Server Sicherheit (Debian)

  • Hallo zusammen,


    ich hab seit gestern einen vServer. Das große Problem bei mir ist die Sicherheit.


    Das System: Debian Jessie (minimale Installation).


    Schon vorgenommene Schritte: SSH Port geändert. SSH Root Zugang gesperrt. SSH nur mit Public Key.


    Jetzt wollte ich mich an iptables heranwagen und bin auf Einfaches Firewall-Script – DebianforumWiki gestoßen. Diesen Script habe ich auch so übernommen und nur die Ports bei SSH verändert.
    Sollte ich noch was bei den iptables verändern oder reicht dieser Script?


    Weiter will ich auch noch einen Mailserver, Apache2, PHP5,MySQL und phpMyAdmin installieren. Diese sollten möglichst auch "sicher" laufen. Dazu habe ich Tutorial: Apache2, PHP5, MySQL und phpMyAdmin auf Linux installieren [Deutsch] [Full-HD] - YouTube und Tutorial: Linux Mailserver installieren [Deutsch] [Full-HD] - YouTube gefunden. Leider werden in diesen Videos nur die Installationsschritte erklärt und nicht wie man diese Services absichern tut.


    Ich würde mich riesig freuen wenn Ihr mir helfen könntet. Ich will nicht am ende kein Server haben der Spam Mails etc. verschickt.


    Grüße aus Bremen


    octekin

  • Hey,


    das ist schon mal gut, dass du weißt wie man die IP Tables 'bisschen' verwendet. Ich würde dir aber dazu raten auf eine erprobte Lösung zu setzen, welche dir SSL im Apache fixt, MySQL richtig configuriert sowie fail2ban und etliche andere Sachen einrichtet. Vor allem beim Thema Mailserver wirst du schnell merken, dass das zu viel Stoff für den Anfang ist.


    Seit Jahren verwende ich ISPConfig . Die haben gute Patches in schneller Zeit, wobei die Community (bugtracker) so gut wie nicht existiert. Dafür gibts support für jessie und co. Habe beim Upgrade auf Jessie auch keine Probleme mit den neuen Apache Configs gehabt, die konnten einfach neu generiert werden. Klar schränkt dich sowas ein, aber vor allem beim Mail Server hab ich gemerkt, dass das viel zu viel ist. Eines sollte man dann beachten: eigene Sachen wie OpenVPN etc. sind dann natürlich nicht unterstütz, können aber trotzdem so konfiguriert werden, dass sie gut mit ISPConfig funktionieren. Zum Beispiel ist das Interface bei mir auch nur über VPN erreichbar, damit falls es irgendwelche Lücken gibt, diese nicht sofort exposed sind.


    Kann ich nur empfehlen: The perfect Server - komplett Anleitung, wie man ispconfig richtig installiert.


    Viele Grüße

  • * MySQL nur auf localhost lauschen lassen
    * Fail2Ban oder ähnliche IDS verwenden
    * In PHP disable_functions für gefährliche Funktionen verwenden (am besten googlen, ich vergesse sonst welche)
    * in iptables limits setzen, damit nicht eine IP tausende Anfragen an die Dienste senden kann
    * Passwortgenerator und verschlüsselte Datenbank für Passwörter verwenden

  • Ich habe zusätzlich noch folgende Tipps (ich habe CentOS 7 mit Nginx statt Apache, daher nicht so viele Überschneidungen):

    • SSH Private Key nur mit sicherer Passphrase verwenden (gespeichert, wie Mainboarder erwähnte, in KeePass oder einem anderen Passwort-Safe deines Vertrauens)
    • adminer statt phpMyAdmin verwenden (meine Meinung ;))
    • Alle Administrations-Interfaces habe ich auf eigenen VHost-Subdomains (besser als Unterordner im Document Root, die werden oft durch Bots abgegrast), zugriff nur mit HTTPS und Random Password im KeePass.
      Wenn du ganz paranoid bist, kannst du die Admin-Sachen auch nur auf localhost lauschen lassen und über einen SSH-Tunnel darauf zugreifen. Das war mir zu umständlich und Subdomains/VHosts sind so schnell erstellt.. :rolleyes:


    Meinen vServer habe ich jetzt seit über 3 Monaten und bin immer noch (trotz vielen Jahren Linux-Erfahrung) am Einrichten und Feintunen.
    Also nicht verzweifeln, wenn etwas nicht gleich klappt. :)

    CentOS 7 / nginx / php-fpm / postfix / rspamd / clamav / dovecot / nextcloud running on RS 1000 SSDx4 G8 / VPS 500 G8 / VPS 2000 G8 Plus

    Edited once, last by sdellenb ().

  • Sonst würde mir noch der Beitrag in den Sinn kommen wo ein Paar Infos/Anhaltspunkte gegeben wären :) [HOWTO] Debian 6.x System Konfiguration & Absicherung (LEMP, E-Mail, FTP, OpenPanel, DDoS, Spam, uvm.)

    wobei es schon längst eine aktuellere Ausgabe von ihm gibt
    [HOWTO] Root/vServer Konfiguration & Absicherung (Debian LEMP + OpenPanel)

    It's me, only me, pure michi

    RS 500 SAS G8 Ostern 19

    VPS: 50 G7 |B Ostern 2017|200 G8 Aktion| 200 G8

    WH: SmallEi | Adv17 Spezial Family |4000 SE|1000 WaD

  • Moin extremmichi,


    vielen Dank für den Tipp. Ich hatte schon den root Server aufgegeben, zwar habe ich Grundwissen aber der Mail-Server z.B. hatte mich "fertig" gemacht.


    Ich werde mir das mal angucken.


    Grüße