Debian 12 absichern
-
- Beiträge: 47
- Registriert: 06.05.2022 15:04:32
Debian 12 absichern
Hallo,
ich habe mal geschaut nach Tutorials etc. in denen Schritte aufgezeigt werden, Debian (12) / Linux abzusichern. Leider ist vieles veraltet bzw. ich kenne und mache es schon, zB.
- unattended-upgrades
- Firewall INPUT/OUTPUT auf DROP, nur freigeben was nötig ist
- SSH mit AllowUsers absichern bzw in der Firewall Zugriff auf IP beschränken (wenn möglich)
- Keine unnötigen Dienste laufen lassen
- Admin-Webinterfaces (zB. Proxmox) nur per SSH-Tunnel erreichbar machen
- fail2ban
Mich würde interessieren, was kann man noch machen? Es geht mir um Server die entweder direkt per öffentlicher IP erreichbar sind oder indirekt zB. über ein Port Forwarding.
Ich frage mich zB. ob AppArmor in der Standardkonfig passt oder müsste man da noch etwas einrichten? Früher hatte ich noch grsecurity installiert, das gibt es ja leider nicht mehr frei.
Ganz früher, ich glaube zu Sarge Zeiten, hat mal ein Debianer (nach meiner Kenntnis jemand der absolut Ahnung hat(te)), gesagt, wenn man ein Debian frisch/aktuell per NetInstall installiert und direkt ins Netz hängt, keine Maßnahmen zur Absicherung ergreift, ist es in kurzer Zeit gehackt. Ich bin mir nicht sicher ob / inwieweit sich das geändert hat.
Habt ihr vielleicht noch Tipps was man machen könnte? Oder bin ich zu paranoid? Reichen obige Standards?
ich habe mal geschaut nach Tutorials etc. in denen Schritte aufgezeigt werden, Debian (12) / Linux abzusichern. Leider ist vieles veraltet bzw. ich kenne und mache es schon, zB.
- unattended-upgrades
- Firewall INPUT/OUTPUT auf DROP, nur freigeben was nötig ist
- SSH mit AllowUsers absichern bzw in der Firewall Zugriff auf IP beschränken (wenn möglich)
- Keine unnötigen Dienste laufen lassen
- Admin-Webinterfaces (zB. Proxmox) nur per SSH-Tunnel erreichbar machen
- fail2ban
Mich würde interessieren, was kann man noch machen? Es geht mir um Server die entweder direkt per öffentlicher IP erreichbar sind oder indirekt zB. über ein Port Forwarding.
Ich frage mich zB. ob AppArmor in der Standardkonfig passt oder müsste man da noch etwas einrichten? Früher hatte ich noch grsecurity installiert, das gibt es ja leider nicht mehr frei.
Ganz früher, ich glaube zu Sarge Zeiten, hat mal ein Debianer (nach meiner Kenntnis jemand der absolut Ahnung hat(te)), gesagt, wenn man ein Debian frisch/aktuell per NetInstall installiert und direkt ins Netz hängt, keine Maßnahmen zur Absicherung ergreift, ist es in kurzer Zeit gehackt. Ich bin mir nicht sicher ob / inwieweit sich das geändert hat.
Habt ihr vielleicht noch Tipps was man machen könnte? Oder bin ich zu paranoid? Reichen obige Standards?
- Saxman
- Beiträge: 4233
- Registriert: 02.05.2005 21:53:52
- Lizenz eigener Beiträge: MIT Lizenz
- Wohnort: localhost
Re: Debian 12 absichern
Debian ist von Haus aus nicht besonders sicher konfiguriert, da macht es durchaus noch Sinn selber Hand anzulegen. Wenn du dein System weiter absichern möchtest kannst du dir z.B den Report von lynis anschauen und die einzelnen Punkte die dein System betreffen abarbeiten. Was ich noch machen würde, wäre mir apparmor genauer anzuschauen. Viele Sachen sind standardmäßig nur im complain und nicht im enforce modus. Das bringt sicherheitstechnisch nicht soviel. Ansonsten liegt Debian auch, was systemd sandboxing betrifft, noch ziemlich brach, da könntest du noch einiges an Optimierungen an den einzelnen Diensten vornehmen. firejail ist auch noch ganz brauchbar, wenn man noch weitere Sanboxing Funktionen nutzen möchte.HansGraefe hat geschrieben:08.08.2024 08:48:38Habt ihr vielleicht noch Tipps was man machen könnte? Oder bin ich zu paranoid? Reichen obige Standards?
Damit könntest du dich z.B etwas beschäftigen.
"Unix is simple. It just takes a genius to understand its simplicity." - Dennis Ritchie
Debian GNU/Linux Anwenderhandbuch | df.de Verhaltensregeln | Anleitungen zum Review und zum Verfassen von Wiki Artikeln.
Debian GNU/Linux Anwenderhandbuch | df.de Verhaltensregeln | Anleitungen zum Review und zum Verfassen von Wiki Artikeln.
-
- Beiträge: 47
- Registriert: 06.05.2022 15:04:32
Re: Debian 12 absichern
Lynis, das kannte ich noch nicht, schau ich mir gleich an, super Tipp!Saxman hat geschrieben:08.08.2024 09:47:35Debian ist von Haus aus nicht besonders sicher konfiguriert, da macht es durchaus noch Sinn selber Hand anzulegen. Wenn du dein System weiter absichern möchtest kannst du dir z.B den Report von lynis anschauen und die einzelnen Punkte die dein System betreffen abarbeiten. Was ich noch machen würde, wäre mir apparmor genauer anzuschauen. Viele Sachen sind standardmäßig nur im complain und nicht im enforce modus. Das bringt sicherheitstechnisch nicht soviel. Ansonsten liegt Debian auch, was systemd sandboxing betrifft, noch ziemlich brach, da könntest du noch einiges an Optimierungen an den einzelnen Diensten vornehmen. firejail ist auch noch ganz brauchbar, wenn man noch weitere Sanboxing Funktionen nutzen möchte.HansGraefe hat geschrieben:08.08.2024 08:48:38Habt ihr vielleicht noch Tipps was man machen könnte? Oder bin ich zu paranoid? Reichen obige Standards?
Damit könntest du dich z.B etwas beschäftigen.
OK, AppArmor schaue ich mir dann auch mal näher an, da ist vielleicht
https://wiki.debian.org/AppArmor/HowToUse
ein guter Start. Danke dir!
PS: auf einem Host-System auf dem Proxmox läuft:
Code: Alles auswählen
root@server ~ # aa-status
apparmor module is loaded.
19 profiles are loaded.
19 profiles are in enforce mode.
/usr/bin/lxc-copy
/usr/bin/lxc-start
/usr/bin/man
/usr/lib/NetworkManager/nm-dhcp-client.action
/usr/lib/NetworkManager/nm-dhcp-helper
/usr/lib/connman/scripts/dhclient-script
/usr/sbin/chronyd
/{,usr/}sbin/dhclient
lsb_release
lxc-container-default
lxc-container-default-cgns
lxc-container-default-with-mounting
lxc-container-default-with-nesting
man_filter
man_groff
nvidia_modprobe
nvidia_modprobe//kmod
pve-container-mounthotplug
swtpm
0 profiles are in complain mode.
0 profiles are in kill mode.
0 profiles are in unconfined mode.
3 processes have profiles defined.
3 processes are in enforce mode.
/usr/sbin/chronyd (719)
/usr/sbin/chronyd (725)
/usr/bin/swtpm (1640) swtpm
0 processes are in complain mode.
0 processes are unconfined but have a profile defined.
0 processes are in mixed mode.
0 processes are in kill mode.
root@server ~ #
- Saxman
- Beiträge: 4233
- Registriert: 02.05.2005 21:53:52
- Lizenz eigener Beiträge: MIT Lizenz
- Wohnort: localhost
Re: Debian 12 absichern
Bei dir sind nur sehr wenige module geladen. Debian bringt noch weitere Profile (apparmor-profiles und apparmor-profiles-extra) mit, falls du die auch noch installieren möchtest.HansGraefe hat geschrieben:08.08.2024 10:16:26
PS: auf einem Host-System auf dem Proxmox läuft:
Scheinbar alles schon im enforce mode.Code: Alles auswählen
root@server ~ # aa-status apparmor module is loaded. 19 profiles are loaded. 19 profiles are in enforce mode. ...
Bei mir sind es deutlich mehr
Code: Alles auswählen
# aa-status
apparmor module is loaded.
81 profiles are loaded.
55 profiles are in enforce mode.
...
Code: Alles auswählen
35 processes have profiles defined.
35 processes are in enforce mode.
Code: Alles auswählen
3 processes have profiles defined.
3 processes are in enforce mode.
/usr/sbin/chronyd (719)
/usr/sbin/chronyd (725)
/usr/bin/swtpm (1640) swtpm
"Unix is simple. It just takes a genius to understand its simplicity." - Dennis Ritchie
Debian GNU/Linux Anwenderhandbuch | df.de Verhaltensregeln | Anleitungen zum Review und zum Verfassen von Wiki Artikeln.
Debian GNU/Linux Anwenderhandbuch | df.de Verhaltensregeln | Anleitungen zum Review und zum Verfassen von Wiki Artikeln.
Re: Debian 12 absichern
Moin,
Auf welchen Port soll dann eingebrochen werden?
Es kommt doch darauf an, wieviel und welche Dienste ich installiert habe und nach außen offen sind.
Da kömmen dann Fragern auf, muss der Dienst von außen errreichbar sein(usw.)?
Um die Ports zu schützen hilft dann schon Fail2Ban oder pur Iptables.
AppAmor schützt dich doch nur, wenn schon jemand eingebrochen ist oder der Server von vielen Menschen betreten werden darf.
den möchte ich mal sehen, der so etwas behauptet. Bei einer Minimalinstallation ist ja nicht mal ein SSH-Server drauf.HansGraefe hat geschrieben:08.08.2024 08:48:38Ganz früher, ich glaube zu Sarge Zeiten, hat mal ein Debianer (nach meiner Kenntnis jemand der absolut Ahnung hat(te)), gesagt, wenn man ein Debian frisch/aktuell per NetInstall installiert und direkt ins Netz hängt, keine Maßnahmen zur Absicherung ergreift, ist es in kurzer Zeit gehackt. Ich bin mir nicht sicher ob / inwieweit sich das geändert hat.
Auf welchen Port soll dann eingebrochen werden?
Es kommt doch darauf an, wieviel und welche Dienste ich installiert habe und nach außen offen sind.
Da kömmen dann Fragern auf, muss der Dienst von außen errreichbar sein(usw.)?
Um die Ports zu schützen hilft dann schon Fail2Ban oder pur Iptables.
AppAmor schützt dich doch nur, wenn schon jemand eingebrochen ist oder der Server von vielen Menschen betreten werden darf.
Gruß Ole
AbuseIPDB
AbuseIPDB
Re: Debian 12 absichern
Evtl. meinte er, via Browser? Siehe z. B.: https://www.bleepingcomputer.com/news/s ... n-attacks/
EDIT:
Zero Trust Security
Zuletzt geändert von mat6937 am 10.08.2024 10:54:17, insgesamt 1-mal geändert.
Debian 12.8 mit LXDE, OpenBSD 7.6 mit i3wm, FreeBSD 14.1 mit Xfce
- whisper
- Beiträge: 3379
- Registriert: 23.09.2002 14:32:21
- Lizenz eigener Beiträge: GNU Free Documentation License
-
Kontaktdaten:
Re: Debian 12 absichern
Also fail2ban, ordentlich eingerichtet kann schon etwas Schutz bieten.
Das ist aber allerdings keine Minimalinstallation auf dem Server ...
ps: wenn die stinkende Eigenwerbung stören sollte, lösche ich den Post wieder
Das ist aber allerdings keine Minimalinstallation auf dem Server ...
ps: wenn die stinkende Eigenwerbung stören sollte, lösche ich den Post wieder
Alter ist übrigens keine Ausrede, nur Erfahrung, die sich stapelt.
- OrangeJuice
- Beiträge: 629
- Registriert: 12.06.2017 15:12:40
Re: Debian 12 absichern
Gibt es eine Distribution die das nicht so handhabt, wie z.B. Ubuntu? Oder können Flatpak/ Snap etwas verhindern?mat6937 hat geschrieben:10.08.2024 07:38:07Evtl. meinte er, via Browser? Siehe z. B.: https://www.bleepingcomputer.com/news/s ... n-attacks/
Re: Debian 12 absichern
Minimalinstallation mit UI? Da ist nix mit Browser o.Ä.mat6937 hat geschrieben:10.08.2024 07:38:07Evtl. meinte er, via Browser? Siehe z. B.: https://www.bleepingcomputer.com/news/s ... n-attacks/
Gruß Ole
AbuseIPDB
AbuseIPDB