PDA

Bekijk Volledige Versie : Server beveiligen



Arto
12/02/06, 20:08
Na een slechte ervaring ga ik proberen om mijn server te beveiligen.
Ik wil het eerst zelf proberen als het niet gaat lukken ga ik opzoek naar een systeem admin.
Of mischien een SLA bij mijn provider.

Nu is mijn vraag wat moet ik allemaal doen om mijn server te beveiligen.
Ik heb een beetje gezocht op Wht wat voornamelijk vooruit komt is Mod Security en Apf

Raden jullie nog meer dingens aan?
Zo ja, welke?

Verder nog een vraagje over dat Mod Security, ik zie overal rulez.
Wat voor rulez zijn dit?
Zijn dit standaart aangeraden punten?

Mn laatste vraag is over yum update
Als ik dit uitvoer wat doet ie allemaal updaten?
Kernel ook mischien?

Laatste vraag gaat over SSH, die is standaart port 22 zoals ik het gemerkt heb.
Ik ga dit port ook verandere.
Nu is mijn vraag : hoe kan ik ervoor zorgen dat alleen via mijn vaste ip iemand kan inloggen op SSH?
En dat alle andere ip moet geblokeerd worden

Graag jullie tips.
Als iemand voor systeem admin met mij kontakt op wil nemen graag via PB

gjtje
12/02/06, 20:23
Met die rules filter je de requests naar de webserver, voldoet een rule dan wordt een actie uitgevoerd, bijvoorbeeld status 500 geven.
Misschien dat ze niet allemaal even nuttig zijn voor elke server maar zonder specifieke kennis is dat moeilijk te bepalen en het levert weinig op, misschien een kleine beetje performance.

DiedX
12/02/06, 21:20
Arto,

Met alle respect, maar weet je waar je mee bezig bent?

"Kernel ook misschien?"?

Joh, die APK keuring, MOET die gordel ook gecontroleerd worden?

mrleejohn
12/02/06, 22:19
Tja.... ik kan maar 1 ding zeggen....

http://www.mrleejohn.nl/linux-security.htm

Lijkt me een handig docje... toch? Succes!

Arto
12/02/06, 23:26
Origineel geplaatst door DiedX
Arto,

Met alle respect, maar weet je waar je mee bezig bent?

"Kernel ook misschien?"?

Joh, die APK keuring, MOET die gordel ook gecontroleerd worden?

Ik vraag hier om hulp, voor dit is dit forum toh ook o.a?
Niet iedereen is net zo slim als jou.

CharlieRoot
12/02/06, 23:57
Origineel geplaatst door mrleejohn
Tja.... ik kan maar 1 ding zeggen....

http://www.mrleejohn.nl/linux-security.htm

Lijkt me een handig docje... toch? Succes!

Top!


@arto
gaat het om een Linux of FreeBSD server? Je geeft wel erg weinig informatie.. wat gaat de machine doen enzo?

Arto
13/02/06, 00:23
Het gaat hier om een Linux server.
Omdat wie dan ook iemand heeft kunnen inloggen op mijn server en aantal bestandan heeft verwijdert, wil ik graag mijns server beveiligen.
Dom van mij dat ik niet eerder heb gedacht.

Maar erzijn vast wel een paar aanraders om je server te beveiligen.
Die stappen wil ik nu gaan nemen.
En daarom dat ik dit topic start, om informatie te vragen.

mrleejohn
13/02/06, 09:30
Met mijn docje moet je toch een heel end komen. Staat eigenlijk gewoon te veel in zelfs....

henke54
13/02/06, 10:02
http://www.howtoforge.com/preventing_ssh_dictionary_attacks_with_denyhosts
http://denyhosts.sourceforge.net/

DiedX
13/02/06, 10:03
Origineel geplaatst door Arto


Ik vraag hier om hulp, voor dit is dit forum toh ook o.a?
Niet iedereen is net zo slim als jou.
Klopt. Dit is een forum voor webhosters. Niet voor webhosters welke geen verstand van zaken hebben, en al helemaal niet voor mensen welke nog Windows of Linux moeten leren.

FYI: Ik vind dat je heel GOED bezig bent zelfs: richt je op je businessmodel, en besteed de rest uit, maar dan denk ik dat je beter een post kan doen bij "Personeel gezocht". Vraag daar naar een systeembeheerder, en richt je verder op je business.

Overigens heb ik het ook met vallen en opstaan gedaan, maar daarbij heb ik meer gelezen dan gevraagd. De link welke MrLeeJohn je aanreikt is geniaal. Vervolgens negeer je 'm gewoon. Lees dat door, de vragen welke je krijgt google je, en kom je DAN nog niet eruit, kom dan hier vragen.

fre0n
13/02/06, 13:19
Ik zou sowiezo voor een sla gaan, een managed oplossing voor je server dus. Het is niet verstandig een productieserver te draaien wanneer je niet precies weet hoe deze werkt en hoe je deze up to date moet houden (niet alleen security!)

Capt.Pascal
13/02/06, 15:31
Arto,
voel je niet beledigd !
Diedx probeerd op een heel nette manier (unlike me) duidelijk te maken,
dat serverbeheer werkelijk een specialistische bezigheid is.
Met de doc van Leon zul je vast een heel eind verder komen.
Maar inzicht in de materie krijg je pas naar lange ervaring.
(en verdomd dan ga je nog regelmatig op je snuffert, vooral als het werk je tot aan de flaporen staat)

Advies,
doe gewoon lekker je eigen werk waar je goed in bent,
en laat dat kreng een een ICTneus bijhouden.
Als die het verkloot, scheld je heb verrot.
ICTers zijn dat gewend ;)

Technotop
13/02/06, 19:43
Origineel geplaatst door DiedX

Klopt. Dit is een forum voor webhosters. Niet voor webhosters welke geen verstand van zaken hebben, en al helemaal niet voor mensen welke nog Windows of Linux moeten leren.

FYI: Ik vind dat je heel GOED bezig bent zelfs: richt je op je businessmodel, en besteed de rest uit, maar dan denk ik dat je beter een post kan doen bij "Personeel gezocht". Vraag daar naar een systeembeheerder, en richt je verder op je business.

Overigens heb ik het ook met vallen en opstaan gedaan, maar daarbij heb ik meer gelezen dan gevraagd. De link welke MrLeeJohn je aanreikt is geniaal. Vervolgens negeer je 'm gewoon. Lees dat door, de vragen welke je krijgt google je, en kom je DAN nog niet eruit, kom dan hier vragen.

Iedereen is als Leek begonnen. Help elkaar zo nodig. Ik leer ook nog altijd nieuwe dingen. 9/10 hosters die ik ken kwam in het datacenter en wist dus totaal niets van alle poespas die er aan te pas komt bij serverhosting.

Er staan een aantal links in dit topic die de ts eens goed kan doornemen.

Je servers is al een keer gehackt? Mmm ga er dan niet zelf aan beginnen maar huur of zorg voor een sysadmin die even alles mooi voor je onderhoudt.

Maar laat je niet klein maken, gewoon lekker doorgaan je leert het vanzelf wel!!!!!!!!!!

WI-Hosting
13/02/06, 19:58
Origineel geplaatst door trebbor


Iedereen is als Leek begonnen. Help elkaar zo nodig. Ik leer ook nog altijd nieuwe dingen. 9/10 hosters die ik ken kwam in het datacenter en wist dus totaal niets van alle poespas die er aan te pas komt bij serverhosting.

Er staan een aantal links in dit topic die de ts eens goed kan doornemen.

Je servers is al een keer gehackt? Mmm ga er dan niet zelf aan beginnen maar huur of zorg voor een sysadmin die even alles mooi voor je onderhoudt.

Maar laat je niet klein maken, gewoon lekker doorgaan je leert het vanzelf wel!!!!!!!!!!


amen!

iedereen begint bij vragen stellen en leren..
je maakt je eigen fouten die je dan weer fixt. dan leer je weer iets.

laat het nou niet uitbesteden want dan schiet je nog niks op...

gewoon lang genoeg lezen en testen op je server totdat hij klaar is voor productie..

lees veel en google veel.. volg forums die over beveiliging gaan en over optimizen e.d.

iedereen moet beginnen..

success arto!

klasje.be
13/02/06, 20:42
3 maand geleden ben ik ook voor het eerst begonnen en nu kan ik bijna zeggen dat mijn servertje veilig is :-D
Ik heb zelfs al succesvol de kernel kunnen updaten.

Tip: veel lezen, veel googlen, beleefd zijn :-p
Tip: een lijstje met alle linux commando's kan soms handig zijn, persoonlijk verkies ik een heel dik linux boek ;-)

Arto
13/02/06, 20:48
Origineel geplaatst door klasje.be



Tip: een lijstje met alle linux commando's kan soms handig zijn
Kan ik ergens dit commando's vinden?
Maar dan ook alle commando's
Als ik google krijg ik maar een klein lijstje.

Bedankt allemaal voor jullie reacties.

klasje.be
13/02/06, 21:10
Voor linux zijn er duizenden commando's.
Het hangt eerst en vooral al af van welke linux distributie je gebruikt en ten 2de van welke tools geinstalleerd zijn.

Aangezien het open source is meestal, zijn er duizenden varianten.

Ik raad je aan een linux 4 newbies boek 2de hands te kopen, daar staan veel handige dingen in voor in geval van nood.

(ps,netstat,pstree,uitleg pid's,reboot,rpm,...)


TIP: man commando
Je krijgt dan een lijst met uitleg over dat commando/programma met alle mogelijke schakelopties bij!
ZEER HANDIG

Ben je nieuw in linux, en je wilt een bestand bekijken/aanpassen, dan raad ik je nano aan als editor, dit lijkt een beetje op de linux variant van wordpad.
De commando's staan er netjes bij.
Vi is ook heel goed, maar daar is het moeilijk om de commando's van terug te vinden als je in een bestand zit en de juiste toetsencombinatie niet meer weet.

Tip: ^=control toets

Uw server beheren:
http://help.ovh.com/LaunchServices/contenu.html

Server beveiligen:
http://www.ccc4.nl/instaleer-server.htm
(Slaag de direct admin deeltjes over en verander de rest, het is zeeeer goed uitgelegd hier!)

En dan als laatste moet je eens opzoeken op de site van de makers van je linux hoe je deze update naar de laatste versie.

Bij ons is het:
http://www.clarkconnect.com/help/release_notes/3.2.php
Sectie update


Mvg,
klasje

Technotop
13/02/06, 21:54
Ja tip schaf ook een linux boek aan. Ik heb hier zelf van "bijna" alle distro's een dik boek. ALtijd handig maar toch kies ik eerder voor google omdat daar een search engine op zit (duh.. zucht*)

Maar gewoon lekker doorgaan jo ;) je leert van vanzelf wel :)

Arto
13/02/06, 22:09
klasje.be

Hartelijk bedankt voor je uitegbreide informatie.
Dankzij jou links heb ik chkrootkit geinstalleerd en uitgevoerd.
En ook Brute Force Detection

Wat ik ook wou doen maar niet lukt :


Sta 1 IP adres toe om in te loggen in shh:

(nog niet getest, met dank aan: Jan Reilink)

Compileer sshd zodat het het gebruik van TCPWrappers ondersteund (libwrap (--with-libwrap=/path_to_libwrap.a/), uitleg). Zet in je /etc/hosts.deny:
quote:
--------------------------------------------------------------------------------
ALL: ALL
--------------------------------------------------------------------------------

en in je /etc/hosts/allow:
quote:
--------------------------------------------------------------------------------
sshd: xxx.xxx.xxx.xxx
--------------------------------------------------------------------------------

Zo heeft alleen IP adres xxx.xxx.xxx.xxx toegang tot de sshd.


Kan je dit mischien wat uitegbreider uitleggen?

klasje.be
13/02/06, 22:40
Dat is nu net iets waar ik nog niet mee durf experimenteren, iemand anders die er wel veel van kent aub?
(Ik weet dat dit allemaal kinderspel is voor jullie!)

Wat lukt er specifiek niet? (juist)

Ryan Kalkhoven
13/02/06, 22:55
Kun je duidelijker aangeeft wat je niet lukt?

Het is een kwestie van de hosts.allow en hosts.deny editten, maar let op dat je hier geen foute dingen mee doet..... Foutjes hiermee kunnen flinke problemen opleveren.

DiedX
13/02/06, 22:59
Waarom ga je er vanuit dat sshd *NIET* is gecompileerd met tcp_wrappers? Probeer het eerst, en lukt het niet, check dan de logfiles.

Inzake Trebbor: iedereen is begonnen met op zijn bek te gaan, maar de manier waarop, en hoe hard je op je bek gaat is wel een verschil. Niemand zal zonder rijlessen in een auto stappen (zonder grote brokken te maken). Neemt niet weg dat als je de nodige ervaring hebt je niet vrijgewaard bent van brokken. Idem hierzo. Probeer thuis eerst eens Fedora/Debian oid, en ga daarmee aan de slag.

En mensen die denken dat hun server na 3 maanden dicht is spreek ik later wel :) Die missen dus duidelijk nog die ervaring.

FYI: ik dacht eerst ook dat mijn nieuwe servertje dicht was. Alles prima. Ga naar (toendertijd) WideXS, de dag d'rop was hij gehackt.

Moraal van het verhaal: geen. Ga nooit er vanuit dat je er bent, lees altijd. Security en systeembeheer is leuk overigens :)

Arto
13/02/06, 23:00
Nou...
Ik wil dat er maar vanaf 1 vaste ip kan ingelogd worden op SSH
Omdat ik zelf een vaste ip adres heb is dat wel handig.

Zoals ik het begrijp moet je dit bestand wijzigen :

/etc/hosts/hosts.allow en /etc/hosts/hosts.deny

Nu is mijn vraag waar moet precies het door jou gegeven code's komen?

DiedX
13/02/06, 23:06
dat zal /etc/hosts.allow en /etc/hosts.deny worden.

Verder geef je het antwoord zelf boven :)

Ryan Kalkhoven
13/02/06, 23:07
Als je nog niets met die bestanden hebt gedaan staat alles nog geremt (#).

Dus daar heb je geen last van.... die regels die hier gepost zijn gewoon toevoegen onderaan....

1 tip: Zet er meer als 1 ip in. Mocht je ISP zo aardig zijn om het toch te veranderen of je hebt het verkeerde ingetoetst dan hang je. Kortom vul je eigen ip in plus die van een ander die kan testen voor je. Laat die gene testen of hij erbij kan en probeer het daarna bij jezelf (zolang jij verbinding hebt gaat er niets mis, je merkt het pas de volgende keer dat je probeerd te connecten).

Daarnaast is het natuurlijk altijd handig om van andere locaties er bij te kunnen voor het geval dat.

Om een voorbeeld te geven hoe ik ssh heb beveiligd:

- Geen root toegang
- geen toegang via wachtwoord
- Er zijn maar 2 gebruikers die uberhaupt kunnen inloggen
- Toegang alleen met een SSL certificate
- Toegang alleen vanaf een aantal reeksen (eigen ips) en vanaf een 5 tal locaties (hosts.allow/deny)
- En als laatste via iptables nog het eea filteren

Paranoid?? Hmm.. zou kunnen. Laat ik zeggen dat ik erg voorzichtig ben en van fouten heb geleerd (hoop ik ;) )

mrleejohn
14/02/06, 12:20
Ook zo'n certificaat is niet 100% veilig. Zo'n certificaat is iemand ook te ontfutselen.

Niks is 100% veilig...

Ryan Kalkhoven
14/02/06, 12:40
Origineel geplaatst door mrleejohn
Ook zo'n certificaat is niet 100% veilig. Zo'n certificaat is iemand ook te ontfutselen.

Niks is 100% veilig...

Uiteraard is niks 100% veilig. Zelfs het doorknippen van de netwerkkabel niet want dan zouden ze er nog fysiek bij kunnen.

Maar je kan het ze natuurlijk wel zo lastig mogelijk maken.... dan nemen ze vanzelf een machine waar ze zo naar binnen wandelen.

Digiover
14/02/06, 19:43
Origineel geplaatst door ryankalkhoven
Maar je kan het ze natuurlijk wel zo lastig mogelijk maken.... dan nemen ze vanzelf een machine waar ze zo naar binnen wandelen.

Of het wordt een uitdaging en dus interessanter ;)

Ryan Kalkhoven
14/02/06, 19:47
Origineel geplaatst door Digiover


Of het wordt een uitdaging en dus interessanter ;)

In dat geval heb je het over de slimmere jongens en daar zijn er dan ook al een stuk minder van. Voor hun valt er bijna niet te beveiligen.

Ik schat in dat het grootste deel 70/80% door snelle scans woorden gedaan door spammers en kiddies en die gaan voor de makkelijke en snelle acties. Tenminste zo heb ik het altijd "geleerd".

klasje.be
14/02/06, 23:25
Meer dan 70/80% ;-)