DebSec - Simples Security Check Script für Debian Server

  • Bitte bedenken, dass zumindest auf Debian-Systemen ifconfig veraltet ist und durch ip ersetzt wurde/wird. In Stretch und Buster ist ifconfig per default nicht installiert.

    Das kann einfach durch apt-get install net-tools wieder installiert werden, wenn man es noch braucht.

    Ich finde den neuen Befehl ip nicht so Übersichtlich, weil der Text nicht untereinander steht wie man es von ifconfig oder ipconfig von Windows kennt.


    PS: Frohe Weihnachten

  • Das kann einfach durch apt-get install net-tools wieder installiert werden, wenn man es noch braucht.

    Ich finde den neuen Befehl ip nicht so Übersichtlich, weil der Text nicht untereinander steht wie man es von ifconfig oder ipconfig von Windows kennt.


    Naja, kommt darauf an, wie und mit welchen Parametern man es verwendet. Mit "-br" etwa bekommst Du die Einrückungen und eine kompakte Anzeige.

    "-s" gibt kompakte Statistiken - kombiniert mit "-h" ergibt human readable Zahlenwerte.

    Mit "-r" werden rDNS-Namen aufgelöst. Man kann auf ifconfig so wohl in den meisten Fällen verzichten.

  • Das kann einfach durch apt-get install net-tools wieder installiert werden

    Ja, aber wenn man auf Usability guckt schlecht das als Abhängigkeit eines Scriptes vorauszusetzen. Wenn etwas deprecated ist sollte man sich das neue angucken. Irgendwann wird ifconfig weg sein und dann muss man sich unweigerlich umgewöhnen. Noch hat man Zeit und beides zur Verfügung.

  • Bitte bedenken, dass zumindest auf Debian-Systemen ifconfig veraltet ist und durch ip ersetzt wurde/wird. In Stretch und Buster ist ifconfig per default nicht installiert.

    Ich verstehe gar nicht, was ihr hier so diskutiert, immerhin nutze ich den Befehl garnicht in meinem Script. Das Problem bzw. der Fakt, dass diese Anwendung mittlerweile durch den Befehl ip ersetzt wurde ist mir bekannt und ich habe es berücksichtigt. Schaut doch einfach mal in den Quellcode. :)


    Kann man mit den neuen Regeln UFW testen? Ich glaube es sollte unabhängig sein, oder?

    Das ist halt so ein Problemchen... die neuen "Regeln", bei denen mit nmap gearbeitet wird, funktionieren nicht. Zumindest mein Server hat trotz geschlossener Ports durch IPtables die Ports als offen anerkannt. Aufgrund der verschiedenen Möglichkeiten, eine Firewall aufzustellen (ufw, iptables, nftables, ...), bin ich mir bei der ganzen Geschichte noch nicht sicher, wie ich es schlussendlich mache. Nach wie vor bin ich da für Ideen offen.


    Ich kann mir das ehrlich gesagt nicht erklären. Nutzt du die aktuellste Version des Scripts? Und welche Debian Version nutzt du?

    Könntest du mir evtl. mal deine gesamte sshd_config (von mir aus auch per PN) zukommen lassen, sodass ich da mal auf Fehlersuche gehen könnte?

    "Denn der radikalste Zweifel ist der Vater der Erkenntnis."

    -Max Weber

  • Ich verstehe gar nicht, was ihr hier so diskutiert, immerhin nutze ich den Befehl garnicht in meinem Script. Das Problem bzw. der Fakt, dass diese Anwendung mittlerweile durch den Befehl ip ersetzt wurde ist mir bekannt und ich habe es berücksichtigt. Schaut doch einfach mal in den Quellcode.

    Wegen des Vorschlags/Beispiels von m_ueberall betreffend Portscans. ;)

    Lass uns doch den Thread ein bisserl hijacken. Nur ein bisserl ;)

  • Ich darf hier noch keine Direktnachrichten schicken.



    Das Problem war auch hier:
    https://forum.netcup.de/sonsti…debian-server/#post130988

    UFW wäre noch schön. Man könnte auch ein Script für einen 2ten Server bereitstellen?

  • Deine Config ergibt bei mir folgendes:


    Also entweder magst du mich ärgern, du hast mir eine andere config geschickt oder das Script ist nicht aktuell. Mach mal ein git pull in dem Ordner vom Script. ;)


    UFW wäre noch schön.

    Es macht keinen Sinn, zu testen, ob da irgendwie ne ufw, iptables oder nftables ist, wenn die dann Kacke konfiguriert ist. Ich muss irgendwie versuchen, dass sich das System selbst scannen kann. Wie ich das anstelle, weiß ich halt noch nicht so ganz... Ich brauche Ideen, und zwar nicht für "was", sondern für "wie". ?(

    "Denn der radikalste Zweifel ist der Vater der Erkenntnis."

    -Max Weber

  • Also entweder magst du mich ärgern, du hast mir eine andere config geschickt oder das Script ist nicht aktuell. Mach mal ein git pull in dem Ordner vom Script. ;)


    Es macht keinen Sinn, zu testen, ob da irgendwie ne ufw, iptables oder nftables ist, wenn die dann Kacke konfiguriert ist. Ich muss irgendwie versuchen, dass sich das System selbst scannen kann. Wie ich das anstelle, weiß ich halt noch nicht so ganz... Ich brauche Ideen, und zwar nicht für "was", sondern für "wie". ?(

    Ok, ich komme nun auch auf dieses Ergebnis. Passt.


    Wenn es einen externen Dienst gibt, dem man vertrauen kann, dann könnte man einfach den Link mit Parametern (IP. etc. übergeben) generieren, sodass sich der User dies dann selbst in den Browser oder die Shell mit wget hineinkopieren kann. Das wäre am einfachsten umgesetzt und nicht fehleranfällig.

    Oder ein Script welches auf einem 2ten Server (im Notfall Windows Cygwin) läuft. Dabei könntest du deine bisherige Arbeit wiederverwerten in dem die Anfrage von außen kommt.

  • Ich muss irgendwie versuchen, dass sich das System selbst scannen kann. Wie ich das anstelle, weiß ich halt noch nicht so ganz... Ich brauche Ideen, und zwar nicht für "was", sondern für "wie". ?(

    Linktip: Tor/Usage/Nmap-scan-through-tor (Praktisch aber IMHO nur nutzbar, wenn man hinterher problemlos wieder aufräumen/deinstallieren kann – via Docker/Podman bzw. lxc/lxd o.ä.; schon wesentlich "schwergewichtiger" als ein einzelnes Script, da vorgenanntes "Aufräumen" ggf. auch die Container-Infrastruktur selbst beinhalten muss. Als DIY-Alternative wäre die Einbindung verschiedener (kommerzieller) Werkzeuge/Dienste denkbar, welche bspw. nmap-Scan-Reports anbieten.)

    VServer IOPS Comparison Sheet: https://docs.google.com/spreadsheets/d/1w38zM0Bwbd4VdDCQoi1buo2I-zpwg8e0wVzFGSPh3iE/edit?usp=sharing