ahjo klar das meint ich ja dasde wenigstens den ssh offen lässt
aber is ja eh egal da iptables auf v servern garnet funzt.
Dafür gibts halt die firewall im vcp
ahjo klar das meint ich ja dasde wenigstens den ssh offen lässt
aber is ja eh egal da iptables auf v servern garnet funzt.
Dafür gibts halt die firewall im vcp
Zitat von killerbees19;6454Stehe ich heute auf der Leitung oder verstehe ich dich gerade wirklich nicht? Was soll daran ein Sicherheitsrisiko für andere User am Node sein?
MfG Christian
Hallo Christian,
damit meinte ich, das möglicherweise aus Unwissenheit Ports geöffnet werden und somit Angriffsfläche für Exploits geboten wird, die besser geschlossen blieben wären. Kommt es dadurch zu illegalen Aktionen auf einem vServer, könnte das andere in Mitleidenschaft ziehen. Einen anderen Thread zu dem Thema hatten wir ja erst vor nicht allzu langer Zeit hier im Forum.
Mag vielleicht weit hergeholt klingen, aber man kennt ja das Sprichwort vom kotzenden Gaul vor der Apotheke und so.
Ansonsten wird netcup schon seine Gründe haben, wieso sie nicht standardmäßig die Firewall für Neukunden freischalten, sondern das nur auf Anfrage machen.
Zitatdamit meinte ich, das möglicherweise aus Unwissenheit Ports geöffnet werden und somit Angriffsfläche für Exploits geboten wird, die besser geschlossen blieben wären. Kommt es dadurch zu illegalen Aktionen auf einem vServer, könnte das andere in Mitleidenschaft ziehen.
nich nur das wenn da irgendwo irgendwelche ports offen sind mit dem server irgendnen mist gemacht wird der die cpu und ram dauerhaft ans max treibt sind das ressourcen die andern auf ihrem vserver fehlen könnten da ja je nach angebot bis zu 4 gb shared sind.
ich nehm an du meinst den thread hier http://forum.netcup.de/showthread.php?t=187
Zitat von koweto;6501das möglicherweise aus Unwissenheit Ports geöffnet werden
Verstehe ich noch immer nicht. Die Firewall hat von Haus aus keine Regeln und bei Linux sind standardmäßig alle Ports dicht, außer die, die von einem Programm geöffnet werden. Also wo liegt das Sicherheitsrisiko? Von Haus aus sind sowieso alle existierenden Ports offen...
Zitat von koweto;6501Ansonsten wird netcup schon seine Gründe haben, wieso sie nicht standardmäßig die Firewall für Neukunden freischalten, sondern das nur auf Anfrage machen.
Ich glaube da stand einmal wo etwas wie: "Die Firewall kann bei unsachgemäßer Benutzung (=Sperrung von Ports) zu Fehlern führen, wenn man nicht weiß was man tut", um es sinngemäß wiederzugeben. Ich finde es nur irgendwie unpassend, dass die Firewall nicht von Haus aus für jeden aktiviert ist. Wer einen vServer hat sollte sich a) mit einer Firewall auskennen und b) sollte er auch die Möglichkeit haben eine zu benutzen, wenn iptables schon nicht funktioniert...
MfG Christian
Wie ist das gemeint mit "PermitRootLogin no" und nicht mehr als root anmelden?
Hab das auf no gestellt und kann mich weiterhin mit WinSCP und Putty als root anmelden.
du hast diese Option in der sshd_config geändert? und danach auch den ssh neu gestartet?
Zitat von DavidR;6562Wie ist das gemeint mit "PermitRootLogin no" und nicht mehr als root anmelden?
Hab das auf no gestellt und kann mich weiterhin mit WinSCP und Putty als root anmelden.
Einfach mal mit "/etc/init.d/ssh restart" den Daemon neustarten. Du kannst auch mit AllowUsers bla blubb (...) sagen, dass nur die User bla, blubb, (...) sich einloggen dürfen.
OK hab den Neustart vergessen gehabt.
Bestimmte User muss ich wohl nicht erlauben da ich neben den root nur noch einen hab.
Hey
dürfte ich diese Anleitung in einem anderen forum posten?
MfG c20xe
Kannst du gerne machen,
aber bitte mit Quellenangabe.
Viele Grüße
Florian
Hallo! Danke für das tut. Entgegen der Annahme, dass das nur Leute lesen, die einen Vorfall hatten, mache ich mir nun vorher Gedanken um die Absicherung meines Servers.
Hatte schon eine 1200-seitige Anleitung offen, da ist das wie eine Offenbarung, da ich auf diesem Gebiet wirklich Anfäger bin.
Wie sicher kann man den Server denn einschätzen, wenn diese Vorkehrungen alle getroffen wurden? (Ich weiß, dass es keinen 100%-ig sicheren server gibt)
Zitat von koweto;4988Der Grundgedanke ist gut, aber die erwähnten Leute schauen sich weder davor noch danach in Foren um, um sich zu informieren. Falls überhaupt ein Forum aufgesucht wird, dann meistens nur, wenn das Kind schon im Brunnen liegt; sprich nichts mehr geht, Fehlermeldungen auftreten, usw....
Nicht alle, ich steige gerade neu in die Server-Materie ein, hatte selber immer nur Webspace, aber aufgrund der Einstellungsvielfahlt benötige ich jetzt einen Server, bzw. VServer.
Das erste was mich interessiert ist das Thema Sicherheit und bin sehr dankbar über diesen Beitrag.
2 Fragen hätte ich aber zum Beitrag.
1. Wie kann ich einen Benutzer anlegen, wenn ich für SSH den Zugang über Root nicht zulasse.
AllowUsers finde ich in der config nicht
2. Wie kann ich in der Firewall (denke mal die in OpenVCP) einen Port sperren?
Zitat1. Wie kann ich einen Benutzer anlegen, wenn ich für SSH den Zugang über Root nicht zulasse.
In die Bash einfach "useradd --help" reinhämmern. Der Rest erklärt sich von selbst. Der SSHd lässt per Standard alle benutzer zu, die ein PW haben und auf einer gültige Shell liegen (z.B. /bin/bash oder /bin/sh (was eig. nur ein Link zu /bin/bash ist)).
ZitatWie kann ich in der Firewall (denke mal die in OpenVCP) einen Port sperren?
Super - Danke
Hallo an Alle
Ich möchte mich auch bedanken für dieses tolle Tut zum absichern des Servers.
Ich hab mir vor einigen Tagen einen vServer bestellt und seit dem viel gelesen etc. und abgesichert, so wie es hier beschrieben wird.
SSH Port geändert
root "ausgesperrt"
root pw geändert (man kann ja nie wissen)
chkrootkit, rkhunter und clamav installiert, upgeddatet und läuft
SySCP Passwort geändert
Als nächstes ist die Firewall dran, welche ja mitlerweile standartmäßig mitgeliefert wird.
wie man diese einstellt, kann man unter http://www.netcup-wiki.de/wiki/Firewall_des_VCP auch sehr gut lesen, versteht man auch. Aber nun bin ich mit meinem Latein am ende
Vieleicht könnte man ja am Anfang einschreiben, welche Ports man offen haben sollte für einige sachen. Die SuFu im Forum hat mir mit den Schlagworten "Ports", "wichtige Ports" nichts gebracht.
Ich möchte:
- meine Webseite erreichen,
- ich hab eine WBB3 Lizenz, also nen Forum sollte auch erreichbar sein,
- für mich würde ich ein Mailkonto anlegen, also bräuchte ich auch diese Ports (smtp, pop3)
- und vieleicht mal noch nen TS3 Server (wenn der dann wirklich keine Macken mehr macht und den Traffic sinnlos nach oben schraubt).
- https weiterhin erreichen. Darüber läuft ja das OpenVCP
Natürlich hab ich mir auch schon http://www.iana.org/assignments/port-numbers angeschaut, mich mit ne Zettel hingesetzt und wollt mir die wichtigen rausschreiben. Nach 5 Minuten konnt ich leider schon komische Menschen über das Display huschen sehen
Es wäre net, wenn ihr mir diese Frage zu den Ports (also welche ich frei lassen müsste für das da oben) beantworten könnten. Wenn es nicht als Post hier rein gehört, weil Ports "geheim" sind, dann bitte per PM.
Noch macht der Server nix. Erst wenn die Sicherheit da ist, mach ich mit dem Rest weiter.
Vielen Dank
Salle
Also eigentlich brauchst du nur die Ports offen lassen die du brauchst.
In deinem Fall sollten das 80,25,110 und der ssh port sein.
Den 443 für Sichere http Verbindungen brauchst du nur offen lassen wenn du auf deinem Server auch https nutzt. Das OpenVCP läuft nicht auf deinem Server also brauchst du den nicht offen lassen. Das OpenVCP funktioniert auch so.
Wenn du also nichts weiter laufen hasst sollte das reichen. Wenn du noch andere Ports im Gebrauch hast solltest du diese auch offen haben ganz klar
MfG
Andre
Zur Firewall: Folgende Regeln setzen:
http, https, smtp, smtps, pop3, pop3s, ts ACCEPT
und am Ende dann ein DROP ohne Angabe eines Ports.
Portnummern bekommst Du via SSH Shell mit »netstat -tulpe« bzw »netstat -tulpen« raus.
ZitatWenn es nicht als Post hier rein gehört, weil Ports "geheim" sind, dann bitte per PM.
Ports sind nicht geheim.
Danke für die Antworten.
Ich hab mich im Forum umgesehen zwecks Konfiguration und Reihenfolge. Jetzt sieht es so aus:
[Blockierte Grafik: http://img231.imageshack.us/img231/9923/firewallxi.jpg]
Mit dem ergebnis, dass SSH nicht mehr geht und meine Site nicht mehr angezeigt wird, obwohl der Drop als letztes kommt.
Leider finde ich im Wiki keine Erläuterung, was es mit den Werten "Übereinstimmung" und "Wert" zu tun hat.
Oder muss ich bei Protokoll alles einzeln (als TCP, UDP, ICMP) und nich any machen. Bin davon ausgegangen, dass any alle 3 anspricht.
Gruß
Salle
Stell das Protokoll ein. Hier im Forum war zu lesen, dass any keine Wirkung hat.