vserver absichern

  • Hallo zusammen,
    habe ganz neu hier einen vserver und möchte diesen so gut wie möglich gegen Angriffe/Hacker sichern.
    Bis jetzt habe ich sshd so gesichert, dass man nur mit Key rein kommt und die Anmeldung für root nicht erlaubt ist.
    Per fwbuilder habe ich ein Firewall Script erstellt und eingespielt.
    fail2ban habe ich auch bereits konfiguriert.
    Auf dem System soll später mal Postfix, Apache, MySQL und Bind laufen.
    Für die webseiten möchte ich Joomla einsetzten, d.h. es kommt noch php hinzu. Evtl. auch mal ein paar CGI Scripte in Perl.
    Was empfehlt ihr an weiteren Maßnahmen zur Absicherung? Was habt ihr so am laufen?
    Wie kann man Angriffe erkennen bzw. verhindern?


    Vielen Dank und Grüße,
    Christian

  • Hier wird keiner sagen was noch Fehlt damit es "Sicher" ist, aber was ich noch im Einatz hab:


    Ich persönlich würde noch "Google Authenticator" nutzen (ITWelt.org - SSH mit 2-Faktor-Authentifizierung durch Google Authenticator) um SSH via 2 Faktor Authentifizierung abzusichern.


    Und was nicht unbedingt mehr Sicherheit bringt aber gegen Server vorgeht die Attacken ausüben: blocklist.de
    Hier müsstest du fail2ban so konfigurieren das Vorfälle an Blocklist gemeldet werden.
    Hier werden dann automatisch abuse Mails an die betroffenen Provider geschickt.


    viele Grüße

  • Sorry, aber Google, bekannt als Datenkrake und amerikanisches Unternehmen, auch noch meine persönlichen Zugänge eines Servers anzuvertrauen, würde mir im Schlaf nicht einfallen.


    Aber jedem das Seine. ;)

    Schöne Grüße aus der Lüneburger Heide!
    Thomas

  • Haha, dann geht das Handy kaputt und aus die Maus! Super Idee, wirklich.
    Eine Linuxkonsole bekomme ich auch mit einer Live-CD zum Laufen, ein kaputtes Handy eher weniger. ;)


    Da sicher ich meine Zertifikate lieber mit einer viel stelligen Passphrase ab, die man in 100 Jahren nicht heraus finden kann, bevor ich irgend einer externen Anwendung mein Vertrauen schenke. Schon gar keiner Anwendung auf irgend einem Handy, die mit Google zu tun hat. ;)


    Aber wie gesagt, jeder kann ja machen was er möchte, von daher ist alles legitim. ;)

    Schöne Grüße aus der Lüneburger Heide!
    Thomas

  • Erstens im Notfall: vnc console und Du bekommst beim erstellen einmal gültige Notfall Codes die liegen sicher verstaut offline ab.


    Und wie oben erwähnt ist das ein zusätzlicher Schutz das Passwort braucht man ja trotzdem :) Einen Nachteil daran kann ich also nicht finden.


    Aber jedem das seine ;)

  • Hallo zusammen,
    vielen Dank für den ein oder anderen nützlichen Tip.
    Denke soweit sollte das System dann einigermaßen abgesichert sein.
    Nur so am Rande: hat jemand Erfahrung mit snort auf einem vserver, oder evtl. Alternativen zu snort?


    Viele Grüße,
    Christian