Hallo,
ich betreibe einen eigenen Webserver, der in letzter Zeit häufiger mal gehackt wurde.
Wie kann ich diesen absichern?
Ich habe davon gehört, dass man alle unbenutzten Ports zumachen soll und SSH-Telnet installieren sollte, doch wie geht das?
Mein Betriebssystem ist FreeBSD.
Ciao + Vielen Dank für Eure Ratschläge
Michael
Wie kann ich diesen absichern?
Ich habe davon gehört, dass man alle unbenutzten Ports
zumachen soll und SSH-Telnet installieren sollte, doch wie
geht das?
Mh... wie lang darf die Antwort ausfallen? Es gibt sehr sehr dicke Bücher zu diesem Thema.
Insofern würde ich vorschlagen über eine Suchmaschine erst mal infos über Firewalling, SSH, Security-Scanner etc. zu besorgen und dann spezielle Fragen nochmal zu stellen.
Ciao
Kaj
infos über Firewalling,
Was willst Du mit "Firewalling" auf einem Mail- FTP- und Web-server?
Eben.
Nichts.
Sebastian
Was willst Du mit "Firewalling" auf einem Mail- FTP- und
Web-server?
Wenn hier die allgemeine Frage gestellt wird "Wie kriege ich meinen Server dicht", sind Packetfilter und Proxy Komponenten, über die man sich informieren sollte!
Ciao
Kaj
Was willst Du mit "Firewalling" auf einem Mail- FTP- und
Web-server?
Wenn hier die allgemeine Frage gestellt wird "Wie kriege ich
meinen Server dicht", sind Packetfilter und Proxy Komponenten,
über die man sich informieren sollte!
Hm. Worüber man sich informieren sollte ist "Welche Software ist sicher und wie schalte ich unsichere ab. Wie werde ich über Sicherheitslücken informiert?"
Ein Packetfilter ist auf einem Webserver ersteinmal fehl am Platze.
Du willst ja wohl nicht Port 80 für Anfragen sperren, oder?
Sebastian
Hm. Worüber man sich informieren sollte ist "Welche Software
ist sicher und wie schalte ich unsichere ab. Wie werde ich
über Sicherheitslücken informiert?"
Das ist ein wichtiger Aspekt im Sicherheitskonzept.
Ein Packetfilter ist auf einem Webserver ersteinmal fehl am
Platze.
Du willst ja wohl nicht Port 80 für Anfragen sperren, oder?
Ein Packetfilter ist auch nicht primär dafür gedacht Port 80 zu sperren.
Will man einen reinen Webserver aufziehen, ist ein Packetfilter mit Sicherheit fehl am Platz. Die gehört auf einen seperaten Rechner. Auch wenn man nicht Port80 sperren will, so gibt es doch eine Reihe anderer Ports, die man evtl. mit Restriktionen versehen will.
Ich habe schliesslich nicht gesagt: "Bau eine Firewall davor, dann ist gut." sonder, dass man sich mit diesem Thema auseinandersetzten muss, wenn man über Sicherheitskonzepte nachdenkt. Es ist weder ein Allheilmittel noch überflüssig. Richtig angewendet tut sie ihren wertvollen Dienst zusammen mit anderen Komponenten.
Ciao
Kaj
Hallo,
Wie kann ich diesen absichern?
Schau auf http://www.oreilly.de/security/ vorbei dort wirds du einige nützliche Bücher finden.(Building Internet Firewalls,Partical Unix ... Security)
Ausserdem schau dir folgende links an.
http://www.securityfocus.com/basics
http://www.securityfocus.com/cgi-bin/library.pl
http://www.suse.de/~marc/bookmarks.html
And so on...
Ich habe davon gehört, dass man alle unbenutzten Ports
zumachen soll und SSH-Telnet installieren sollte, doch wie
geht das?
Grundsätzliche Dinge:
Eigentlich gilt immer grundsätzlich das Minimal prinzip:-)
- Sowenig wie möglich installieren (Programme usw.)
- Sowenig user wie möglich.
- So wening Zeichen für die Passwörtern wie möglich:-) Naja nicht wirklich
Das kann man jetz immer soweiter vortsetzen.
Zusatz:
- checke die /etc/inetd.conf kommentiere alle dienste aus die du nicht benötigs. kill -HUP nicht vergessen.
Am besten du deaktivierst den inetd ganz wenn du ihn nich benötigs und schmeisst ihn von der Kiste runter.
- manche einen Portscann von deinem rechner.
Es sollten nur die Ports 80 443 und 22 offen sein (Wenns nur ein Webserver ist).
Falls ich was vergessen haben sollte, wirst du es merken und kannst die andere Dienste ja wieder frei schalten.
cu
Markus
Hallo!
Das scheint ja ein Thema bis ins unendliche zu sein, aber ich will ja gar nicht den bestmöglichen Schutz, sondern erst mal nur den "Basisschutz"... ;-)
Zusatz:
- checke die /etc/inetd.conf kommentiere alle dienste aus die
du nicht benötigs. kill -HUP nicht vergessen.
Am besten du deaktivierst den inetd ganz wenn du ihn nich
benötigs und schmeisst ihn von der Kiste runter.
die meisten Dienste dort kenne ich gar nicht. was ist z.B. finger?? welche muss ich denn drauf lassen um den server weiterhin als Web-, Mail-, FTP-, Telnet-Server verwenden zu können?
- manche einen Portscann von deinem rechner.
Womit z.B.?
Es sollten nur die Ports 80 443 und 22 offen sein (Wenns nur
ein Webserver ist).
nein, es ist asserdem ein Mail-, FTP-, Telnet-Server. Wo kann ich denn festlegen, welche Ports geöffnet sind und welche nicht? und vor allen Dingen, welche dienste hinter welchem Port hängen?
Vielen Dank
Michael
Hallo!
Das scheint ja ein Thema bis ins unendliche zu sein, aber ich
will ja gar nicht den bestmöglichen Schutz, sondern erst mal
nur den "Basisschutz"... ;-)
Basisschutz: Kannst ja erst mal klein Anfangen. Zum Beispiel Alle unötigen Diensts deaktivieren.
Aber da dein Server schon ein paarmal gehackt worden ist, würde ich mich in das Thema schon einlesen.
BTW
Du solltest den Rechner umbeding neuaufsetzen bzw ein backup einspielen (Das defenitiv vor dem ersten Hack gemacht wurde).
Da die wahrscheinlichkeit groß ist das Backdoors installiert sind.
die meisten Dienste dort kenne ich gar nicht. was ist z.B.
finger?? welche muss ich denn drauf lassen um den server
Wenn du sie nicht kennst deaktiviere sie, einen nach dem anderen. Wenn dann was nicht mehr funktioniert. Weißt du welche Dienste du benötigst. Dann machts du dich schlau ob der Sicher genung ist das erlaufen darf, wenn er es nicht ist, mußt du eine alternative suchen.
weiterhin als Web-, Mail-, FTP-, Telnet-Server verwenden zu
können?
(WEB)
HTTP: 80/TCP
HTTPS: 443/TCP (SSL)
FTP: 21/TCP
FTP-DATA: 20/TCP (Denn habe ich nur der vollstänigkeit genannt)
(Mail)
SMTP: 25/TCP
Für Telnet: Da fehlen mir die Worte. Ich dachte du willst es sicher haben.
- manche einen Portscann von deinem rechner.
Womit z.B.?
nmap
nicht? und vor allen Dingen, welche dienste hinter welchem
Port hängen
-> /etc/services
man tcpd
man inetd
Evtl. ne Firewall .. glaub bei BSD heißt das ipfilter.
Das scheint ja ein Thema bis ins unendliche zu sein,
fast.
aber ich
will ja gar nicht den bestmöglichen Schutz, sondern erst mal
nur den "Basisschutz"... ;-)
Am besten du deaktivierst den inetd ganz wenn du ihn nich
benötigs und schmeisst ihn von der Kiste runter.
keine dumme Idee.
die meisten Dienste dort kenne ich gar nicht. was ist z.B.
finger??
Weg damit
welche muss ich denn drauf lassen um den server
weiterhin als Web-, Mail-, FTP-, Telnet-Server verwenden zu
können?
Wenn Du das nicht weisst, solltest Du die Finger von der Aktion lassen. Erste informieren, dann ins Internet.
- manche einen Portscann von deinem rechner.
Womit z.B.?
Mit einem Postscanner. (nmap?, Ab sinnvollsten nicht von Deinem Rechner, sondern von einem anderen.
Es sollten nur die Ports 80 443 und 22 offen sein (Wenns nur
ein Webserver ist).
nein, es ist asserdem ein Mail-,
Welcher? nimm qmail oder auch Postfix
Sonst nix.
FTP-,
http://cr.yp.to/publicfile.html
Telnet-Server.
den lass gleich mal weg. SSH existiert. Telnet will man nicht.
Wo kann
ich denn festlegen, welche Ports geöffnet sind und welche
nicht?
Das hängt davon ab, welche Dienste laufen.
und vor allen Dingen, welche dienste hinter welchem
Port hängen?
cat /etc/services