Web server security series durchlesen, einschlägige RSS-Feeds (Beispiel) abonnieren.

    Alleine bei Betreiben eines Webservers sollten "Stichworte" wie mod_security, OWASP, ... dem Administrator etwas sagen.

    Speziell Port 22 muss nicht zwingend dauerhaft geöffnet sein, dafür gibt es beispielsweise knock.

    Jegliche Administrationsschnittstellen/nicht-öffentliche Dienste lassen sich (lies: sind) mittels 2FA ab(zu)sichern, und sei es initial durch Beschränkung des Zugriffes auf den lokalen Host, über welchen man nur mittels SSH (port forwarding) herankommt.

    Protokolle über sicherheitsrelevante Ereignisse sind zum Lesen da. tenshi o.ä. kann helfen, diese vorzufiltern, aber man will immer alle Informationen im Zugriff haben.

  • [...] Ubuntu 18.04.3 LTS mit Docker [...]Setzen von iptabeles (22, 80, 443 erlaubt als IN, Out erstmal alles) [...]

    Achtung, Docker schreibt eigene Regeln in iptables, sodass die eigene Firewall meist nicht für Docker wirkt!


    Ein paar Links (ufw = nettes Frontend für iptables):

    https://docs.docker.com/network/iptables/

    What is the best practice of docker + ufw under Ubuntu

    How to fix the Docker and UFW security flaw


    Und eine kleine Anmerkung noch: in Zukunft wird wohl nftables das in die Jahre gekommene iptables ablösen.