Root Server sicher machen!

Super Moderator

Samstag, 15. Januar 2011, 17:19

Re: Root Server sicher machen!

Du musst den sftp Zugang chrooten. Man kann jetzt wahlweise jeden SSH user als solchen chrooten, oder aber nur den sftp Zugang.

Wie letzteres geht, kannst du hier nachlesen:
http://www.online-tutorials.net/internet…s-t-29-324.html
http://www.debian-administration.org/articles/590

Webbasierender Config Ersteller: www.ulrich-block.de für CS 1.6, CSS, DODS und TF2.

Ebenso wird werden verschiedene Debian Gameserverkernel zum Download angeboten.

Dieser Beitrag wurde bereits 2 mal editiert, zuletzt von »Terrorkarotte« (26. Februar 2011, 14:03)

Zum Seitenanfang

Koffein

Fortgeschrittener

Beiträge: 353

Rootserver vorhanden: Nein

22

Montag, 17. Januar 2011, 16:20

Re: Root Server sicher machen!

So, erstmal danke für die Links.

Wenn ich nachdem ersten verfahre, kann ich mich noch über Winscp einloggen.
Wenn ich dann versuche mich per Putty einzuloggen bleibt er nach dem Schritt:
Authetication with public key xy...
einfach stehen.

Wenn ich es nachdem zweiten Link mache kann ich mich nichteinmal per Winscp einloggen.

Habe die Eingabe soweit abgeändert das es mit den Ordnern passt,
da meine User nicht den gleichen Namen haben wie ihre Homeverzeichnisse haben.
Die erste Methode scheint ja schonmal ganz gut zu sein, wenn jetzt noch das einloggen über die Console funktionieren würde

EDIT:
So ich dachte mir schon das der User noch extra Sachen für den SSH Zugang braucht,
ich versuch jetzt mal die /bin/bash Dateien zu kopieren...

Zum Seitenanfang

Koffein

Fortgeschrittener

Beiträge: 353

Rootserver vorhanden: Nein

23

Montag, 17. Januar 2011, 22:03

Re: Root Server sicher machen!

So, hab das hier gefunden.. http://www.howtoforge.com/chrooted-ssh-sftp-tutorial-debian-lenny">http://www.howtoforge.com/chrooted-ssh- ... bian-lenny</a>

Ich denke ich muss jetzt noch das tun, was ab Punkt 4 dort steht,
aber das alles manuell zu kopieren krieg ich irgendwie nicht hin...
Ich soll zwar per ldd /bin/bash und so weiter die Dateien mir anzeigen lassen
und anschließend per cp in das Chroot Verzeichnis kopieren,
aber ich denke ich übernehm nicht alle Dateien und so weiter...

Hat schonmal einmal einer mit dem Script gearbeitet was unter 4 aufgelistet wird?

Zum Seitenanfang

Terrorkarotte

Super Moderator

Beiträge: 708

24

Montag, 17. Januar 2011, 22:49

Re: Root Server sicher machen!

Du wolltest doch nur sftp chrooten. Ab Punkt 4 gehts um den ssh Zugang selber.

Webbasierender Config Ersteller: www.ulrich-block.de für CS 1.6, CSS, DODS und TF2.

Ebenso wird werden verschiedene Debian Gameserverkernel zum Download angeboten.

Zum Seitenanfang

Koffein

Fortgeschrittener

Beiträge: 353

Rootserver vorhanden: Nein

25

Montag, 17. Januar 2011, 23:06

Re: Root Server sicher machen!

Dann hab ich mich vielleicht nicht deutlich ausgedrückt

Ich möchte das die User Zugriff über sftp haben und einen ssh Zugang haben,
damit der User Dateien für die Gameserver hochladen kann und den Server auch starten kann :D

Ich hab halt jetzt einen Weg gesucht ohne ein MiniDebian zu installieren, also nicht über libpam-chroot.

Zum Seitenanfang

BehaartesEtwas

Schüler

Beiträge: 111

Rootserver vorhanden: Ja

26

Dienstag, 18. Januar 2011, 10:00

Re: Root Server sicher machen!

ssh wirklich abzusichern ist nicht ganz einfach. vielleicht hilft dir das stichwort "restricted shell", einfach mal bei google eingeben. ansonsten reicht es theoretisch auch, sehr strenge permissions zu vergeben, aber da muss man genau wissen, was man tut...

http://fpsmeter.org
http://wiki.fragaholics.de (Linux Kernel HOWTO!)
http://www.fragaholics.de

Bitte keine technischen Fragen per PM!

Zum Seitenanfang

Koffein

Fortgeschrittener

Beiträge: 353

Rootserver vorhanden: Nein

27

Dienstag, 18. Januar 2011, 15:16

Re: Root Server sicher machen!

Werd ich morgen mal tun.
Ich hab jetzt 3 User erstellt, einen für Teamspeak, einen für den Gameserver,
zu diesen Usern hat noch ein weiterer Zugang zur Verwaltung etc..
Bei beiden Usern ist das Cmd "su" gesperrt

Dann hab ich halt noch einen dritten User, dessen Zugangsdaten nur ich habe
und über den ich mich per su als root einloggen kann :D

So wie es aktuell ist kann man ja die Benutzernamen noch in /etc/passwd sehen,
wenn die User dann ins /home Verzeichnis gesperrt sind, könnte ein Hacker keine wichtigen Daten mehr sehen
und ich wäre eigentlich auf einer guten Seite.

Theoretisch könnte ich es so lassen, aber um den perfekten Schlif zu verpassen,
wer ich das mit Chroot-Gefängnis nochmal versuchen, hab gestern noch ein paar Seiten gefunden,
dort sind auch die wichtigen Dateien aufgelistet die für den SSH-Zugang notwenig sind.
Mal schauen ob ich das hinkriege

Zum Seitenanfang

DeaD_EyE

Administrator

Beiträge: 3 980

Wohnort: Hagen

Beruf: Mechatroniker (didaktische Systeme)

Rootserver vorhanden: Nein

28

Mittwoch, 19. Januar 2011, 01:09

Re: Root Server sicher machen!

Naja, sobald jemand sich einloggen kann, hast do trotzdem den Mist drin.
Ich hatte bisher keine Probleme mit dem SSH-Key Login. Deswegen hab ich grundsätzlich Login mit User und PW nicht zugelassen. So ist es sehr unwahrscheinlich, dass ein Hacker draufkommt. Wenn du irgendeinen doofen Admin hast, der lauter Trojaner auf dem PC hat, ist das dann spätestens die Sicherheitslücke.

SkyRadar Youtube Channel - Die neue S7-1500 - Youtube-Kanal

Zum Seitenanfang

BehaartesEtwas

Schüler

Beiträge: 111

Rootserver vorhanden: Ja

29

Mittwoch, 19. Januar 2011, 09:38

Re: Root Server sicher machen!

irgendwelche befehle (wie z.B. su) zu verbieten, ist sinnlos, solang der user im prinzip noch eigenen code hochladen und ausführen kann. chroot-jail kann helfen, schränkt aber auch schon sehr stark ein, was noch möglich ist, verhindert aber auch nicht die privilege escalation, wenn eines der programme im jail eine sicherheitslücke hat. dann schon besser die restricted shell mit einer positiv-liste machen (d.h. der user darf nur befehle ausführen, die du für sicher befunden hast und explizit zulässt. insbesondere kein eigener code), das dürfte gegen die meisten szenarien sicher sein, wenn du wirklich nur zulässt, was gebraucht wird und sicher ist. schränkt natürlich auch am meisten ein.

für normale zwecke reicht aber wirklich, "einfach" strenge permissions festzulegen. so funktioniert die sicherheit auf jedem großrechner, wo auch locker mal ein paar 1000 user zugriff haben.

http://fpsmeter.org
http://wiki.fragaholics.de (Linux Kernel HOWTO!)
http://www.fragaholics.de

Bitte keine technischen Fragen per PM!

Zum Seitenanfang

Koffein

Fortgeschrittener

Beiträge: 353

Rootserver vorhanden: Nein

30

Mittwoch, 19. Januar 2011, 16:51

Re: Root Server sicher machen!

Da kann ich euch eigentlich nur zu stimmen

Denke mal das System sollte so gut geschützt sein,
ganz sicher kann man nie sein, denn es gibt ja immer irgendwelche Wege big-lol

Größte Schwachstelle bleiben natürlich leichtsinnige Admins ohne ausreichenden Schutz ihres eigenen Systems...

Hab zusätzlich zu den Punkten von Terror noch rkhunter und chkrootkit laufen,
denke mal klappt schon, danke mal wieder für die Antworten !

Zum Seitenanfang

oldi1960

Fortgeschrittener

Beiträge: 179

Wohnort: Berlin

Beruf: Feinmechaniker

Rootserver vorhanden: Ja

31

Freitag, 21. Januar 2011, 18:14

ssh guard 1.5

Hatt jemand erfahrung mit ssh guard ?Ich kenne es noch wo es nur den ssh Dienst ünterstüzt hatt mittlerweile werden auch andere Dienste wie proftpd pureftpd u.s.w unterstüzt.Es kontrolliert die log Files und speert dann (Angreifer) die dann Passwörter ausprobieren und ein falsches Passwort eingeben aus.
Gruß aus berlin Oldi1960

Zum Seitenanfang

Koffein

Fortgeschrittener

Beiträge: 353

Rootserver vorhanden: Nein

32

Freitag, 21. Januar 2011, 18:48

Re: Root Server sicher machen!

Hab gerade mal danach gegoogelt und bin direkt auf die Entwickler Seite gestoßen,
sieht eigentlich ganz interessant aus, hab nur ein paar Sachen überflogen, aber wenn ich es richtig gelesen habe kannst du die Dienste die überwacht werden nicht einzelnd aktivieren, es wird also alles überwacht was ssh guard auch überwachen kann.

Ich hab mir das nach all den Posts und dem vielen Suchen im Internet nochmal kräftig überlegt mit den ganzen Sicherheitslücken etc.. etc... Ich kann Terror, Deadeye und so weiter nur zustimmen.
sshd_config bearbeiten und dann nur User mit Schlüsselzugang. Dann ist die größte Sicherheitslücke der Rechner der Admins.
Falls man sich sorgen um die anderen Zugänge macht, sollte man vielleicht auf ein Tool wie ssh guard zurückgreifen. Werd mal die Antworten abwarten ob jemand es schonmal benutzt hat und werd mal Google fragen wie so die Rückmeldungen dazu sind...

Zum Seitenanfang

oldi1960

Fortgeschrittener

Beiträge: 179

Wohnort: Berlin

Beruf: Feinmechaniker

Rootserver vorhanden: Ja

33

Donnerstag, 3. Februar 2011, 12:41

Re: Root Server sicher machen!

Wenn es sich nicht vermeiden läßt Apache PHP MYSQL und Co zu installieren wie sieht es aus wenn man sie in einer virtuellen Umgebung auf den Root laufen läßt?
Gruß aus Berlin Oldi1960

Zum Seitenanfang

oldi1960

Fortgeschrittener

Beiträge: 179

Wohnort: Berlin

Beruf: Feinmechaniker

Rootserver vorhanden: Ja

34

Donnerstag, 10. Februar 2011, 12:20

Nagios

Bei meinen Anbieter kann man Nagios im Kundenmenu aktivieren und den Server überwachen lassen ob ftp ssh ............................man bekommt dann eine Mail:

***** Nagios *****
Notification Type: PROBLEM
Service: ssh
Host: XXXXXXXXXXXXXXXX.de
Address: XX.XXX.XXX.XX
State: CRITICAL
Date/Time: Thu Feb 10 08:37:27 CET 2011
Additional Info:
Verbindungsaufbau abgelehnt

EDIT: Fail2Ban

apt-get install fail2ban
nano /etc/fail2ban/jail.conf
ignoreip = 127.0.0.1 //IP vom Server
bantime = 3600 // wie lange eine IP geblockt werden soll
maxretry = 3 //Anzahl der Versuche, nach denen geblockt werden soll
/etc/init.d/fail2ban restart

Gruß aus Berlin Oldi1960

Dieser Beitrag wurde bereits 2 mal editiert, zuletzt von »General_V« (10. Februar 2011, 13:35)