Security auf Root/vServer

Hallo zusammen,

das Informatik-Forum geht in den Archivmodus, genaue Informationen kann man der entsprechenden Ankündigung entnehmen. Als Dankeschön für die Treue bekommt man von uns einen Gutscheincode (informatikforum30) womit man bei netzliving.de 30% auf das erste Jahr sparen kann. (Genaue Infos sind ebenfalls in der Ankündigung)

Vielen Dank für die Treue und das Verständnis!

    Hi, da ich seit kurzem auch stolzer Mieter eines vServers bin, und ich im moment am System Hardening bin wuerde mich interessieren was ihr so an security software auf eurem Server verwendet.

    Meine Line of Defense schaut so aus:

    .) Firewall bei der nur die benoetigten dienste freigeschalten sind.
    .) sshd Port verlegt und login ist nur fuer einen bestimmten user erlaubt
    .) snort im Daemon Mode
    .) 2* taeglich logwatch
    .) 2* taeglich tripwire
    .) 2* taeglich chkrootkit
    .) 1* woechentlich nessus scan

    die reports gehen jeweils per E-Mail an eine E-Mail adresse auf einem anderen Server.

    lg
    wolfgang

    Zitat von gelbasack

    Das einzige, was mir auffällt: benötigte Dienste? Würde da am ehesten ein Problem vermuten, ist halt die Frage, welche du laufen hast...

    meine dienste (ausser ssh)
    smtp (ohne relaying)
    imap
    ftp
    imaps
    web
    webmin (nonstandard port und ssl)
    teamspeak (nicht permanent)
    soldat (nicht permanent)
    das sollt also keine probleme bereiten


    Hi

    Klingt schon recht vernünftig, nur würd ich chkrootkit durch rkhunter ersetzen (der ist einfach aktueller) oder beides laufen lassen.

    Logwatch geht bei mir 1xpro Stunde drüber, kommt aber drauf an wieviel auf deinem Server los ist ... bei mir ists notwendig.

    Bezüglich Web:
    Auf jedenfall http://www.modsecurity.org/ ansehen, damit kannst du dir wirklich helfen um keine Löcher auzureißen, die dir deine User in PHP/sonstwas Scripts einbauen
    ... Regelset von hier: http://www.gotroot.com/tiki-index.php…_security+rulez sehr brauchbar.

    Was fällt mir noch ein, hmm, portsentry hab ich noch laufen ...

    Falls du sonst noch was brauchst, einfach melden ... bei mir laufen mittlerweile 2 root Server seit ca 5 Jahren (einer davon ist ein Fallback) ...

    Edit: webmin würd ich loswerden, das Zeug zerstört einem nur die Configfiles auf lange Sicht ... lieber selber tippen ;)

    Zitat von wolfmann


    2* taeglich logwatch

    logwatch böse - logcheck gut.

    logwatch alarmiert dich nur darüber was es kennt (badness enumeration)
    logcheck informiert dich über alles was es nicht kennt, somit kannst du nach und nach "unwichtige infos" ausfiltern und alles was seltsam ist oder nur selten vorkommt ist für logcheck unbekannt und wird daher an dich gemailt...

    * fail2ban (halt auch für apache, mailserver, etc. konfigurieren)
    * portsentry