Opvolging van http://www.webhostingtalk.nl/showthread.php?s=&threadid=70715 (om thread niet te vervuilen)



Origineel geplaatst door Bob2


K, is hier geen advertentie forum... Maar goed, nu we het er toch over hebben, wat doen jullie dan precies om een systeem te securen?

Onderstaand een stukje uit mijn lijst:

tmp dir protection
Geen onnodige services / porten open
System tools alleen voor root
Mod_security voor httpd server
Signatures van httpd en dns uit
SSH hardening (apart ip, root loggin off etc etc)
Goede firewal config
Dagelijkse scan van chkrk en rkhunter
Gebruik prosess monitoring tools
In de php ini disable_functions system,exec, safe_mode on + nog aantal
Syctl aanpassingen tegen ddos
up2date blijven(het volgen van mailing lists)

* safe mode = slechte manier van security, een gebruiker laat je best niets executen op een UID van iemand anders / een gedeelde UID zoals de apache user.
* mailinglists volgen zoals bugtraq / full-disclosure
* kernel altijd updaten, ook bugs die 'normaal' exploitable zijn voor local users kunnen misbruikt worden door web users.
* een aparte chroot / jail gebruiken voor web users waar apache / php in staat. Zo kan je op een goede manier
* kernel patchen met bvb grsecurity, goede logging
* logging is nog apart punt: logging naar andere server sturen... als server gehackt wordt heb je nog altijd de logs.
* Tenslotte (want er staat nog heel veel niet in) kan je de debian security howto is volgen, daar staat heel veel nuttige informatie in per daemon wat je zoal kan doen

// edit
SSH hardening: staan ook goeie dingen in die debian security howto. Nog beter is naast een apart ip, een andere poort te gebruiken, het verbieden van gewone wachtwoorden en alleen keys accepteren.
dagelijkse scan: aanvulling, logwatch, aide, ...
up to date blijven: vooral dit blijkt een groot probleem te zijn voor de meeste mensen. Je moet echt moeite doen om je systeem up to date te houden. De keuze van een goede distributie is hier cruciaal. Bij sommige distributies duurt het namelijk zeer lang vooraleer er een patch uitkomt.

// edit2 :
Een goed programmatje om je server (best niet in prodcutie dan) te testen is nessus (www.nessus.org)

Wat kost het uitbesteden van security per server? Distro Fedora core2 en Centos + directadmin ongeveer? Op dit moment red ik het prima zelf alleen ik kan me tijd natuurlijk wel beter besteden dan aan dingen die ik steeds moet uitzoeken. Gewoon een klein vraagje :)

Verder doe ik veel van het bovenstaande wel ja :)

Dit hangt ervanaf wat voor SLA je wilt hebben, of je alleen storings-management zoekt of Full Managed. Verder verschilt het ook per bedrijf in wat voor vorm ze het aanbieden. Je kan op mijn site <zie sig> kijken voor de kosten die ik bereken. Let wel, elke aanbieder zal dit waarschijnlijk weer anders doen.

Om nog even terug te komen op die security. Lees voor je een publieke service aanbied eens een goed boek over de service in kwestie en de tools die je daarbij gebruikt. Niet alleen webservers zijn kwetsbaar voor aanvallen maar ook DNS- en mailservices zijn gevaarlijk wanneer niet serieus wordt nagedacht over de veiligheidsaspecten.

Nou zeg ik niet dat je als een malle aan het dichttimmeren moet gaan, maar bekijk iig de zwakke plekken en 'bereken' hoe groot de kans is dat je van die kant een aanval kunt verwachten. Gebruik vervolgens die calculatie om jezelf te gaan beschermen tegen de mogelijke gevolgen (bijv door te zorgen dat je software up to date blijft, goede backup voorzieningen treffen, de gevaarlijke services wat dichttimmeren of andere, mogelijk veiligere software gebruiken om die service aan te bieden enz). En gebruik hierbij je tijd wijs. Zorg dat je met 20% van je tijd/inspanningen 80% van de risico's kunt afdekken.

Mensen die zich naar aanleiding van het incident met keeponhosting.nl wat meer bezig willen houden met de veiligheid van hun services raad ik aan het boek "Apache Security" te lezen van Ivan Ristic. Dit boek gaat redelijk de diepte in wat betreft het overall securen van Apache en bijkomende dingen als Perl/PHP enz). Daarnaast bevat het tal van verwijzingen naar andere lectuur die ingaat algemene veiligheidsconcepten of juist specifieke services/problemen enz.

Misschien moet ik maar eens wat simpele stukjes schrijven als handrijking voor de mensen hier :rolleyes:
Veel mensen lijken zich niet te realiseren dat ze hun eigen service en die van hun klanten in groot gevaar brengen met een laks veiligheidsbeleid. Dat je daar dan zelf de dupe van wordt is in mijn ogen je eigen probleem, maar tegenover je klanten kun je dat gewoon niet maken.

Bij een managed bak heb je toch geen totale privacy, beweer maar eens dat een manager niet jouw eigen gemaakte topgeheime progs doet overkopieren vanuit vi, pico of zelfs per phppagina oid. Niet te controleren. Ik kan het gelukkig ook vrij goed alleen af, en voldoe dan ook aan de meeste punten die wv- genoemd heeft :)

Origineel geplaatst door wv-

Bij sommige distributies duurt het namelijk zeer lang vooraleer er een patch uitkomt


Dit is een van de redenen waarom ik zo ontzettend enthousiast ben over de ondersteuning van Debian door Plesk! :) Ze zijn snel met hun updates, ontzettend stabiel OS, en eenvoudig te updaten :). Tot nu toe weinig problemen mee gehad.

Debian en snel met updates geldt het laatste jaar ook al niet zo meer hoor.

[edit]
Sowieso, wat boeit het als je Plesk gebruikt. Plesk installeert van alle shit die open staat naar buiten toch wel z'n eigen packages, enige waarbij je updates van Debian nodig hebt zijn de kernel en wat basepackages. Die basepackages zijn bijna nooit lek en die kernel compile je toch zelf.

Als je 3.1 draait gaat dat best lekker met de updates hoor. Valt reuze mee :)

Origineel geplaatst door WH-Tim
Bij een managed bak heb je toch geen totale privacy, beweer maar eens dat een manager niet jouw eigen gemaakte topgeheime progs doet overkopieren vanuit vi, pico of zelfs per phppagina oid. Niet te controleren. Ik kan het gelukkig ook vrij goed alleen af, en voldoe dan ook aan de meeste punten die wv- genoemd heeft :)
Reageer je in op het topic algemeen of op mijn post?

Anyway, mocht je op mijn post reageren. Ik heb het totaal niet over privacy, ik heb het over veiligheid. Mocht jij zo nodig een "geheime" app willen draaien waar niemand bij mag dan is een eigen server en/of kundig personeel natuurlijk een must. Alle andere dingen die je op een managed machine draait zijn waarschijnlijk niet interessant voor een admin, dus ik zou me daar niet te druk over maken.

Zo de waard is vertrouwt ie z'n gasten zullen we maar zeggen.

Ik weet niet of het al vermeld is in het vorige topic:
PaX en grsec kernel + systeem gecompiled met PIE/SSP.

de gentoo security handbook (http://www.gentoo.org/doc/en/security/security-handbook.xml) en gentoo hardened (http://www.gentoo.org/proj/en/hardened/#doc_chap6) zijn goede bronnen.