it-swarm-eu.dev

Wie soll ein Server gesichert werden?

In Bezug auf Ubuntu 10.04, Server Edition, welche Tools/Vorgehensweisen würden Sie empfehlen, um den Server zu sichern?

22
Grant Palin

Dies ist ein bisschen unspezifisch, aber im Allgemeinen müssen Sie

  • Führen Sie eine Firewall wie iptables oder fw aus, um die Verbindung zu offenen Ports zu verwalten.

  • Installieren Sie nur die Software, die Sie benötigen.

  • Führen Sie nur Dienste aus, die für den Betrieb des Servers erforderlich sind.

  • Halten Sie diese Software mit allen Sicherheitspatches auf dem neuesten Stand.

  • Richten Sie neue Benutzer mit den geringsten Berechtigungen ein, die sie zur Erfüllung ihrer Aufgaben benötigen.

  • Führen Sie denyhosts oder fail2ban aus, um nach Brute-Force-Angriffen zu suchen.

  • Führen Sie logwatch aus, um Sie per E-Mail über Unregelmäßigkeiten in Protokolldateien zu informieren.

  • Überprüfen Sie Ihre Protokolle häufig auf verdächtige Aktivitäten.

  • Verwenden Sie immer Sudo und sichere Passwörter.

  • Deaktivieren Sie schwache und mittelstarke Chiffren in SSL für Apache, Exim, Proftpd, Dovecot usw.

  • Stellen Sie die Dienste so ein, dass sie nur localhost empfangen (sofern zutreffend).

  • Führen Sie chkrootkit täglich aus.

  • Führen Sie clamscan so oft aus, bis Windows-Viren gefunden sind (falls zutreffend).

  • Seien Sie wachsam, kennen Sie Ihren Server, wissen Sie, was er tun soll und was nicht.

Sie werden die Sicherheit nur dann gewährleisten, wenn Sie sie ständig überprüfen und sichern. Wenn Sie nicht wissen, was etwas macht oder wie oder warum oder etwas verdächtig aussieht, fragen Sie einfach andere um Rat.

25

Ehrfürchtige Antwort von Richard Holloway. Wenn Sie nach einer bestimmten Schritt-für-Schritt-Anleitung suchen, lesen Sie die folgende 2-teilige Anleitung aus der Slicehost-Bibliothek.

  1. http://articles.slicehost.com/2010/4/30/ubuntu-lucid-setup-part-1
  2. http://articles.slicehost.com/2010/4/30/ubuntu-lucid-setup-part-2

Ich benutze es fast überall, wenn ich eine Ubuntu Server-Instanz einrichten muss. Ich bin sicher, du würdest es lieben.

Eine weitere gute Quelle ist die Linode Library unter http://library.linode.com/

Schauen Sie sich die Artikel an beiden Stellen an. Dort sind jede Menge Informationen verfügbar, und Sie sind mit dem nötigen Wissen ausgestattet, um mit Ihrem Server zurechtzukommen.

PS: Auf keinen Fall kann eine Bibliothek die Intuition, Einsicht und Entscheidungsfähigkeit eines großen Sys-Administrators ersetzen.

9
Mir Nazim

Etwas, was ich nicht erwähnt sehe, ist "64bit verwenden". Dies stellt unter anderem sicher, dass Sie über NX-Speicherschutz verfügen.

2
Kees Cook

Drei Dinge, die ich eher empfehle, sind:

  • Mounten Sie alle global beschreibbaren Bereiche (/ tmp,/var/tmp) als 'noexec': Dies ist größtenteils sicher, außer (zum Zeitpunkt des Schreibens), es sei denn, Sie möchten ein Upgrade Ihres Systems durchführen. Weitere Informationen finden Sie unter Fehler # 572723 auf dem Launchpad.

  • Installieren Sie keine Compiler oder Assembler, es sei denn, dies ist unbedingt erforderlich. Ich halte dies für selbsterklärend.

  • Erste Schritte mit AppArmor: AppArmor kann als Alternative zu SELinux angesehen werden und ist eine großartige Funktion von Ubuntu für Sandbox-Anwendungen, um sicherzustellen, dass sie nicht mehr Zugriff haben, als sie benötigen. Ich empfehle, den Leitfaden in den Foren zu lesen, wenn Sie interessiert sind. http://ubuntuforums.org/showthread.php?t=1008906

1
ibuclaw
  • Installieren und konfigurieren Sie iptables mit einem für Ihre Umgebung geeigneten Regelsatz. Eingehenden und ausgehenden Datenverkehr filtern.
  • psad um Port-Scans auf Ihrem System zu erkennen und zu warnen.
  • Verwenden Sie fail2ban, um Brute-Force-Anmeldeversuche gegen SSH zu verhindern.
  • Remotezugriff über das Root-Konto nicht zulassen, da dies unter anderem bedeutet, dass ein Angreifer sowohl den Benutzernamen als auch das Kennwort erzwingen muss, wenn er versucht, einen brachialen Zugriff auf Ihren Server zu erzwingen.
  • Verwenden Sie für alle Benutzerkonten sichere Kennwörter.
  • Beschränken Sie den SSH-Zugriff so, dass er nach Möglichkeit nur von bestimmten IP-Adressen aus verfügbar ist.
  • Verwenden Sie Tripwire eines anderen Host-basierten Intrusion Detection-Systems.
  • Überwachen Sie den Server mit einem Netzwerküberwachungsprogramm wie Nagios.
1
Mark Davidson

Für Firewalls könnte man sich @ Firestarter oder fw mit gufw ansehen.

0
ssanj