Ik vroeg me af ben nu beetje aan et aanklooien met Debian wat jullie zoal installeren aan firewall etc software, heb een klein lijstje waar ik aan dacht maar misschien hebben jullie nog ideeën ?

Tripware
ProFTPd
Apache
MySQL
PHP
BIND
Postfix
Webalizer
Nagios ??
rootkit checker ???


Alvast bedankt,

Norman

gewoon wat tooltjes zoals nmap, traceroute, wget etc

Hieronder wat tips/opmerkingen:

Als je dan een rootkit checker installeert doe het dan zeker niet op de server die je wilt checken. Je rootkitchecker zal maar geroot worden.... Zet zo'n checker bij voorkeur op een read-only partitie (ook niet echt veilig als iemand root heeft) of nog beter op een CDROM die je in je server laat zitten. Zelfde geldt voor alle security tools die je puur alleen nodig hebt om te scannen of je server nog in orde is.

Firewall software heb je eigenlijk alleen nodig als je bv. het aantal pings wilt beperken. Voor de rest draai je als het goed is alleen maar diensten die vanaf het internet benaderd moeten worden dus een firewall heeft weinig zin naar mijn idee.

Kijk voor de statistieken ook eens naar awstats. Erg goed statiestiekenprogramma en naar mijn mening beter dan webalizer.

Nagios zet je bij voorkeur op een aparte server. Mocht je web/mail/etc server eruit liggen dan detecteert nagios dat tenminste. Je web/mail/etc server zal vanwege alle gebruikers die erop zitten eerder problemen veroorzaken dan een server waar jijzelf alleen actief op bent.

Plaats bij voorkeur ook bind op een aparte server. Draai het in iedergeval in chroot.

Voor de rest heb je denk ik wel een aardig lijstje. Misschien nog een kernel toevoegen met grsec erin en een goede configuratie erbij.

PS. het is overigens Tripwire (met een i)

Ik zou je aanraden om php met flink wat extra opties te compilen, zoals gd, imap, ftp, enz enz.. en bijv iets als suphp (www.suphp.org) (zie de handleiding daarvoor die hier ergens op het forum staat) te draaien, want php is standaard namelijk lek: users kunnen elkaars php files lezen omdat die leesbaar moeten zijn voor de webserver.

Origineel geplaatst door svbeek
Ik zou je aanraden om php met flink wat extra opties te compilen, zoals gd, imap, ftp, enz enz.. en bijv iets als suphp (www.suphp.org) (zie de handleiding daarvoor die hier ergens op het forum staat) te draaien, want php is standaard namelijk lek: users kunnen elkaars php files lezen omdat die leesbaar moeten zijn voor de webserver.
PHP is niet lek, de manier (een van de manieren) van integratie met de webserver software is niet goed geregeld waardoor PHP onder dezelfde permissies draait als de webserver. Das wel een verschil.

Mjah ok lek is misschien niet helemaal het goede woord.. maar tis iig wel handig om het niet zo te laten draaien.. t ging me er vooral om dat even duidelijk te maken :)

Ach, als je de gebruikers geen shell geeft, proftp zo instelt dat ze niet buiten hun homedir kunnen komen en safemode aanzet in PHP, is er mijns inziens niet zoveel aan de hand.

Zelf ben ik niet zo'n fan van postfix, gebruik liever Qmail of Exim, overigens.

Bind is overigens ook een afrader. Gebruik liever PowerDNS.

Wat verder handig is: grsecurity kernelpatch, webmin en alle development tools (apt-get install build-essential).

kijk dit zijn handige reacties :):)

Trouwens nog een vraag, hoe hebben de meeste van jullie je server gepartitioneerd ?
Alles apart + aparte voor mail, of gewoon 1 partitie of al1 root en home ?

Origineel geplaatst door Unexplained
Ach, als je de gebruikers geen shell geeft, proftp zo instelt dat ze niet buiten hun homedir kunnen komen en safemode aanzet in PHP, is er mijns inziens niet zoveel aan de hand.

Zelf ben ik niet zo'n fan van postfix, gebruik liever Qmail of Exim, overigens.

Bind is overigens ook een afrader. Gebruik liever PowerDNS.

Wat verder handig is: grsecurity kernelpatch, webmin en alle development tools (apt-get install build-essential).
Development tools op een hostingserver? Waarom? Eigenlijk is het niet nodig en alleen handig voor de gasten die op je server proberen binnen te komen. Debian heeft ook een kernel package systeem waarmee je makkelijk een nieuwe kernel versie kunt compilen op een development systeem en daarna het .deb bestand naar je server overzet en installeert.

PS. Gisteren weer een leuke kernel compile dag geweest...

Je zou bijv je logfiles en je tmp dir op een aparte partitie kunnen zetten om ervoor te zorgen dat de rest van het systeem er geen last van heeft als deze te groot worden / de partitie volloopt. Enneuh je kan ze mounten met een nosuid optie, wat ook weer wat extra veiligheid geeft. Maar dat is wel terug te vinden in de partition howto (http://www.tldp.org/HOWTO/Partition/partition-4.html#NUMBER) En verder zou je dit docje eens door kunnen lezen, het bevat veel goede tips: http://www.faqs.org/docs/securing/

Suc6 ermee

Origineel geplaatst door Myrdhin
Hieronder wat tips/opmerkingen:

Firewall software heb je eigenlijk alleen nodig als je bv. het aantal pings wilt beperken. Voor de rest draai je als het goed is alleen maar diensten die vanaf het internet benaderd moeten worden dus een firewall heeft weinig zin naar mijn idee.



Is het niet juist handig om alle andere poorten (die je dus niet benaderd wilt hebben) dicht te zetten?

Als daar nix op draait hoef je ze dus ook niet te blokkeren :)
Alleen wel ff oplettten dat users geen dingen gaan draaien die je niet wilt..

Zit wat in... toch neem ik liever het zekere voor het onzekere en zet er maar een firewall op :-)

Origineel geplaatst door RobTD
Zit wat in... toch neem ik liever het zekere voor het onzekere en zet er maar een firewall op :-)
[wat minder nuttige reply]
Je zal je SSH poort maar dichtgooien met een firewall, dan moet je weer langs het datacentre om er wat aan te doen...
[/wat minder nuttige reply]

Wij firewallen op een zeer eenvoudige manier.

Gewoon alles dicht, BEHALVE een lijstje met poorten, zoals HTTP/HTTPS/DNS/POP3/SMTP/SSH etc.

Dit is iets wat wij eigenlijk iedereen graag adviseren :)

Origineel geplaatst door wdv
Wij firewallen op een zeer eenvoudige manier.

Gewoon alles dicht, BEHALVE een lijstje met poorten, zoals HTTP/HTTPS/DNS/POP3/SMTP/SSH etc.

Dit is iets wat wij eigenlijk iedereen graag adviseren :)

Weet jij voor iptables toevallig een makkelijk config prog ?
Vind iptables nou niet het meest logisch te configuren ...

Origineel geplaatst door Norman


Weet jij voor iptables toevallig een makkelijk config prog ?
Vind iptables nou niet het meest logisch te configuren ...

Wij draaien niet met Linux, maar met OpenBSD :)

Origineel geplaatst door wdv
Wij firewallen op een zeer eenvoudige manier.

Gewoon alles dicht, BEHALVE een lijstje met poorten, zoals HTTP/HTTPS/DNS/POP3/SMTP/SSH etc.

Dit is iets wat wij eigenlijk iedereen graag adviseren :)
Hoe heb je dan de FTP toegang geregeld? Of sta je alleen maar active FTP toe?

Origineel geplaatst door Myrdhin

Hoe heb je dan de FTP toegang geregeld? Of sta je alleen maar active FTP toe?

Een kleine range openzetten, en deze range tevens instellen bij de FTP server.

even een klein vraagje nog ....

wat houd dit nou precies in ?
grsecurity kernelpatch

op http://www.grsecurity.net/ staat wel een changelog maar niet echt precies waar et voor is en wat et doet ...

ohhhh woei trouwens voor de gene die dit topic ook volgens met dezelfde intresse ... heb goeie gevonden voor iptables ... met engelse howto (teminste lijkt me een goeie mensen met ervaring ?)


How to install: APF Firewall :-)
APF(Advanced Policy Firewall) is a modular iptables-based firewall designed for ease of use and configurability.

APF requires that you have Red Hat 7.2 or better

Both quick-start and custom rules configurations are supported.

APF has built in support for DShield.org's "block" list of networks that have exhibited suspicious activity and that you might consider blocking.

- Installation

Installation is via rpm -Uvh of the rpm download.

- Configuration:

APF general configuration settings are kept in /etc/apf/conf.apf . You will need to specify the ports that you need open across all IP's on the system being protected to the outside world in the TCP_CPORTS and UDP_CPORTS lines in this file. APF has built in support for common web hosting ports; these would be 21, 25, 80, 110, and 443

For example, on Ensim this would be 22, 19638 on TCP. For Plesk, it would be 22,8443. You would also need 53 for DNS, and other ports as needed.


Example:

# Common TCP Ports
TCP_CPORTS="21,22,25,53,80,110,143, 443, 19638"

# Common UDP Ports
UDP_CPORTS="53"

Please review the documentation provided with the installer for details
Download:

http://www.r-fx.net/downloads/apf-current.rpm