Sie sind nicht angemeldet.

Debian 5.0 Lenny Server sicher?

Lieber Besucher, herzlich willkommen bei: sourceserver.info. Falls dies Ihr erster Besuch auf dieser Seite ist, lesen Sie sich bitte die Hilfe durch. Dort wird Ihnen die Bedienung dieser Seite näher erläutert. Darüber hinaus sollten Sie sich registrieren, um alle Funktionen dieser Seite nutzen zu können. Benutzen Sie das Registrierungsformular, um sich zu registrieren oder informieren Sie sich ausführlich über den Registrierungsvorgang. Falls Sie sich bereits zu einem früheren Zeitpunkt registriert haben, können Sie sich hier anmelden.

jahusa02

Anfänger

  • »jahusa02« ist der Autor dieses Themas

Beiträge: 9

  • Nachricht senden

1

Mittwoch, 17. März 2010, 15:04

Debian 5.0 Lenny Server sicher?

Hey :D

Hab eine Frage ..besser gesagt ein prob.. Ich wollt fragen ob ein Debian 5.0 Lenny Root Server von sich aus schon sicher ist oder muss ich eine Firewall installieren / einrichten? Die Server IP ist öffentlich....

MFG
Jahusa

GeNeRaLbEaM

Profi

Beiträge: 1 537

Wohnort: Krefeld

Beruf: Student

Rootserver vorhanden: Nein

  • Nachricht senden

2

Mittwoch, 17. März 2010, 15:29

Re: Debian 5.0 Lenny Server sicher?

Normal ist der Sicher. Ich denke mal die wenigsten haben zusätzlich Sicherheitssoftware installiert. Das ist ja gerade das, was Linux von MS unterscheidet.

LG
Beam
LG
GeNeRaLbEaM

Wer Rechtschreibfehler findet, darf sie behalten.

jahusa02

Anfänger

  • »jahusa02« ist der Autor dieses Themas

Beiträge: 9

  • Nachricht senden

3

Mittwoch, 17. März 2010, 15:40

Re: Debian 5.0 Lenny Server sicher?

Thx für die schnelle Antwort :P

jahusa02

Anfänger

  • »jahusa02« ist der Autor dieses Themas

Beiträge: 9

  • Nachricht senden

4

Mittwoch, 17. März 2010, 19:21

Re: Debian 5.0 Lenny Server sicher?

hast du auch nich iwelche linux basierte sicherheitstools benutzt?

Impact

Super Moderator

Beiträge: 1 276

Rootserver vorhanden: Nein

  • Nachricht senden

5

Mittwoch, 17. März 2010, 20:34

Re: Debian 5.0 Lenny Server sicher?

Ein Linux Server is sicher solange

er aus ist =)
keine Ports offen sind
Immer Updates eingespielt sind
Sicherheitslücken gefixt sind


Bitte nimm diese Liste nicht allzu ernst


Mfg
Impact
Forensuche
Zu wenig Informationen
Wie man Fragen richtig stellt

MadMakz

Super Moderator

Beiträge: 1 878

Wohnort: ~#

Rootserver vorhanden: Ja

  • Nachricht senden

6

Donnerstag, 18. März 2010, 00:08

Re: Debian 5.0 Lenny Server sicher?

yup, immer aktuell halten, dann noch fail2ban draufhauen und man ist schnell und gut gegen bruteforce attacken gerüstet (man sollte die bantime erhöhen und alle applikationen hinzufügen die mit einer authentifizierung auf öffentlichen IP's arbeiten und eine logform a la "auth.log" haben).
evtl. noch ddos deflate drauf (http://deflate.medialayer.com/">http://deflate.medialayer.com/</a>), was zumindest schon mal verhindert das der server sich mit hohem load bei ner flood attacke aufhängt (was aber nicht dagegen schützt das die bandbreite weniger wird die ein flood nutzt, dagegen müsste man noch ne hw-firewall + über alternatives routing verfügen).

rkhunter ist auch noch zu empfehlen um rootkits aufzuspüren.

ein linux server ist auch immer nur so sicher wie es die software zulässt bzw. der anwender einstellt wenn es um software dritter geht^^
allerdings sind die meisten populären apps, wie apache/php/currier/bind/mysql, sehr exploit-frei und immer schnell gepatcht

hatte bis auf das abegef***te TS3 so nie probleme in den ca. 5 jahren mit meinen eigenen roots.

Terrorkarotte

Super Moderator

Beiträge: 708

  • Nachricht senden

7

Donnerstag, 18. März 2010, 10:26

Re: Debian 5.0 Lenny Server sicher?

Über fail2ban scheiden sich die Geister, weil es schon dazu genutzt wurde Server lahm zu legen bzw. einzudringen. Sowas wird aber nur ein versierter Angreifer schaffen. Ich habe es so lange ich das Programm eingesetzt habe nicht erlebt.

Die Regel sind jedoch Script Kiddies, die Standartports auf ganzen IP Ranges abklappern und auf gut Glück Brutforce Attacken versuchen, bzw. nach veralterter Software mit bekannten Sicherheitslücken scannen.
Leg die Standartports für ssh ftp usw. um und deren Angriffe gehen alle ins Leere. Das ist einfacher und effizienter, als sie mit fail2ban auf den Standartports zu blockieren. Man kann es aber natürlich auch kombinieren. Ich habe aber noch keine dieser Script Kiddie Attacken bei nicht Standartports gesehen, weswegen ich mich gegen fail2ban entschieden habe.
Wenn ich es mit einem versierten Angreifer zu tun habe, der trotz der Firewall, die auch Stealth Port Scans aufdecken und blockieren sollte, in der Lage ist vorhandende Ports zu finden, wird er auch wahrscheinlich in der Lage sein, fail2ban gegen dich zu verwenden.

Aber da müsstest du schon jemanden sehr sauer gemacht haben, dass sich jemand diese Mühen macht. Denn auch für Hacker ist Zeit= Geld. Und warum soll er sich mit einem aktuell gehaltenen System, das auch noch über weitere Absicherungen verfügt rumschlagen, wenn es nebenan x Server mit offener Haustür gibt.

Zu den oben bereits genannten Programmen kannst du noch iptables (Software Firewall) nutzen. Ich droppe die Packete die nicht für ssh ftp und Gameserver bestimmt sind, so dass es für den Scanner aussieht, als ob kein Server vorhanden wäre. Manche bevorzugen reject, aber das ist denke ich Geschmackssache.
Hier ist ein von mir auf den Spieleserver Betrieb erweitertes Iptablesscript, dass ich einsetze. Wo ich die Grundlage her habe ist ja zu sehen. Die Ports müsstest du noch passend auf deinen Server abändern und nicht benötigte Regeln entfernen.
http://serverwiki.sp12.speed-hoster.eu/index.php/Iptables">http://serverwiki.sp12.speed-hoster.eu/ ... p/Iptables</a>
Webbasierender Config Ersteller: www.ulrich-block.de für CS 1.6, CSS, DODS und TF2.

Ebenso wird werden verschiedene Debian Gameserverkernel zum Download angeboten.

MadMakz

Super Moderator

Beiträge: 1 878

Wohnort: ~#

Rootserver vorhanden: Ja

  • Nachricht senden

8

Donnerstag, 18. März 2010, 11:23

Re: Debian 5.0 Lenny Server sicher?

würde mich mal interresieren wie man über fail2ban nen server lahmlegt, im endeffekt ist fail2ban nämlich nur ein simpler log parser. und bei nem flood würde ddos deflate schon einsetzten bevor sich fail2ban an der masse an log entries auffrist.
dazu gibt es heutzutage auch eine menge anbiter die mehr als eine IP anbieten wovon man dann eine komplett dediziert nur für ssh/sftp einsetzten kann.
ich benutze dazu z.B. meine haupt IP, das ermöglicht mir bei einem flood auf der/den anderen öffentlichen IP´s (VHOSTS) sogar ein temporäres nullroute zu setzen so das ich bei einem evtl. 100Mbit+ flood trotzdem noch gewohnt auf die shell zugreifen kann ohne irgendwelche timeout/delay probleme.
allerdings kommt es dazu meist erst garnicht da die meisten rechenzentren mitlerweile sehr effiziente preventiv maßnahmen haben.

Terrorkarotte

Super Moderator

Beiträge: 708

  • Nachricht senden

9

Donnerstag, 18. März 2010, 12:18

Re: Debian 5.0 Lenny Server sicher?

Es ist nur in der Vergangenheit durch einen Bug, der mitlerweile wohl gefixt ist, bei Servern ohne ddos Deflate dazu gekommen, dass durch die Masse an Anfragen fail2ban den Server lahm gelegt hat.
Ich wollte mit meinem Post nur darauf hinweisen, dass man es nicht zwingend braucht und die Verwendung Geschmackssache ist. Eine Diskussion über fail2ban wollte ich nicht anfangen.
Das mit den mehreren Ips ist zwar eine Gute Lösung, jedoch bietet nicht jeder Anbieter das kostenlos.

Mal aus Interesse: Wie viele ernste Angriffe wurden schon auf deine Server geführt? Ich rede jetzt nicht von den 08/15 Script Attacken.
Webbasierender Config Ersteller: www.ulrich-block.de für CS 1.6, CSS, DODS und TF2.

Ebenso wird werden verschiedene Debian Gameserverkernel zum Download angeboten.

MadMakz

Super Moderator

Beiträge: 1 878

Wohnort: ~#

Rootserver vorhanden: Ja

  • Nachricht senden

10

Donnerstag, 18. März 2010, 13:59

Re: Debian 5.0 Lenny Server sicher?

Zitat von »"Terrorkarotte"«

Es ist nur in der Vergangenheit durch einen Bug, der mitlerweile wohl gefixt ist, bei Servern ohne ddos Deflate dazu gekommen, dass durch die Masse an Anfragen fail2ban den Server lahm gelegt hat.
Ich wollte mit meinem Post nur darauf hinweisen, dass man es nicht zwingend braucht und die Verwendung Geschmackssache ist. Eine Diskussion über fail2ban wollte ich nicht anfangen.
Das mit den mehreren Ips ist zwar eine Gute Lösung, jedoch bietet nicht jeder Anbieter das kostenlos.

Mal aus Interesse: Wie viele ernste Angriffe wurden schon auf deine Server geführt? Ich rede jetzt nicht von den 08/15 Script Attacken.

von ddos floods bin ich soweit "noch" verschont, allerdings habe ich am tag mind. eine bis zwei random IP die es auf SSHabgesehen haben und fast alle aus dem russisch/asiatischen raum stammen.
hatte mich auch mal an mod-security versucht, aber es erscheint mir zu umständlich, teilweise auch zu strickt. habe aber alternativ dazu andere vorkehrungen getroffen (man muss ja nicht alles öffentlich ausplaudern).

also so wirklich gehackt hat mich noch niemand und das muss ja auch nicht sein um über sicherheit zu sprechen.

hier mal so eine typische log von mir wenn ssh auf den öffentlichen IP's liegt

Spoiler Spoiler

2010-03-15 20:30:51,267 fail2ban.actions: WARNING [ssh_root] Ban 109.197.50.104
2010-03-15 20:31:13,763 fail2ban.actions: WARNING [pam-generic] Ban 109.197.50.104
2010-03-15 20:31:15,271 fail2ban.actions: WARNING [ssh_root] 109.197.50.104 already banned
2010-03-15 20:31:15,791 fail2ban.actions: WARNING [ssh] Ban 109.197.50.104
2010-03-15 20:40:51,303 fail2ban.actions: WARNING [ssh_root] Unban 109.197.50.104
2010-03-15 20:41:13,791 fail2ban.actions: WARNING [pam-generic] Unban 109.197.50.104
2010-03-15 20:41:15,795 fail2ban.actions: WARNING [ssh] Unban 109.197.50.104
2010-03-15 21:49:34,499 fail2ban.actions: WARNING [ssh_root] Ban 95.52.145.44
2010-03-15 21:49:59,907 fail2ban.actions: WARNING [pam-generic] Ban 95.52.145.44
2010-03-15 21:50:01,507 fail2ban.actions: WARNING [ssh_root] 95.52.145.44 already banned
2010-03-15 21:50:01,903 fail2ban.actions: WARNING [ssh] Ban 95.52.145.44
2010-03-15 21:52:47,511 fail2ban.actions: WARNING [ssh_root] Ban 186.18.55.176
2010-03-15 21:54:39,923 fail2ban.actions: WARNING [pam-generic] Ban 186.18.55.176
2010-03-15 21:54:42,515 fail2ban.actions: WARNING [ssh_root] 186.18.55.176 already banned
2010-03-15 21:54:42,907 fail2ban.actions: WARNING [ssh] Ban 186.18.55.176
2010-03-15 21:59:34,539 fail2ban.actions: WARNING [ssh_root] Unban 95.52.145.44
2010-03-15 21:59:59,931 fail2ban.actions: WARNING [pam-generic] Unban 95.52.145.44
2010-03-15 22:00:01,911 fail2ban.actions: WARNING [ssh] Unban 95.52.145.44
2010-03-15 22:02:47,551 fail2ban.actions: WARNING [ssh_root] Unban 186.18.55.176
2010-03-15 22:04:39,947 fail2ban.actions: WARNING [pam-generic] Unban 186.18.55.176
2010-03-15 22:04:42,991 fail2ban.actions: WARNING [ssh] Unban 186.18.55.176
2010-03-16 01:14:53,584 fail2ban.actions: WARNING [ssh_root] Ban 186.81.88.131
2010-03-16 01:15:03,344 fail2ban.actions: WARNING [pam-generic] Ban 186.81.88.131
2010-03-16 01:15:05,768 fail2ban.actions: WARNING [ssh_root] 186.81.88.131 already banned
2010-03-16 01:15:06,027 fail2ban.actions: WARNING [ssh] Ban 186.81.88.131
2010-03-16 01:24:54,123 fail2ban.actions: WARNING [ssh_root] Unban 186.81.88.131
2010-03-16 01:25:03,507 fail2ban.actions: WARNING [pam-generic] Unban 186.81.88.131
2010-03-16 01:25:06,231 fail2ban.actions: WARNING [ssh] Unban 186.81.88.131
2010-03-16 09:09:07,207 fail2ban.actions: WARNING [ssh_root] Ban 41.98.31.230
2010-03-16 09:14:19,539 fail2ban.actions: WARNING [pam-generic] Ban 41.98.31.230
2010-03-16 09:14:20,979 fail2ban.actions: WARNING [ssh] Ban 41.98.31.230
2010-03-16 09:14:21,283 fail2ban.actions: WARNING [ssh_root] 41.98.31.230 already banned
2010-03-16 09:19:07,291 fail2ban.actions: WARNING [ssh_root] Unban 41.98.31.230
2010-03-16 09:24:19,599 fail2ban.actions: WARNING [pam-generic] Unban 41.98.31.230
2010-03-16 09:24:20,983 fail2ban.actions: WARNING [ssh] Unban 41.98.31.230
2010-03-16 10:28:53,359 fail2ban.actions: WARNING [ssh_root] Ban 122.161.130.229
2010-03-16 10:30:38,363 fail2ban.actions: WARNING [ssh_root] Ban 95.30.149.16
2010-03-16 10:30:49,715 fail2ban.actions: WARNING [pam-generic] Ban 95.30.149.16
2010-03-16 10:30:52,023 fail2ban.actions: WARNING [ssh] Ban 95.30.149.16
2010-03-16 10:30:52,367 fail2ban.actions: WARNING [ssh_root] 95.30.149.16 already banned
2010-03-16 10:38:53,367 fail2ban.actions: WARNING [ssh_root] Unban 122.161.130.229
2010-03-16 10:40:38,371 fail2ban.actions: WARNING [ssh_root] Unban 95.30.149.16
2010-03-16 10:40:49,759 fail2ban.actions: WARNING [pam-generic] Unban 95.30.149.16
2010-03-16 10:40:52,047 fail2ban.actions: WARNING [ssh] Unban 95.30.149.16
2010-03-16 12:56:44,519 fail2ban.actions: WARNING [ssh_root] Ban 212.115.225.38
2010-03-16 12:57:00,911 fail2ban.actions: WARNING [pam-generic] Ban 212.115.225.38
2010-03-16 12:57:03,123 fail2ban.actions: WARNING [ssh] Ban 212.115.225.38
2010-03-16 12:57:03,527 fail2ban.actions: WARNING [ssh_root] 212.115.225.38 already banned
2010-03-16 13:06:44,543 fail2ban.actions: WARNING [ssh_root] Unban 212.115.225.38
2010-03-16 13:07:00,923 fail2ban.actions: WARNING [pam-generic] Unban 212.115.225.38
2010-03-16 13:07:03,155 fail2ban.actions: WARNING [ssh] Unban 212.115.225.38
2010-03-16 16:26:03,908 fail2ban.actions: WARNING [ssh-ddos] Ban 178.65.11.118
2010-03-16 16:36:03,955 fail2ban.actions: WARNING [ssh-ddos] Unban 178.65.11.118
2010-03-16 18:25:16,171 fail2ban.actions: WARNING [ssh_root] Ban 77.52.194.222
2010-03-16 18:26:12,351 fail2ban.actions: WARNING [pam-generic] Ban 77.52.194.222
2010-03-16 18:26:12,647 fail2ban.actions: WARNING [ssh] Ban 77.52.194.222
2010-03-16 18:26:13,175 fail2ban.actions: WARNING [ssh_root] 77.52.194.222 already banned
2010-03-16 18:35:16,175 fail2ban.actions: WARNING [ssh_root] Unban 77.52.194.222
2010-03-16 18:36:12,367 fail2ban.actions: WARNING [pam-generic] Unban 77.52.194.222
2010-03-16 18:36:12,680 fail2ban.actions: WARNING [ssh] Unban 77.52.194.222

stell ich es wieder auf die private werden daraus 0

(gut das ich das mal geposted habe, sieht nämlich so aus als ob ich da ein wenig mist mit der config angefangen hab :P)

jahusa02

Anfänger

  • »jahusa02« ist der Autor dieses Themas

Beiträge: 9

  • Nachricht senden

11

Donnerstag, 18. März 2010, 16:38

Re: Debian 5.0 Lenny Server sicher?

Wie mach ich das denn genau mit iptables?

Terrorkarotte

Super Moderator

Beiträge: 708

  • Nachricht senden

12

Freitag, 19. März 2010, 00:37

Re: Debian 5.0 Lenny Server sicher?

Das einfachste ist für den Anfang, das von mir verlinkte Script zu nehmen und alles rauszulöschen was du nicht am laufen hast bzw. die Ports anzupassen. Wenn du das erledigt hast mal testweise mit dem root Account starten:

./firewall start && sleep 120 && ./firewall stop

Falls du was falsch eingestellt hast und nicht mehr eine weitere Verbindung per ssh öffnen kannst werden die Regeln automatisch nach 2 Minuten wieder entfernt.
Wenn du sofort connecten kannst, wunderbar ;)
Webbasierender Config Ersteller: www.ulrich-block.de für CS 1.6, CSS, DODS und TF2.

Ebenso wird werden verschiedene Debian Gameserverkernel zum Download angeboten.

fatony

Anfänger

Beiträge: 22

  • Nachricht senden

13

Montag, 17. Mai 2010, 17:31

Re: Debian 5.0 Lenny Server sicher?

fail2ban oder denyhosts ;=) gerade bei debian wurde mir von den provider denyhosts empfohlen.
denn ein geupdateter linux ist das alcatraz ,aber mit mysql und apache ist das ein kinderspiel.....deshalb such dir noch ne absicherung für webservers