VServer absichern, was muss ich noch tun?

  • Hallo,


    da ich die Wiki Einträge irgendwie nicht wirklich hilfreich fand um festzustellen, ob ich für ausreichend Sicherheit auf meinem VServer gesorgt habe wollte ich hier mal auflisten, was ich getan habe und Euch fragen, was ich vielleicht vergessen habe:


    • Ich habe einen neuen Benutzer angelegt


    • Ich habe Sudo installiert und den neuen Benutzer dort hinzugefügt


    • einen SSH-2 RSA Schlüssel mit puttygen erstellt und diesen auf den Server als authorized_key eingetragen


    • Ich habe in der sshd_config folgendes geändert:


      - den Port auf einen 4-stelligen Wert geändert
      - RSAAuthentication und PubkeyAuthentication auf yes gesetzt
      - PermitRootLogin und PasswordAuthetication auf no gesetzt



    • Die Firewall im vcontrolpanel so eingestellt wie hier beschrieben: Firewall des netcup VCP – netcup Wiki



    • cron-apt installiert und configuriert

    Was habe ich vergessen und was sollte ich noch tun?


    Freundliche Grüße


    Gunnar Goebel

    Edited 2 times, last by ggoebel: Rechtschreibung usw. ().

  • Garantieren, das man damit sicher ist, kann niemand.


    Man kann jedoch noch weitere hilfreiche Tipps geben. Zum Beispiel können Sie die Forensuche benutzen, Stichworte wären "fail2ban vcp". Hier im Forum und via einschlägig bekannten Suchmaschinen findet man ein Skript eines Kunden der die VCP API benutzt um die Firewall durch fail2ban zu bestücken.


    Das ist auf jeden Fall einen Blick wert.


    Allgemein: So viel wie nötig, so wenig wie möglich an Software installieren. Aber den Spruch kennt ja nun jeder ;)

  • Was hast du denn so alles installiert?


    SSH-Port ändern ist eigentlich unnötig wenn man nur key files zum login zulässt.


    An ICMP requests sollte Echo Reply, Time exceeded und Destination unreachable offen sein.

  • zusätzlich zu der Basiskonfiguration (aslo Debian squeeze 64 + froxlor) habe ich phpmyadmin, php alternate cache und imagemagick installiert. Ansonsten nur ein apt-get update && apt-get dist-upgrade

  • Den Zugriff auf phpmyAdmin sollte man einschränken.
    Hatte schone mehre Ausländische IPs gehabt die meine phpmyAdmin Installation gesucht haben und wenn es diese gefunden hätten wären diese früher oder später in meine Datenbank rein gekommen.

    Mit freundlichen Grüßen
    Track1991

  • Ich habe mein phpmyadmin einfach in einem passwortgeschützten Ordner liegen (http Basic authentication). Das Passwort kann man ja im user : pass @ host-Format in den Lesezeichen abgeben da merkt man das nicht einmal mehr.

  • Klingt alles sehr gut.
    Jetzt sollte man noch darauf achten, dass die Keyfile "sicher" ist - und nicht als admin@127.0.0.1.keyfile in der Dropbox oder so liegt.


    Aber wie schon gesagt wurde - wirklich sicher bist du nie :)
    Hast dir aber nen Kopf gemacht, finde ich klasse! :thumbup:

  • Es gibt Menschen die stellen ihren kompletten Server oder große teile auf github. Solange die Server vernünftig eingerichtet sind macht das ja kein Problem. Die key files sind ja verschlüsselt.

  • Die privaten sind ja gerade die die man verschlüsselt.
    Naja wer keine Passphrase gesetzt hat ist selbst schuld.

    Ja aber hab dort jetzt schon beim durchsehen mehrere gefunden die nicht verschlüsselt sind :pinch:
    Aber ich frage mich, auch wenn man eine Passphrase nutzt, wie man seinen privat Key "öffentlich" machen kann das sollte doch jedem klar sein das das keine allzu gute Idee ist^^
    Wofür hat man denn einen USB Stick oder eine Externe Festplatte wenn man die nicht für ein Backup nutzt :rolleyes: