Server absichern

[Dummy-Doof]

Hallo, bin noch relativ neu hier.

Ich wollte mir in naher Zukunft einen Server aufbauen. Ich liebäugele im Moment mit Debian. Ob das die richtige Entscheidung ist wird sich noch rausstellen...

Damit ich nix vergesse, interessieren mich generell die Sicherheitslücken.

Wo sollte ich hier am besten suchen?

Google kennt ja so viel alten Mist. Bin eigentlich an nem verhältnismäßig neuem Stand interessiert :-)

Gruß Dummy-Doof

 

[modulus]

Sicher dass du dafür genug Zeit hast?

 

[Dummy-Doof]

Ob ich dafür genug Zeit habe kann ich nicht sagen, denke aber dass da schon einige Stunden rein fließen werden...

 

[entropie88]

Damit ich nix vergesse, interessieren mich generell die Sicherheitslücken.

generelle Sicherheitslücken gibt es nicht. Kritische Bugs sind im Normalfall innerhalb weniger Stunden upstream Geschlossen.

Wo sollte ich hier am besten suchen?

Bugtracker, Mailinglisten deiner Distri, der kritischen Packete.

Google kennt ja so viel alten Mist. Bin eigentlich an nem verhältnismäßig neuem Stand interessiert :-)

Dann ist Debian die Falsche Wahl für dich.

Ich empfehle dir Hardened Gentoo, läuft PAX/SELinux einigermaßen problemlos in Kombination mit honeyd.

Ob ich dafür genug Zeit habe kann ich nicht sagen, denke aber dass da schon einige Stunden rein fließen werden...

Am Anfang ist es hart. Wenn de irgendwann die Architecktur verstanden hast und weisst was für was da ist. Dann brauchst du nur ca eine Stunde am Tag bis du alle Mailinglisten durch hast und alles geupdatet.


wünsche dir viel Erfolg

 

[shadow_one]

Auch wenn ich nicht viel zum thema beitragen kann. Bevor du dir einen Root Server mietest, spiele mit Debian in Virtual Box rum. Wird Geld & Nerven schonen.

 

[moodle]

Was ein sehr guter Tipp ist.

Denn mit einem Root-Server hängt man sich schon ein ganz schönen Klotz ans bein, da kann man nicht sagen: die nächsten paar Monate lasse ich ihn mal links liegen, habe jetzt keine Zeit für Updates.

Wenn man es dann noch mit einem OS realisiert, von dem man 0 Ahnung hat, dann Sitzt man noch auf einer Zeitbombe die irgendwann zur Spam und Virenschleuder wird ...

Deswegen: Erst Know-How aufbauen, dann Online gehen. Nicht anders rum

 

[tony-mahony]

Ich denke was viel sichereres als eine Hardware Firewall wird es nicht geben. Ich an deiner Stelle würde mir einen Anbieter mit einer Hardware Firewall Option suchen und nur die Ports nach außen freigeben, die auch sinn ergeben.

 

[killray]

Was bringt dir eine Hardware-Firewall wenn jemand die Kiste übernimmt? Zuerst mal ne Login auf Keyphrase umstellen.

 

[Kanibal]

Was bringt dir eine Hardware-Firewall wenn jemand die Kiste übernimmt? Zuerst mal ne Login auf Keyphrase umstellen.

Mal absichtlich OT: Ist dir Keyphrase nicht zu nervig? Ich meine, den musst du ja auch irgendwie "absichern", heißt, auf USB-Speichern ist ned wirklich optimal und ob das nun wirklich ein großer Sicherheitsbonus gegenüber einem 10 stelligen Passwort mit Sonderzeichen etc. ist?

 

[Daaron]

Ein zehnstelliges Passwort per brute force zu knacken ist um einige Jahrtausende schneller als dasselbe mit einem 4096 Bit Key zu tun.
Es läuft aber immer primär darauf hinaus, wie gut du das Passwort (oder den Key, oder sonstwas) absicherst. Sogar in ein VPN kann man eindringen, es ist nur eben etwas schwerer.

 

[Kanibal]

Aber Grundproblem ist ja, dass das 10-stellige Passwort schon lange genug braucht, um geknackt zu werden. Denn ob eine Authentifizierungsmethode (Brute-Force, mal angenommen) nun 2.000 Jahre oder 200.000 Jahre zum aushebeln benötigt, ist doch letztendlich egal?

 

[Dummy-Doof]

Schön, dass hier im Forum wenigstens Antworten kommen :-)

Schade nur, dass es nur so wenige sinnvolle/nützliche sind. Bis auf dem umstrittenen Key, kam ja nix ...

Gruß Dummy

PS: Da steh ich nun, ich armer Thor und war so schlau wie je zuvor...

 

[Daaron]

Na ja, Absichern ist halt immer relativ komplex. Bei einem Rootserver musst du immer hinterher sein, immer wieder mal Logs checken, regelmäßig mal Updates einspielen und, falls nötig, auch mal n Neustart zünden (betrifft idR nur Kernel-Updates).
Und natürlich musst du dir eine sichere Variante überlegen, wie du den Server administrierst. Die einfachste (und trotzdem schon recht robuste) Methode ist ein schönes sicheres Passwort in Verbindung mit nem automatischen Bann-System wie fail2ban. Fail2ban kannst du z.B. so einstellen, dass 3-4 falsche Passwörter innerhalb von 4 Minuten die angreifende IP für 30 Minuten gesperrt ist. Die nächsthöheren Varianten sind dann Keyphrases/Keyfiles oder VPN-Lösungen.
Dazu musst du dann dafür sorgen, dass nur authentifizierte User an deinen SMTP ran können, damit du nicht als Spamschleuder endest. Für sowas gibts aber genug Tutorials z.B. bei howtoforge.com. Was sonst noch an Diensten läuft musst du natürlich auch absichern, wenn es was zu sichern gibt.

Der beste Rat ist aber wirklich: Mach dich erst einmal in einer Sandbox mit so einem Server vertraut. Pack dir ne kleine VM auf den heimischen PC und übe daran. Da kann dann wenigstens nichts kaputt gehen.

Kleiner Nachtrag aus aktuellem Anlass:
Nimm nie als gegeben an, dass deine Software keine Lücken hat, nur weil noch keine bekannt ist. MySQL und MariaDB haben z.B. eine wirklich brutale Lücke, wie ich vorhin feststellen musste. Und das schlimmste: Für Ubuntu 12.04 LTS existiert noch kein offizieller Patch. Da darf man selbst werkeln.