Mit KVM Server-Dienste aufsplitten sinnvoll?

[weshalb]

Hallo Leute,

bisher ist es so, dass ich Mailserver, Apache (Roundcube, vielleicht mal ne Cloud, PHPmyAdmin), Datenbanken, Samba, FTP, Baikal und Backup auf einem Gerät habe. Da hier Sachen im Internet hängen, frage ich mich, ob es nicht sinnvoll und sicherer wäre, durch KVM da einen Cut zu machen und die Dienste (nicht alle) in verschiedene VM's aufteile, da ich nicht beurteilen kann, inwiefern die gesamte Infrastrutkur durch eventuelle Lücken einzelner Dienste angreifbar ist.

Was meint ihr dazu?

[Colttt]

Ist schon spät, daher kurz: ich würde wenn dann LXC nehmen ist performanter und hat nicht soviel Overhead da nicht ein kompletter Rechner emuliert werden muss.

[weshalb]

Das macht Sinn. Ich wollte mich mit Containern zwar erst nach KVM beschäftigen, aber so werde ich dann wohl schneller damit anfangen müssen. Danke für den Tip.

[heisenberg]

Gedanken dazu:

• Das finde ich anstrengend.
• Erster Schritt wäre für mich: Die einzelnen Dienste sauber absichern
• Fail2Ban gegen Bruteforce aller Dienste(auch die Webdienste)
• Samba am Internet? Da würde ich mich bzgl. Sicherheit noch mal genauer einlesen.
• FTP: Wenn es nicht schon FTPS ist und nicht unbedingt benötigt wird: Weg damit! (Sprich: Ersetzen durch etwas sichereres, z. B.: SFTP)
• Web, File, FTP,... und Backup: Ein Backup auf dem Produktivsystem ist IMHO kein ausreichendes Backup

[weshalb]

Gedanken dazu:

• Das finde ich anstrengend.
• Erster Schritt wäre für mich: Die einzelnen Dienste sauber absichern
• Fail2Ban gegen Bruteforce aller Dienste(auch die Webdienste)
• Samba am Internet? Da würde ich mich bzgl. Sicherheit noch mal genauer einlesen.
• FTP: Wenn es nicht schon FTPS ist und nicht unbedingt benötigt wird: Weg damit! (Sprich: Ersetzen durch etwas sichereres, z. B.: SFTP)
• Web, File, FTP,... und Backup: Ein Backup auf dem Produktivsystem ist IMHO kein ausreichendes Backup

Vielleicht habe ich es zu grob angeschnitten: Fail2Ban läuft bereits und Samba läuft nicht direkt im Internet, sondern lediglich auf dem Server, der auch über das Internet über einzelne Dienste erreichbar ist. Und ja, es läuft ein SFTP. Mit dem Backup sollte ich so auskommen, denn ich finde, sich im Privatbereich eine zweite Maschine hinzustellen schon etwas overkill.

[heisenberg]

Mit dem Backup sollte ich so auskommen, denn ich finde, sich im Privatbereich eine zweite Maschine hinzustellen schon etwas overkill.

Man könnte ja nochmal einen regelmässigen rsync auf den Desktop-PC zu Hause machen, wenn da Linux drauf läuft. Es kann ja durchaus mal sein, dass Dein Hoster sagt: Tut uns leid, trotz RAID ist der Host kaputt.(etc. ...) Bitte installieren Sie Ihr Betriebssystem neu. Kommt natürlich immer drauf an, wie wichtig die Daten sind. Ein gutes Backup spart jede Menge Nerven, wenn Du es mal brauchst.

Auch auf die Gefahr hin, dass ich nerve, sind für alle Dienste Fail2Ban Konfigurationen eingerichtet(Bei Bedarf einfach ignorieren)?

• owncloud(AFAIU hast Du das ja noch nicht am laufen)
• roundcube
• SSH(Ist ja per default an)
• PHPMyAdmin
• Baikal(Da wär's mir ja wurscht)
• SMTP / POP3 / IMAP

[weshalb]

Mit dem Backup sollte ich so auskommen, denn ich finde, sich im Privatbereich eine zweite Maschine hinzustellen schon etwas overkill.

Man könnte ja nochmal einen regelmässigen rsync auf den Desktop-PC zu Hause machen, wenn da Linux drauf läuft. Es kann ja durchaus mal sein, dass Dein Hoster sagt: Tut uns leid, trotz RAID ist der Host kaputt.(etc. ...) Bitte installieren Sie Ihr Betriebssystem neu. Kommt natürlich immer drauf an, wie wichtig die Daten sind. Ein gutes Backup spart jede Menge Nerven, wenn Du es mal brauchst.

Auch auf die Gefahr hin, dass ich nerve, sind für alle Dienste Fail2Ban Konfigurationen eingerichtet(Bei Bedarf einfach ignorieren)?

• owncloud(AFAIU hast Du das ja noch nicht am laufen)
• roundcube
• SSH(Ist ja per default an)
• PHPMyAdmin
• Baikal(Da wär's mir ja wurscht)
• SMTP / POP3 / IMAP

Die Platten fürs Raid spare ich mir lieber für die Backups. Fail2ban läuft auf allen von Dir genannten Diensten , PHPMyadmin ist zudem nur von innen erreichbar und zusätzlich mit einer HtAccess gesichert.

[ThorstenS]

Ich benutze generell das hier im Apache vHost:

Code: Alles auswählen

  <location />
    Satisfy Any
    # Starke Authentisierung:
    Order allow,deny
    Allow from 192.168.0.0/17  
    # Schwache Authentisierung:
    AuthType Basic
    AuthName "Server Anmeldung mit LDAP-Benutzernamen. Beschraenkt auf die Gruppe Domain Users"
    AuthBasicProvider ldap
    AuthLDAPURL "ldap://ldap-master:389/dc=meine,dc=domain,dc=tld?uid"
    AuthLDAPBindDN "uid=apacheauth,cn=users,dc=meine,dc=domain,dc=tld"
    AuthLDAPBindPassword "$supergeheim"
    Require ldap-group cn=Domain Admins,cn=groups,dc=meine,dc=domain,dc=tld
    #require valid-user
  </location>

Damit kann ich den Webserver aus meinem inneren Netz ohne VorschaltPW erreichen, von außen muss man sich mit seinen LDAP Credentials anmelden.

[weshalb]

Also schließe ich erstmal aus den Antworten, dass ich keine Splittung via Container benötige, sondern Fail2Ban reichen sollte?

Wie sieht es mit Schwachstellen in Apache/ PHP selbst aus, auch wenn ich jegliche Sicherheitsupdates fahre? Könnte dadurch beispielsweise ein Angreifer auf die Homepartition zugreifen oder ist das eher ausgeschlossen?

[heisenberg]

Wie sieht es mit Schwachstellen in Apache/ PHP selbst aus, auch wenn ich jegliche Sicherheitsupdates fahre? Könnte dadurch beispielsweise ein Angreifer auf die Homepartition zugreifen oder ist das eher ausgeschlossen?

Ja. Die Gefahr vom Webserver und den PHP-Programmen würde ich hoch einstufen. Das abzutrennen finde ich sinnvoll. Hat ein Angreifer irgendeine Sicherheitslücke ausgenutzt, hat er schnell mal Zugriffsrechte auf den ganzen Server mit dem Benutzer des Webservers und das heisst ja in der Voreinstellung schon weitreichende Leserechte.

Die Situation könnte man alleine durch eine restriktivere Rechtevergabe deutlich verbessern(Rechte für Andere aus allen sensiblen Bereichen entfernen).

[weshalb]

OK, also könnte man theoretisch auch einen Container mit Mailserver, Webzeug und Datenbanken laufen lassen, den man gegen das Hostsystem, indem sich die Dateien befinden, aussperrt?

[heisenberg]

Na klar geht das.