Debian 12 absichern

[HansGraefe]

Hallo,

ich habe mal geschaut nach Tutorials etc. in denen Schritte aufgezeigt werden, Debian (12) / Linux abzusichern. Leider ist vieles veraltet bzw. ich kenne und mache es schon, zB.

- unattended-upgrades
- Firewall INPUT/OUTPUT auf DROP, nur freigeben was nötig ist
- SSH mit AllowUsers absichern bzw in der Firewall Zugriff auf IP beschränken (wenn möglich)
- Keine unnötigen Dienste laufen lassen
- Admin-Webinterfaces (zB. Proxmox) nur per SSH-Tunnel erreichbar machen
- fail2ban

Mich würde interessieren, was kann man noch machen? Es geht mir um Server die entweder direkt per öffentlicher IP erreichbar sind oder indirekt zB. über ein Port Forwarding.

Ich frage mich zB. ob AppArmor in der Standardkonfig passt oder müsste man da noch etwas einrichten? Früher hatte ich noch grsecurity installiert, das gibt es ja leider nicht mehr frei.

Ganz früher, ich glaube zu Sarge Zeiten, hat mal ein Debianer (nach meiner Kenntnis jemand der absolut Ahnung hat(te)), gesagt, wenn man ein Debian frisch/aktuell per NetInstall installiert und direkt ins Netz hängt, keine Maßnahmen zur Absicherung ergreift, ist es in kurzer Zeit gehackt. Ich bin mir nicht sicher ob / inwieweit sich das geändert hat.

Habt ihr vielleicht noch Tipps was man machen könnte? Oder bin ich zu paranoid? Reichen obige Standards?

[Saxman]

Habt ihr vielleicht noch Tipps was man machen könnte? Oder bin ich zu paranoid? Reichen obige Standards?

Debian ist von Haus aus nicht besonders sicher konfiguriert, da macht es durchaus noch Sinn selber Hand anzulegen. Wenn du dein System weiter absichern möchtest kannst du dir z.B den Report von lynis anschauen und die einzelnen Punkte die dein System betreffen abarbeiten. Was ich noch machen würde, wäre mir apparmor genauer anzuschauen. Viele Sachen sind standardmäßig nur im complain und nicht im enforce modus. Das bringt sicherheitstechnisch nicht soviel. Ansonsten liegt Debian auch, was systemd sandboxing betrifft, noch ziemlich brach, da könntest du noch einiges an Optimierungen an den einzelnen Diensten vornehmen. firejail ist auch noch ganz brauchbar, wenn man noch weitere Sanboxing Funktionen nutzen möchte.

Damit könntest du dich z.B etwas beschäftigen.

[HansGraefe]

Habt ihr vielleicht noch Tipps was man machen könnte? Oder bin ich zu paranoid? Reichen obige Standards?

Debian ist von Haus aus nicht besonders sicher konfiguriert, da macht es durchaus noch Sinn selber Hand anzulegen. Wenn du dein System weiter absichern möchtest kannst du dir z.B den Report von lynis anschauen und die einzelnen Punkte die dein System betreffen abarbeiten. Was ich noch machen würde, wäre mir apparmor genauer anzuschauen. Viele Sachen sind standardmäßig nur im complain und nicht im enforce modus. Das bringt sicherheitstechnisch nicht soviel. Ansonsten liegt Debian auch, was systemd sandboxing betrifft, noch ziemlich brach, da könntest du noch einiges an Optimierungen an den einzelnen Diensten vornehmen. firejail ist auch noch ganz brauchbar, wenn man noch weitere Sanboxing Funktionen nutzen möchte.

Damit könntest du dich z.B etwas beschäftigen.

Lynis, das kannte ich noch nicht, schau ich mir gleich an, super Tipp!
OK, AppArmor schaue ich mir dann auch mal näher an, da ist vielleicht

https://wiki.debian.org/AppArmor/HowToUse

ein guter Start. Danke dir!

PS: auf einem Host-System auf dem Proxmox läuft:

Code: Alles auswählen

root@server ~ # aa-status
apparmor module is loaded.
19 profiles are loaded.
19 profiles are in enforce mode.
   /usr/bin/lxc-copy
   /usr/bin/lxc-start
   /usr/bin/man
   /usr/lib/NetworkManager/nm-dhcp-client.action
   /usr/lib/NetworkManager/nm-dhcp-helper
   /usr/lib/connman/scripts/dhclient-script
   /usr/sbin/chronyd
   /{,usr/}sbin/dhclient
   lsb_release
   lxc-container-default
   lxc-container-default-cgns
   lxc-container-default-with-mounting
   lxc-container-default-with-nesting
   man_filter
   man_groff
   nvidia_modprobe
   nvidia_modprobe//kmod
   pve-container-mounthotplug
   swtpm
0 profiles are in complain mode.
0 profiles are in kill mode.
0 profiles are in unconfined mode.
3 processes have profiles defined.
3 processes are in enforce mode.
   /usr/sbin/chronyd (719)
   /usr/sbin/chronyd (725)
   /usr/bin/swtpm (1640) swtpm
0 processes are in complain mode.
0 processes are unconfined but have a profile defined.
0 processes are in mixed mode.
0 processes are in kill mode.
root@server ~ #

Scheinbar alles schon im enforce mode.

[Saxman]

PS: auf einem Host-System auf dem Proxmox läuft:

Code: Alles auswählen

root@server ~ # aa-status
apparmor module is loaded.
19 profiles are loaded.
19 profiles are in enforce mode.
  ...

Scheinbar alles schon im enforce mode.

Bei dir sind nur sehr wenige module geladen. Debian bringt noch weitere Profile (apparmor-profiles und apparmor-profiles-extra) mit, falls du die auch noch installieren möchtest.

Bei mir sind es deutlich mehr

Code: Alles auswählen

# aa-status
apparmor module is loaded.
81 profiles are loaded.
55 profiles are in enforce mode.
...

Wirklich wichtig ist aber eh nur die Angabe.

Code: Alles auswählen

35 processes have profiles defined.
35 processes are in enforce mode.

Bzw. bei dir

Code: Alles auswählen

3 processes have profiles defined.
3 processes are in enforce mode.
   /usr/sbin/chronyd (719)
   /usr/sbin/chronyd (725)
   /usr/bin/swtpm (1640) swtpm

Das sind die Prozesse, die tatsächlich geschützt werden.

[oln]

Moin,

Ganz früher, ich glaube zu Sarge Zeiten, hat mal ein Debianer (nach meiner Kenntnis jemand der absolut Ahnung hat(te)), gesagt, wenn man ein Debian frisch/aktuell per NetInstall installiert und direkt ins Netz hängt, keine Maßnahmen zur Absicherung ergreift, ist es in kurzer Zeit gehackt. Ich bin mir nicht sicher ob / inwieweit sich das geändert hat.

den möchte ich mal sehen, der so etwas behauptet. Bei einer Minimalinstallation ist ja nicht mal ein SSH-Server drauf.
Auf welchen Port soll dann eingebrochen werden?

Es kommt doch darauf an, wieviel und welche Dienste ich installiert habe und nach außen offen sind.
Da kömmen dann Fragern auf, muss der Dienst von außen errreichbar sein(usw.)?
Um die Ports zu schützen hilft dann schon Fail2Ban oder pur Iptables.
AppAmor schützt dich doch nur, wenn schon jemand eingebrochen ist oder der Server von vielen Menschen betreten werden darf.

[mat6937]

Auf welchen Port soll dann eingebrochen werden?

Evtl. meinte er, via Browser? Siehe z. B.: https://www.bleepingcomputer.com/news/s ... n-attacks/

EDIT:

Zero Trust Security

[whisper]

Also fail2ban, ordentlich eingerichtet kann schon etwas Schutz bieten.

Das ist aber allerdings keine Minimalinstallation auf dem Server ...
ps: wenn die stinkende Eigenwerbung stören sollte, lösche ich den Post wieder

[OrangeJuice]

Evtl. meinte er, via Browser? Siehe z. B.: https://www.bleepingcomputer.com/news/s ... n-attacks/

Gibt es eine Distribution die das nicht so handhabt, wie z.B. Ubuntu? Oder können Flatpak/ Snap etwas verhindern?

[oln]

Evtl. meinte er, via Browser? Siehe z. B.: https://www.bleepingcomputer.com/news/s ... n-attacks/

Minimalinstallation mit UI? Da ist nix mit Browser o.Ä.