Frage zum server hardening

    Ich bin gerade dabei meinen Server nach diesem Guide abzusichern.


    Habe bis jetzt alle unnötigen Dienste deaktiviert, jetzt bin ich beim nächsten Schritt, nämlich iptables einzurichten.


    Allerdings verstehe ich nicht ganz wie das funktioniert. Ich möchte folgende Konfiguration haben:


    Der einzige Server-Dienst den ich benötige ist ssh(sobald ich es geschafft habe es einzurichten kommt noch VNC hinzu)


    Verbinden will ich zu ssh(und VNC) nur von IPs, die in folgender Range liegen: 79.212.0.0 - 79.212.255.255


    Vom vServer aus will ich hauptsächlich HTTP-Verbindungen zu anderen Servern, unter Umständen auch andere wie z.B. FTP aufbauen.


    Zusammengefasst:
    INCOMING: ssh, vnc @ 79.212.0.0\16
    OUTGOING: alles

    iptables funktionieren hier leider nicht, da die eingesetzte Virtualisierung Linux-VServer das durch den geteilten Kernel nicht unterstützt. Du kannst allerdings die Firewall im VCP dafür verwenden. IP-Ranges kannst du dort leider nicht einstellen, das könntest du dann aber über den eingesetzten Daemon am vServer einfach begrenzen, sofern unterstützt.



    MfG Christian

    "Wer nur noch Enten sieht, hat die Kontrolle über seine Server verloren." (Netzentenfund)

    VNC unterstützt, soweit ich weiß, keine IP-ranges. Ist auch egal, denn VNC ist wegen seiner enormen Unsicherheit nicht öffentlich erreichbar. Einfach per VCP-Firewall die VNC-Ports dicht machen und per SSH-Tunnel reingehen.
    Übrigens ist ein sshd mit geändertem Port so sicher, dass du den IP-Bereich nicht einzuschränken brauchst. Da kommt keiner rein, durch den geänderten Port finden nicht einmal dumme Script-Kiddie-Bot-Angriffe statt.

    Mein Server:
    v(olks)Server 1. Serie: 2,5GHz, 1024MB RAM, 1024MB Swap, 2x60GB-Raid1-HDD, Traffic-Flat
    Node:
    78.46.117.9x | hos-tr2.ex3k4.rz7.hetzner.de

    Höh?
    Ich sagte doch, du sollst VNC per SSH-Tunnel betreiben, und nicht, dass du es lassen sollst.
    Übrigens funktioniert eine grafische Oberfläche per ssh ganz hervorragend. X-forwarding heißt das Zauberwort.
    Btw: Wozu brauchst du denn eine GUI auf dem Server?

    Mein Server:
    v(olks)Server 1. Serie: 2,5GHz, 1024MB RAM, 1024MB Swap, 2x60GB-Raid1-HDD, Traffic-Flat
    Node:
    78.46.117.9x | hos-tr2.ex3k4.rz7.hetzner.de

    Zitat von Artimis

    Ich sagte doch, du sollst VNC per SSH-Tunnel betreiben, und nicht, dass du es lassen sollst.


    Das habe ich falsch verstanden(bzw. genaugenommen falsch gelesen), ich dachte, dass du meinst, dass ich SSH statt VNC benutzen soll.


    Zitat von Artimis

    Übrigens funktioniert eine grafische Oberfläche per ssh ganz hervorragend. X-forwarding heißt das Zauberwort.


    Dann werd ich mich wohl mal dazu einlesen


    Zitat von Artimis

    Btw: Wozu brauchst du denn eine GUI auf dem Server?


    Ich komme zwar im Prinzip mit der Kommandozeile ganz gut zurecht, allerdings arbeite ich per GUI wesentlich schneller und effizienter. Und Kommandozeile kann ich ja auch bei installierter GUI trotzdem noch parallel dazu benutzen falls ich sie mal brauche.

    Wie du kommst per GUI besser zurecht?
    Was kann denn die GUI, was SSH nicht kann? Du bist hoffentlich keine Klicki-Bunti-Spamschleuder?

    Mein Server:
    v(olks)Server 1. Serie: 2,5GHz, 1024MB RAM, 1024MB Swap, 2x60GB-Raid1-HDD, Traffic-Flat
    Node:
    78.46.117.9x | hos-tr2.ex3k4.rz7.hetzner.de

    Ich habe nicht geschrieben, dass die GUI etwas kann, was man per SSH nicht kann, ich habe nur geschrieben, dass ich mit der GUI besser zurechtkomme.


    Zitat von Artimis

    Du bist hoffentlich keine Klicki-Bunti-Spamschleuder?


    Genau deswegen will ich ja den Server absichern bzw. deswegen habe ich diesen Thread hier erstellt.


    Bzgl. der Firewall:


    Zitat von Firewall

    Die standardpolicy ist: allow


    Wie kann man das den auf disallow/forbid/wieauchimmeresheisst setzen? Ich sehe dazu keine Einstellung.

    Wenn alle Dienste sinnvoll konfiguriert sind, benötigt man keine Firewall. Die Dienste haben nur dort zu lauschen, wo sie lauschen sollen. Bevor man wild Befehle per root ausführt, macht man sich Gedanken, ob die Befehle selbst sinnvoll sind und ob sie nicht auch mit eingeschränkten Rechten laufen können. Und regelmäig werden die Netzwerkverbindungen und die Prozessübersicht gecheckt, ob da irgendwelche Unstimmigkeiten auftreten.
    Die Firewall sollte nur als allerletztes Mittel eingesetzt werden, z.B., wenn ein Dienst keine listen-Parameter hat. Einer vernünftgen Konfiguration ist deutlich höheres Gewicht beizumessen.

    Mein Server:
    v(olks)Server 1. Serie: 2,5GHz, 1024MB RAM, 1024MB Swap, 2x60GB-Raid1-HDD, Traffic-Flat
    Node:
    78.46.117.9x | hos-tr2.ex3k4.rz7.hetzner.de