Sicherer vServer owncloud (Voraussetzungen)

[jpj]

Hallo Zusammen,

habe ein Frage bzgl. meines VServer`s.
Habe diesen gestern bekommen und es befindet sich Debian Squeeze drauf.
Der Sinn der Server ist, dass ich gerne owncloud drauf nutzen möchte als Dropboxalternative ohne truecrypt verwenden zu müssen bzgl. der Datensicherheit.

Bevor ich dies aber machen möchte muss der Server erst an sich sicher sein.
Habe daraufhin gestern ein paar Dinge vorab schon mal erledigt.

- Debian geupdatet
- SSH Port geändert
- root gesperrt
- extra user angelegt

Ich möchte einfach verhindern das jemand auf meinen Server schindluder treibt.
OwnCloud kann Daten zwar verschlüsselt speichern aber trotzdem habe ich einfach bedenken.

Da ich in der Debian-Server-Welt noch recht neu bin benötige ich noch ein paar Tips oder Hilfe wie und mit was ich den Server sicher mache damit ich ihn mit meinem gewünschten Dienst nutzen kann.

Vielen Dank schonmal

Grüße
jpj

[Six]

Der nächste Schritt wäre, unbenötigte Dienste abzuschalten und eine einfache Firewall zu bauen. ownCloud benutzt WebDAV für Syncing, welches via http/https läuft und entsprechende Ports belegt. Du kannst deinen Apache aber auch so konfigurieren, dass du einen anderen Port benutzt. Ist vielleicht keine schlechte Idee, wenn du die ownCloud nur alleine benutzen willst.

[jpj]

Alles klar danke schonmal. Ich werde die owncloud nur für mich nutzen.
Aktuell laufen nur diese Dienste.

Meinst du mit einfacher Firewall alle Ports sperren außer http/https/SSH Zugang ?

1 ? 00:00:06 init
1324 ? 00:00:00 syslogd
1334 ? 00:00:00 sshd
1354 ? 00:00:00 cron
1870 ? 00:00:00 sshd
1872 ? 00:00:00 sshd
1873 pts/0 00:00:00 bash
1882 pts/0 00:00:00 ps

Danke !

[Cae]

Meinst du mit einfacher Firewall alle Ports sperren außer http/https/SSH Zugang ?

Und sinnvollerweise die Antworten auf Anfragen auf diese Ports erlauben, damit du dich nicht selbst aussperrst.

Gruss Cae

[jpj]

Möchte erst alles sauber absichern bevor ist apache, mysql und php installiere.

Habe über die Suche das hier gefunden:

#!/bin/bash

# Erlaubte Ports definieren
iptables -I FORWARD 1 -p tcp -m multiport --dports 80,443,57000 -j ACCEPT
# Andere Ports für bestehende Verbindungen akzeptieren
iptables -I FORWARD 2 -m state --state ESTABLISHED,RELATED -j ACCEPT
# Restliche Ports sperren
iptables -I FORWARD 3 -j DROP

Wäre ein script das bei jemdem start ausgeführt wird.
Hätte Port 80 für http, 443 für SSL und 57000 als SSH zugang den ich geändert habe.
Wo muss so ein shell script rein? und wie schreibe ich das am besten bzw. wie mach ich ne neue datei?

Danke

[Cae]

Aufpassen, du willst keine dedizierte Firewall aufsetzen, sondern eine auf der Maschine selbst. Demnach ist FORWARD verkehrt, es muss INPUT bzw. OUTPUT sein. Ich hab' den Eindruck, dass du lieber gar keine Firewall einsetzen solltest, als eine, von der du nicht wirklich weisst, was sie tut.

Gruss Cae

[TRex]

Wenn du noch unsicher mit der Handhabung von iptables bist und auf einer physikalisch unerreichbaren Maschine frickelst, empfehle ich einen cronjob, der alle 15 Minuten die Firewallregeln löscht. Den aktivierst du, solange du daran arbeitest.

[jpj]

Danke für die Antworten und Tips.
Bis ich mich jetzt sauber bzgl. IPtables eingelesen habe, hab ich erstmal über virtuozzo alles dicht gemacht ausser den Port für Virtuozzo .

[AndyJ9]

Der Sinn der Server ist, dass ich gerne owncloud drauf nutzen möchte als Dropboxalternative ohne truecrypt verwenden zu müssen bzgl. der Datensicherheit.

Ich möchte einfach verhindern das jemand auf meinen Server schindluder treibt.

Ich empfehle Dir folgene Programme zur Überwachung und zur Absicherung zu überdenken:
-fail2ban (verhindert brute force Attacken)
-logcheck (informiert dich via Email wenn etwas ungewöhnliches in den Logfiles gefunden wurde)
-logwatch (gibt dir eine Zusammenfassung der Logfiles aus)
-suhosin - PHP absichern
-SSH nur mit public key

BruteForce:
-owncloud hat aktuell keinen Mechanismus um sich gegen brute force Attacken abzusichern.
-Es gibt eine Möglichkeit, das selber zu implementierer (using fail2ban with owncloud)
-Es wird wohl daran gearbeitet es auch in die owncloud.log zu implementieren, damit man fail2ban nutzen kann (owncloud logging)

Je nachdem wie du owncloud nutzen möchtest (Computer, Android, Iphone etc.) gibt es noch die Möglichkeit, welche ich nutze:
-owncloud ist von außen nicht erreichbar
-du verbindest dich via SSH-Tunnel in das interne Netzwerk und nutzt dann owncloud
-Vorteil: es muss erst SSH geknackt werden und das ist gut abzusichern
-Nachteil: du brauchst ein wenig mehr Software und es geht nicht voll automatisch (du musst erst den Tunnel "einschalten", danach geht owncloud automatisch)

Ich nutze auf meinem Android-Smartphone (welches gerootet sein muss), ProxyDroid und ConnectBot (ConnectBot mach den Tunnel, ProxyDroid sagt owncloud, dass der Tunnel als Proxy genutzt werden soll).
Auf einem Rechner benutzte ich einfach ein SSH-Tunnel Programm und sage dem OwncloudClient, er soll den Tunnel als Proxy benutzen.