Morgen.
Ich beschäftige mich zur Zeit etwas ausführlicher mit Sicherheit unter Debian ( eigentlich Linux im allgemeinen ). Wie man ein System absichert und härtet wird ja sehr schön beschrieben.
Mich würde jetzt allerdings interessieren wie sicher die Standartkonfiguration von Debian aufbauend auf eine Grundinstallation ist , sprich :
Ich installieren ein reines Grundsystem und installiere nur die Software (server) die ich benötige.
Der Server sitzt hinter einem Router (mit dyndns adresse) mit Portforwarding auf Apache2(php5) und einen Postfix / Courier und einen SSH server (manipulierte Versionausgabe und Port verändert).
Es existieren weiter keine Packete auser dem Grundystem und dem was benötigt wurde um die Server zum laufen zu bekommen.
Sicherheitsupdates werden täglich per cron eingespielt .
Wie hoch muss ich das Risiko bei einer derartigen Installation einschätzen wenn keine Zusätzlichen Maßnahmen ergriffen werden um das System weiter zu härten ?
Sollte man sowas gar nicht erst ans Netz lassen , oder ist das Risiko eher kalkulierbar ?
Gruß Sono
Wie sicher ist die Standartkonfiguratuion als Server ?
Mahlzeit!
Ich erlaub' mir mal ein paar wahllose Bemerkungen:
Bei der Installation gibt es eine Frage, wo man verschiedene Servertypen, Desktop
und manuelle Paketauswahl ankreuzen kann. Die Auswahl ist natuerlich viel zu
pauschal, aber wenn man hier nichts ankreuzt wird deutlich mehr installiert,
als wenn man "manuelle Paketauswahl" ankreuzt und dann keine Pakete auswaehlt.
Der Unterschied sind vor allem Entwicklungswerkzeuge, aber die sind ja auf so einem
Server nicht noetig.
Debians Default-Konfiguration koennte stellenweise sicherer sein, z.B. lauscht Samba
erstmal an allen Interfaces. Der ntpd ist auch von aussen erreichbar, aber das ist nicht
Debians Schuld, der kann nicht anders. Dann laeuft standardmaessig der portmapper.
PHP5 ist ja ziemlich neu, da findet sich bestimmt noch ein kleines Loch
Hier hat gms wirklich schoen erklaert, wozu eine Firewall gut ist.
Noch ein ganz anderes Risiko: Was passiert, wenn beim automatischen Update eine
Frage gestellt wird? Wenn die automatisch falsch beantwortet wird? Oder bei einem
Kernel-Update?
Ich erlaub' mir mal ein paar wahllose Bemerkungen:
Bei der Installation gibt es eine Frage, wo man verschiedene Servertypen, Desktop
und manuelle Paketauswahl ankreuzen kann. Die Auswahl ist natuerlich viel zu
pauschal, aber wenn man hier nichts ankreuzt wird deutlich mehr installiert,
als wenn man "manuelle Paketauswahl" ankreuzt und dann keine Pakete auswaehlt.
Der Unterschied sind vor allem Entwicklungswerkzeuge, aber die sind ja auf so einem
Server nicht noetig.
Debians Default-Konfiguration koennte stellenweise sicherer sein, z.B. lauscht Samba
erstmal an allen Interfaces. Der ntpd ist auch von aussen erreichbar, aber das ist nicht
Debians Schuld, der kann nicht anders. Dann laeuft standardmaessig der portmapper.
PHP5 ist ja ziemlich neu, da findet sich bestimmt noch ein kleines Loch
Hier hat gms wirklich schoen erklaert, wozu eine Firewall gut ist.
Noch ein ganz anderes Risiko: Was passiert, wenn beim automatischen Update eine
Frage gestellt wird? Wenn die automatisch falsch beantwortet wird? Oder bei einem
Kernel-Update?
Beware of programmers who carry screwdrivers.
Den Abschnitt habe ich übersprungen. Ich habe die Netinstall CD genommen und die stelle in base-config an der apt etwas installieren wollte übersprungen.Bei der Installation gibt es eine Frage, wo man verschiedene Servertypen, Desktop
und manuelle Paketauswahl ankreuzen kann. Die Auswahl ist natuerlich viel zu
pauschal, aber wenn man hier nichts ankreuzt wird deutlich mehr installiert,
als wenn man "manuelle Paketauswahl" ankreuzt und dann keine Pakete auswaehlt.
Der Unterschied sind vor allem Entwicklungswerkzeuge, aber die sind ja auf so einem
Server nicht noetig.
Also auf das System kam auser den Packeten der Netinstall CD den Sicherheitsupdates , locales und vim keine neue Software . Auser eben Apache2 php5 sowie postfix und courier und ssh .
Es sind genau 5 Ports offen :
apache , postfix , courier imap / smtp und ssh .
Entwicklunsgwerckzeuge wie der gcc make oder irgendwelche -dev Packete sind nicht auf dem System , darauf hab ich geachtet . Den SSH hab ich auf einem anderen Rechner Kompiliert .
Die Automatischen Updates werden mit y beantwortet .
Mit dem Kernel wird nicht passieren , den hab ich selbst kompiliert (ebenfalls auf einem anderen System) den muss ich selbst patchen, bzw neu kompilieren sollte es da probleme geben.
Die Firewall sitzt vor dem Server es kommen nur (allerdings noch ungefilterte) Anfragen auf besagte Ports durch .
PHP5 ist notwendig , da ich nur noch in php5 code.
Das mit den Automatischen updates (wurde hier im forum auch schon empfohlen) ist wohl ein zweischneidiges Schwert , könnte etwas uncool kommen wenn mir meine Confs mit denen des Maintainers überschrieben werden würden, aber wenn das automatisch immer passieren würde das regelmäsig Serverconfdateien gekillt werden würden , wäre das ja komplett unbrauchbar und das kann ich mir nicht ganz vorstellen oder ist es doch so ?
Gruß Sono
jojo