Security auf Root/vServer

wolfmann

Hi, da ich seit kurzem auch stolzer Mieter eines vServers bin, und ich im moment am System Hardening bin wuerde mich interessieren was ihr so an security software auf eurem Server verwendet.

Meine Line of Defense schaut so aus:

.) Firewall bei der nur die benoetigten dienste freigeschalten sind.
.) sshd Port verlegt und login ist nur fuer einen bestimmten user erlaubt
.) snort im Daemon Mode
.) 2* taeglich logwatch
.) 2* taeglich tripwire
.) 2* taeglich chkrootkit
.) 1* woechentlich nessus scan

die reports gehen jeweils per E-Mail an eine E-Mail adresse auf einem anderen Server.

lg
wolfgang

gelbasack

Das einzige, was mir auffällt: benötigte Dienste? Würde da am ehesten ein Problem vermuten, ist halt die Frage, welche du laufen hast...

wolfmann

Zitat von gelbasack

Das einzige, was mir auffällt: benötigte Dienste? Würde da am ehesten ein Problem vermuten, ist halt die Frage, welche du laufen hast...

meine dienste (ausser ssh)
smtp (ohne relaying)
imap
ftp
imaps
web
webmin (nonstandard port und ssl)
teamspeak (nicht permanent)
soldat (nicht permanent)
das sollt also keine probleme bereiten

ghost dog

hi!
hab momentan nur eine temporäre serverkiste (lamp) bei mir rumstehen...
aber ich fand diesen artikel ganz interessant: http://www.pro-linux.de/work/rootserver/index.html

phlow

Zitat von wolfmann

Hi, da ich seit kurzem auch stolzer Mieter eines vServers bin, und ich im moment am System Hardening bin wuerde mich interessieren was ihr so an security software auf eurem Server verwendet.

Meine Line of Defense schaut so aus:

.) Firewall bei der nur die benoetigten dienste freigeschalten sind.
.) sshd Port verlegt und login ist nur fuer einen bestimmten user erlaubt
.) snort im Daemon Mode
.) 2* taeglich logwatch
.) 2* taeglich tripwire
.) 2* taeglich chkrootkit
.) 1* woechentlich nessus scan

die reports gehen jeweils per E-Mail an eine E-Mail adresse auf einem anderen Server.

lg
wolfgang

Alles anzeigen

Hi

Klingt schon recht vernünftig, nur würd ich chkrootkit durch rkhunter ersetzen (der ist einfach aktueller) oder beides laufen lassen.

Logwatch geht bei mir 1xpro Stunde drüber, kommt aber drauf an wieviel auf deinem Server los ist ... bei mir ists notwendig.

Bezüglich Web:
Auf jedenfall http://www.modsecurity.org/ ansehen, damit kannst du dir wirklich helfen um keine Löcher auzureißen, die dir deine User in PHP/sonstwas Scripts einbauen
... Regelset von hier: http://www.gotroot.com/tiki-index.php…_security+rulez sehr brauchbar.

Was fällt mir noch ein, hmm, portsentry hab ich noch laufen ...

Falls du sonst noch was brauchst, einfach melden ... bei mir laufen mittlerweile 2 root Server seit ca 5 Jahren (einer davon ist ein Fallback) ...

Edit: webmin würd ich loswerden, das Zeug zerstört einem nur die Configfiles auf lange Sicht ... lieber selber tippen

Ekimus

Zitat von wolfmann

2* taeglich logwatch

logwatch böse - logcheck gut.

logwatch alarmiert dich nur darüber was es kennt (badness enumeration)
logcheck informiert dich über alles was es nicht kennt, somit kannst du nach und nach "unwichtige infos" ausfiltern und alles was seltsam ist oder nur selten vorkommt ist für logcheck unbekannt und wird daher an dich gemailt...

* fail2ban (halt auch für apache, mailserver, etc. konfigurieren)
* portsentry

Jetzt mitmachen!