Aber die Fehlermeldungen kommen nur wenn ich den oben genanntent code in die /etc/profile schreibe also muss es doch damit zusammenhängen oder nicht ? Im Endeffekt ist es mir egal die Hauptsache es geht weil so langsam bekomme ich einen Krampf ohne auto completion 
MfG.
Hallo liebe Netcup'ler,
ich wollte gerne die bash-completion für alle anderen User (außer root, dort funktioniert es bereits) aktivieren.
Also ging ich wie folgt vor :
Ich schrieb in die /etc/profile (da ich es global für alle aktivieren wollte) folgendes rein :
if [ -f /etc/bash_completion ]; then
. /etc/bash_completion
fi- Quelle : How To Add Bash Completion In Debian | HowtoForge - Linux Howtos and Tutorials
Darauf hin bekomme ich folgenden Fehler :
[Blockierte Grafik: http://puu.sh/9NSXb/42a369b4a2.png]
Also begab ich mich via der Google Suche auf Fehlersuche und fand folgendes :
Angeblich sollen den Entwickler ein Fehler unterlaufen sein wobei sie sich mit den Verzeichnisstrukturen vertan haben und die Verweise falsch waren. Um das zu korigieren sollte man folgendes tun :
ln -s /usr/share/git/completion/git-completion.bash /etc/bash_completion.d/gitDies hat mir aber immer noch nicht geholfen und die Fehler bleiben wie gehabt. Die restliche Suche war leider eher nicht nützlich. Hat jemand zufällig das gleiche Problem gehabt und kennt die Lösung ?
ps. Debian 7.5 und eine neuinstallation von bash-completion wurde auch bereits gemacht.
MfG
HomeWell
Zufällige Angriffe erfolgen in der Regel über unverschlüsselte Verbindungen. Wenn du auf unverschlüsselten Verbindungen gar kein Login zulässt, dass bist du schon mal die Skript-Kiddies los.
Ich gehe mal davon aus das damit jetzt eine TLS-Verschlüsselung gemeint ist. Das wäre eine Möglichkeit aber da mein Mailserver nicht nur Privat im Einsatz ist und ich den Usern somit nur signierte Zertifikate anbieten würde(bzw bedingt der Nuterfreundlichkeit sogar müsste), müsste ich mir diese erstmal Organisieren 
Aber ich kann mir gut vorstellen das die heutigen Brute-Force-Tools damit kein Problem haben sollten oder ?!?
Alles anzeigenMeine Fail2Ban-Logdatei sieht zwar nicht so überladen aus, ruhig geht es aber trotzdem nicht zu.
Seit ich die Parameter der Jail für sasl und postfix etwas strenger eingestellt habe, kommen nur noch alle 2-3 Wochen große Angriffswellen und dann ist erstmal Ruhe (nachdem der größte Teil der IPs für eine Woche gebannt ist):
maxretry = 3
bantime = 604800
Ich würde mich aber auch nicht als Sicherheitsexperten betiteln und bin noch auf der Suche nach einer besseren Lösung (Blocklisten).
Und ich dachte ich wäre schon großzügig mit meinen 3 Stunden 
Dennoch denke ich das eine erhöhung dieser Einstellung nur bedingt eine Hilfe ist. Denn Proxys gibt es genug und wenn der Client vom Hacker merkt das die IP geblockt wurde, nimmt er einfach die nächste da spielt es keine Rolle ob die IP 3 Stunden oder 7 Tage(wie in deinem Fall) gesperrt ist 
Brauchst du Authentifizierung wirklich auf Port 25/143? Wenn nein, dann lass das nur noch über verschlüsselte Verbindungen zu. Das meiden die meisten Leute beim BruteForce.
Magst du das eventuell genauer erklären ?
Nochmal explizit die Frage gestellt ob ich mit diesem Setup gegen Brute-Force-Attacken was mein E-Mail System betrift sicher bin und Abends ruhig schlafen kann ?
Denn ich habe täglich mit Angriffen zu tun.
Hier ein Beispiel :
Logcheck BruteForce - Pastebin.com Hoffe der pastebin Link ist in Ordnung leider gibt es in diesem Forum keine Spoiler Funktion und ich würde das Forum nur flooden.
MfG.
Alles anzeigenHallo HomeWell,
deine Aufstellung klingt vernünftig. Mit Sicherheitsfanatiker hat das wenig zu tun, das ist eher eine übliche Absicherung eines Servers.
Noch ein paar Anregungen:
clamav im Mailbetrieb: HOME - Sanesecurity ClamAV: Phishing, Spam & Malware Signatures einbinden und vor dem Spamassassin stellen.
spamassassin: NiX Spam: DNSBL und Blacklist zum Download | iX ist auch sehr nützlich.
spamassassin/bayes: Nicht nur aus 'nem Ordner anlernen lassen, verbrannte Emailadressen kannst du auch direkt dort einliefern lassen.
firewall/ssh: IP-Range für den SSH-Server massiv eingrenzen. Dank vorhandener KVM-Konsole kommst du auch immer wieder auf den vServer drauf.
updates: Jede Distributionhatsollte ein Skript haben, was deinen Server gegen bekannte Sicherheitslücken prüft. Ich bekomme so täglich eine Mail, wenn es unsichere Pakete gibt.
Danke sehr vmk,
ein weiterer Beitrag der sich sehen lässt. Ich ging bereits davon aus spamassassin in Benutzung zu haben doch nach einer Überprüfung musste ich feststellen, dass ich es vergessen haben muss. Demnach hole ich das jetzt erstmal fix nach 
MfG.
Dann wirst du aber FTPS (FTPES) verwenden, aber kein SFTP
[Blockierte Grafik: http://puu.sh/9GtT3/d128562ec4.png]
Ich tunnel über den SSH deamon. Ist das etwa nicht sftp ? Warum nimmt mein Server dann das Protokoll über sftp an ?
Vielen Dank an dich twiddern: ,
ich werde mir deine kleine Auflistung zu Herzen nehmen und sie mal abarbeiten und gründlicher anschauen.
ps. Ja war ein Tippfehler 
Die letzte Auflistung mit Proftp ist verwirrend ich weiß Ist aber so das meine Froxlor Accounts FTp nutzen und ich mit mein selbst erstellten User SFTP nutze Wollte dafür keine extra Auflistung machen.
Hallo,
sieht alles nach einer Standard Installation aus.
Zu den "Standard Email Adressen existieren nicht": Da wäre ich vorsichtig. postmaster@, webmaster@, info@ und abuse@ sollten schon vorhanden sein, damit man Dich im Notfall einfach erreichen kann. Ansonsten kann das ein Grund sein, Dich auf eine Blacklist zu packen.
Bis jetzt habe ich eine Catch-all Adresse. Wäre das nicht ausreichend ? Denn erreichbar wäre ich ja ?!?
btw. Wie darf ich "Standart" verstehen ? Sollte ich noch etwas verbessern ? Hast du da etwas für mich ?
Hallo liebe Netcup'ler,
ich betreibe nun seit geraumer Zeit einen KVM Server bei Netcup. Bis heute total zufrieden.
Bedingt dadurch das ich relativ schnell Angriffe in meinen Logs wahrnehmen konnte, fing ich auch schnell an mich mit dem Thema Sicherheit zu beschäftigen und habe mir mein kleinen "Panzer" gebaut.
Nun ist es aber so, dass ich mich niemals als Profi-Administrator betiteln würde und ich daher gerne von euch wissen würde, wie ihr meine Konfiguration findet und ob ihr noch Tipps habt oder gar Verbesserungsvorschläge habt !
Die meisten Angriffe bei mir beziehen sich auf mein Mailingsystem durch Bruteforce (Derzeit auch mit einer Proxyliste damit der Angreifer mehr oder weniger fail2ban aushebeln kann, gibt es da noch Tricks ?).
Meine Konfiguration sieht wie folgt aus :
Generelles :
-fail2ban
-uwf (vereinfachte Firewall / Jegliche nicht benötigen Port verschlossen)
-Regelmäßige MANUELLE (dist-)Updates
-Monatlicher Komplettscan von chkrootkit,rkhunter sowie ClaimAV mit E-Mail benachrichtigung
-Täglicher logcheck report(eigentlich genügend oder ist eine manuelle Untersuchung der Logs weiterhin erforderlich ?).
SSH :
- Port geändert
- Only Keyfiles
- Passphrase über 30 stellig.
- Root zugriff(bewusst) erlaubt.
Postfix/Dovecot :
- Keine Open Relays
- Standart E-Mail Adressen wie admin@domain.tld existieren nicht.
- Spam(amavis) und Viren(ClaimAV) Schutz
apache2/mysql :
- Dienst-Informationen zu apache aus den Header verschwinden lassen (ServerSignature = Off)
- mysql an den localhost binden lassen
proftp:
- sftp
-Keyfiles
Hoffe ich habe jetzt nichts vergessen.
Wie bereits erwähnt würde ich gerne von euch erfahren ob ihr das so gut heißen könnt oder ob ich evtl. wichtiges vergessen habe ?
Sind Überwachungstools wie monin wirklich hilfreich ? Würden sie mir in richtung Sicherheit helfen oder dienen sie doch nicht eher nur der Erreichbarkeit ?
Mit freundlichen Grüßen
HomeWell
Hat sich erledigt. War ein riesen Irrtum meiner Seits !
Es hat sich ein Bot im Forum angemeldet, der natürlich die Aktivierung per Mail bekommt. Doch da ich im ACP damals angeben musste mit welcher E-Mail Adresse das passieren sollte, kam ich nicht so schnell darauf das es mit www-data@mail passieren würde.
Werde nun die default Adresse von Apache2 ändern damit ich nicht nochmal so ein Shock bekomme Naja ihr wisst ja Vorsicht ist besser als Nachsicht
p.s. Sorry falls Doppelpost nicht gern gesehen wird aber ich wollte schnell bescheid geben damit ihr euch damit nicht befassen müsst
MfG
Hallo liebe netcup'ler,
habe eben mal Folgendes in der Log gesehen und mache mir gerade ein bisschen Gedanken um die Sicherheit meines Postfix's.
Ich habe die E-Mail(fengyu1666@yeah.net) bereits mal checken lassen und sie ist für SPAM geflaaged. Was mich halt stark stört ist, dass der Status auf "sent" steht.
Danach folgte noch ein "removed" (bsp. May 14 06:57:52 BloodyCarnage postfix/qmgr[4302]: 06474FFCFC: removed).
Ich habe bereits viel gegoogelt doch nie etwas spezifisches gefunden was ich mit meiner Problematik abgleichen konnte.
Weitere Information die evtl. helfen kann ist, dass ich seit Tagen gebruteforced werde auf Postfix doch das hat bis jetzt fail2ban immer abgeschmettert. Zumal die Abfragen lächerlich sind
Meine Frage nun also : Ging diese Mail wirklich raus ? War es Fremdeinwirkung ? Sollte ich weitere Sicherheitsvorkehrungen treffen ? Was genau ist mit "RelayedOpenRelay" gemeint ? Oder ist es gar ein Missverständnis trotz der unseriösen E-Mail Adresse ?
ZitatAlles anzeigenMay 14 06:57:48 BloodyCarnage postfix/pickup[11483]: 06474FFCFC: uid=33 from=<www-data>
May 14 06:57:48 BloodyCarnage postfix/cleanup[17262]: 06474FFCFC: message-id=<4fa44fb65bb52d1297b9f30eda5c0338@bloodycarnage.de>
May 14 06:57:48 BloodyCarnage postfix/qmgr[4302]: 06474FFCFC: from=<www-data@mail.BloodyCarnage>, size=1027, nrcpt=1 (queue active)
May 14 06:57:52 BloodyCarnage postfix/smtpd[17273]: connect from localhost[127.0.0.1]
May 14 06:57:52 BloodyCarnage postfix/smtpd[17273]: 94669FF843: client=localhost[127.0.0.1]
May 14 06:57:52 BloodyCarnage postfix/cleanup[17262]: 94669FF843: message-id=<4fa44fb65bb52d1297b9f30eda5c0338@bloodycarnage.de>
May 14 06:57:52 BloodyCarnage postfix/qmgr[4302]: 94669FF843: from=<www-data@mail.BloodyCarnage>, size=1479, nrcpt=1 (queue active)
May 14 06:57:52 BloodyCarnage postfix/smtpd[17273]: disconnect from localhost[127.0.0.1]
May 14 06:57:52 BloodyCarnage amavis[2616]: (02616-16) Passed CLEAN {RelayedOpenRelay}, <www-data@mail.BloodyCarnage> -> <fengyu1666@yeah.net>, Message-ID: <4fa44fb65bb52d1297b9f30eda5c0338@bloodycarnage.de>, mail_id: qWr1rb2n1h4l, Hits: 0.378, size: 1027, queued_as: 94669FF843, 4580 ms
May 14 06:57:52 BloodyCarnage postfix/smtp[17265]: 06474FFCFC: to=<fengyu1666@yeah.net>, relay=127.0.0.1[127.0.0.1]:10024, delay=4.6, delays=0.05/0.01/0.01/4.6, dsn=2.0.0, status=sent (250 2.0.0 from MTA(smtp:[127.0.0.1]:10025): 250 2.0.0 Ok: queued as 94669FF843)
May 14 06:57:52 BloodyCarnage postfix/qmgr[4302]: 06474FFCFC: removed
May 14 06:57:59 BloodyCarnage postfix/smtp[17277]: 94669FF843: to=<fengyu1666@yeah.net>, relay=yeahmx01.mxmail.netease.com[123.58.178.224]:25, delay=6.7, delays=0.01/0.02/3/3.7, dsn=2.0.0, status=sent (250 Mail OK queued as mx1,FFUQrEAJSEbS93JTrcaaEg--.829S2 1400043479)
May 14 06:57:59 BloodyCarnage postfix/qmgr[4302]: 94669FF843: removed
p.s. Ist das nicht die default Email-Adresse(www-data@mail.) von apache2 ? Wieso versendet die einfach was ?
Mit freundlichen Grüßen
HomeWell
ZitatDu musst aber zumindest noch die Verbindung zu accounting.teamspeak.com freigeben
Da war der Trick Ich hatte zwar 2008/tcp freigegeben aber hätte auch mal den Server neustarten können, damit die Abfrage nochmal rausgeht an http://accounting.teamspeak.com/. Danke dir
p.s. Der Quarry ist Optional. Den braucht man nur freigeben wenn man ihn auch benötigt
Ja habe mich genau nach der gleichen Auflistung gehalten. War mir schon vorher bewusst. Doch die meisten Ports sind nur für den Datentransfer sowie den Quarry also eher Optional.
Guten Tag,
ich bin echt ratlos da ich schon länger jetzt nach einer Lösung suche und da Google auch schon "ausgelutscht" ist (jegliche relevanten Einträge Lila gefärbt) hoffe ich nun hier auf Hilfe.
Folgendes Problem : Bedingt durch nette Bruteforce attacken auf mein Server beschloss ich generell mal für mehr Sicherheit zu sorgen. Darunter auch jegliche nicht benötigen Ports zu schließen. Da ich mich nicht mit
iptables all zu gut auskenne wollte ich eigentlich "arnos iptables firewall" benutzen aber das hat mir nicht gerade gefallen. Nun benutze ich das Einfachste vom Einfachsten und zwar "ufw". Soweit klappt damit auch alles, kann alles freigeben/schließen etc. nur der Teamspeak3 möchte nicht. Dieser läuft auf den standard Port 9987 dieser ist auch udp seitig erlaubt von mir aber ich bekomme einfach keine Verbindung zum Server über den Clienten. Jegliche anderen Dienste sind erreichbar nach dem forwarding. Ich hoffe ihr könnt mir helfen.
p.s. falls relevant der Quarry ist zu erreichen.
lg HomeWell
