Debian 12 absichern

Alles rund um sicherheitsrelevante Fragen und Probleme.
Antworten
HansGraefe
Beiträge: 47
Registriert: 06.05.2022 15:04:32

Debian 12 absichern

Beitrag von HansGraefe » 08.08.2024 08:48:38

Hallo,

ich habe mal geschaut nach Tutorials etc. in denen Schritte aufgezeigt werden, Debian (12) / Linux abzusichern. Leider ist vieles veraltet bzw. ich kenne und mache es schon, zB.

- unattended-upgrades
- Firewall INPUT/OUTPUT auf DROP, nur freigeben was nötig ist
- SSH mit AllowUsers absichern bzw in der Firewall Zugriff auf IP beschränken (wenn möglich)
- Keine unnötigen Dienste laufen lassen
- Admin-Webinterfaces (zB. Proxmox) nur per SSH-Tunnel erreichbar machen
- fail2ban

Mich würde interessieren, was kann man noch machen? Es geht mir um Server die entweder direkt per öffentlicher IP erreichbar sind oder indirekt zB. über ein Port Forwarding.

Ich frage mich zB. ob AppArmor in der Standardkonfig passt oder müsste man da noch etwas einrichten? Früher hatte ich noch grsecurity installiert, das gibt es ja leider nicht mehr frei.

Ganz früher, ich glaube zu Sarge Zeiten, hat mal ein Debianer (nach meiner Kenntnis jemand der absolut Ahnung hat(te)), gesagt, wenn man ein Debian frisch/aktuell per NetInstall installiert und direkt ins Netz hängt, keine Maßnahmen zur Absicherung ergreift, ist es in kurzer Zeit gehackt. Ich bin mir nicht sicher ob / inwieweit sich das geändert hat.

Habt ihr vielleicht noch Tipps was man machen könnte? Oder bin ich zu paranoid? Reichen obige Standards?

Benutzeravatar
Saxman
Beiträge: 4233
Registriert: 02.05.2005 21:53:52
Lizenz eigener Beiträge: MIT Lizenz
Wohnort: localhost

Re: Debian 12 absichern

Beitrag von Saxman » 08.08.2024 09:47:35

HansGraefe hat geschrieben: ↑ zum Beitrag ↑
08.08.2024 08:48:38
Habt ihr vielleicht noch Tipps was man machen könnte? Oder bin ich zu paranoid? Reichen obige Standards?
Debian ist von Haus aus nicht besonders sicher konfiguriert, da macht es durchaus noch Sinn selber Hand anzulegen. Wenn du dein System weiter absichern möchtest kannst du dir z.B den Report von lynis anschauen und die einzelnen Punkte die dein System betreffen abarbeiten. Was ich noch machen würde, wäre mir apparmor genauer anzuschauen. Viele Sachen sind standardmäßig nur im complain und nicht im enforce modus. Das bringt sicherheitstechnisch nicht soviel. Ansonsten liegt Debian auch, was systemd sandboxing betrifft, noch ziemlich brach, da könntest du noch einiges an Optimierungen an den einzelnen Diensten vornehmen. firejail ist auch noch ganz brauchbar, wenn man noch weitere Sanboxing Funktionen nutzen möchte.

Damit könntest du dich z.B etwas beschäftigen.
"Unix is simple. It just takes a genius to understand its simplicity." - Dennis Ritchie

Debian GNU/Linux Anwenderhandbuch | df.de Verhaltensregeln | Anleitungen zum Review und zum Verfassen von Wiki Artikeln.

HansGraefe
Beiträge: 47
Registriert: 06.05.2022 15:04:32

Re: Debian 12 absichern

Beitrag von HansGraefe » 08.08.2024 10:16:26

Saxman hat geschrieben: ↑ zum Beitrag ↑
08.08.2024 09:47:35
HansGraefe hat geschrieben: ↑ zum Beitrag ↑
08.08.2024 08:48:38
Habt ihr vielleicht noch Tipps was man machen könnte? Oder bin ich zu paranoid? Reichen obige Standards?
Debian ist von Haus aus nicht besonders sicher konfiguriert, da macht es durchaus noch Sinn selber Hand anzulegen. Wenn du dein System weiter absichern möchtest kannst du dir z.B den Report von lynis anschauen und die einzelnen Punkte die dein System betreffen abarbeiten. Was ich noch machen würde, wäre mir apparmor genauer anzuschauen. Viele Sachen sind standardmäßig nur im complain und nicht im enforce modus. Das bringt sicherheitstechnisch nicht soviel. Ansonsten liegt Debian auch, was systemd sandboxing betrifft, noch ziemlich brach, da könntest du noch einiges an Optimierungen an den einzelnen Diensten vornehmen. firejail ist auch noch ganz brauchbar, wenn man noch weitere Sanboxing Funktionen nutzen möchte.

Damit könntest du dich z.B etwas beschäftigen.
Lynis, das kannte ich noch nicht, schau ich mir gleich an, super Tipp! :mrgreen: :THX:
OK, AppArmor schaue ich mir dann auch mal näher an, da ist vielleicht

https://wiki.debian.org/AppArmor/HowToUse

ein guter Start. Danke dir!

PS: auf einem Host-System auf dem Proxmox läuft:

Code: Alles auswählen

root@server ~ # aa-status
apparmor module is loaded.
19 profiles are loaded.
19 profiles are in enforce mode.
   /usr/bin/lxc-copy
   /usr/bin/lxc-start
   /usr/bin/man
   /usr/lib/NetworkManager/nm-dhcp-client.action
   /usr/lib/NetworkManager/nm-dhcp-helper
   /usr/lib/connman/scripts/dhclient-script
   /usr/sbin/chronyd
   /{,usr/}sbin/dhclient
   lsb_release
   lxc-container-default
   lxc-container-default-cgns
   lxc-container-default-with-mounting
   lxc-container-default-with-nesting
   man_filter
   man_groff
   nvidia_modprobe
   nvidia_modprobe//kmod
   pve-container-mounthotplug
   swtpm
0 profiles are in complain mode.
0 profiles are in kill mode.
0 profiles are in unconfined mode.
3 processes have profiles defined.
3 processes are in enforce mode.
   /usr/sbin/chronyd (719)
   /usr/sbin/chronyd (725)
   /usr/bin/swtpm (1640) swtpm
0 processes are in complain mode.
0 processes are unconfined but have a profile defined.
0 processes are in mixed mode.
0 processes are in kill mode.
root@server ~ #

Scheinbar alles schon im enforce mode.

Benutzeravatar
Saxman
Beiträge: 4233
Registriert: 02.05.2005 21:53:52
Lizenz eigener Beiträge: MIT Lizenz
Wohnort: localhost

Re: Debian 12 absichern

Beitrag von Saxman » 08.08.2024 18:35:04

HansGraefe hat geschrieben: ↑ zum Beitrag ↑
08.08.2024 10:16:26

PS: auf einem Host-System auf dem Proxmox läuft:

Code: Alles auswählen

root@server ~ # aa-status
apparmor module is loaded.
19 profiles are loaded.
19 profiles are in enforce mode.
  ...
Scheinbar alles schon im enforce mode.
Bei dir sind nur sehr wenige module geladen. Debian bringt noch weitere Profile (apparmor-profiles und apparmor-profiles-extra) mit, falls du die auch noch installieren möchtest.

Bei mir sind es deutlich mehr

Code: Alles auswählen

# aa-status
apparmor module is loaded.
81 profiles are loaded.
55 profiles are in enforce mode.
...
Wirklich wichtig ist aber eh nur die Angabe.

Code: Alles auswählen

35 processes have profiles defined.
35 processes are in enforce mode.
Bzw. bei dir

Code: Alles auswählen

3 processes have profiles defined.
3 processes are in enforce mode.
   /usr/sbin/chronyd (719)
   /usr/sbin/chronyd (725)
   /usr/bin/swtpm (1640) swtpm
Das sind die Prozesse, die tatsächlich geschützt werden.
"Unix is simple. It just takes a genius to understand its simplicity." - Dennis Ritchie

Debian GNU/Linux Anwenderhandbuch | df.de Verhaltensregeln | Anleitungen zum Review und zum Verfassen von Wiki Artikeln.

Benutzeravatar
oln
Beiträge: 539
Registriert: 05.01.2021 09:41:24

Re: Debian 12 absichern

Beitrag von oln » 09.08.2024 07:33:25

Moin,
HansGraefe hat geschrieben: ↑ zum Beitrag ↑
08.08.2024 08:48:38
Ganz früher, ich glaube zu Sarge Zeiten, hat mal ein Debianer (nach meiner Kenntnis jemand der absolut Ahnung hat(te)), gesagt, wenn man ein Debian frisch/aktuell per NetInstall installiert und direkt ins Netz hängt, keine Maßnahmen zur Absicherung ergreift, ist es in kurzer Zeit gehackt. Ich bin mir nicht sicher ob / inwieweit sich das geändert hat.
den möchte ich mal sehen, der so etwas behauptet. Bei einer Minimalinstallation ist ja nicht mal ein SSH-Server drauf.
Auf welchen Port soll dann eingebrochen werden?

Es kommt doch darauf an, wieviel und welche Dienste ich installiert habe und nach außen offen sind.
Da kömmen dann Fragern auf, muss der Dienst von außen errreichbar sein(usw.)?
Um die Ports zu schützen hilft dann schon Fail2Ban oder pur Iptables.
AppAmor schützt dich doch nur, wenn schon jemand eingebrochen ist oder der Server von vielen Menschen betreten werden darf.
Gruß Ole
AbuseIPDB

mat6937
Beiträge: 3372
Registriert: 09.12.2014 10:44:00

Re: Debian 12 absichern

Beitrag von mat6937 » 10.08.2024 07:38:07

oln hat geschrieben: ↑ zum Beitrag ↑
09.08.2024 07:33:25
Auf welchen Port soll dann eingebrochen werden?
Evtl. meinte er, via Browser? Siehe z. B.: https://www.bleepingcomputer.com/news/s ... n-attacks/

EDIT:

Zero Trust Security
Zuletzt geändert von mat6937 am 10.08.2024 10:54:17, insgesamt 1-mal geändert.
Debian 12.8 mit LXDE, OpenBSD 7.6 mit i3wm, FreeBSD 14.1 mit Xfce

Benutzeravatar
whisper
Beiträge: 3379
Registriert: 23.09.2002 14:32:21
Lizenz eigener Beiträge: GNU Free Documentation License
Kontaktdaten:

Re: Debian 12 absichern

Beitrag von whisper » 10.08.2024 09:09:12

Also fail2ban, ordentlich eingerichtet kann schon etwas Schutz bieten.
4958
Das ist aber allerdings keine Minimalinstallation auf dem Server ...
ps: wenn die stinkende Eigenwerbung stören sollte, lösche ich den Post wieder
Alter ist übrigens keine Ausrede, nur Erfahrung, die sich stapelt. 😉

Benutzeravatar
OrangeJuice
Beiträge: 629
Registriert: 12.06.2017 15:12:40

Re: Debian 12 absichern

Beitrag von OrangeJuice » 11.08.2024 07:13:43

mat6937 hat geschrieben: ↑ zum Beitrag ↑
10.08.2024 07:38:07
Evtl. meinte er, via Browser? Siehe z. B.: https://www.bleepingcomputer.com/news/s ... n-attacks/
Gibt es eine Distribution die das nicht so handhabt, wie z.B. Ubuntu? Oder können Flatpak/ Snap etwas verhindern?

Benutzeravatar
oln
Beiträge: 539
Registriert: 05.01.2021 09:41:24

Re: Debian 12 absichern

Beitrag von oln » 12.08.2024 07:22:10

mat6937 hat geschrieben: ↑ zum Beitrag ↑
10.08.2024 07:38:07
Evtl. meinte er, via Browser? Siehe z. B.: https://www.bleepingcomputer.com/news/s ... n-attacks/
Minimalinstallation mit UI? Da ist nix mit Browser o.Ä.
Gruß Ole
AbuseIPDB

Antworten