Linux Server - was gehört "abgeriegelt"?

Das Forum für den Linux-Pinguin - auch andere Unix-Derivate (*BSD, (Open)Solaris, Apple's Darwin / MacOS X, ...) sind hier willkommen!
Forumsregeln
Das Forum für den Linux-Pinguin - auch andere Unix-Derivate (*BSD, (Open)Solaris, Apple's Darwin / MacOS X, ...) sind hier willkommen!

Linux Server - was gehört "abgeriegelt"?

Beitragvon radditz » Do 11 Nov, 2010 15:21

Hi,

hier ein AUszug aus netstat:

Code: Alles auswählen
root@MYSERVER /etc# netstat -epl
Active Internet connections (only servers)
Proto Recv-Q Send-Q Local Address           Foreign Address         State       User       Inode       PID/Program name
tcp        0      0 *:https                 *:*                     LISTEN      root       1390160071  9913/apache2
tcp        0      0 *:microsoft-ds          *:*                     LISTEN      root       3975406226  -
tcp        0      0 *:mysql                 *:*                     LISTEN      mysql      1210516978  22367/mysqld
tcp        0      0 *:netbios-ssn           *:*                     LISTEN      root       3975406227  -
tcp        0      0 *:www                   *:*                     LISTEN      root       1390160065  9913/apache2
tcp        0      0 MYSERVER:domain *:*                     LISTEN      bind       1199054904  25781/named
tcp        0      0 localhost:domain        *:*                     LISTEN      bind       1199054902  25781/named
tcp        0      0 localhost:953           *:*                     LISTEN      bind       1199054918  25781/named
tcp6       0      0 [::]:22               [::]:*                  LISTEN      root       1168548898  30476/sshd
udp        0      0 *:50500                 *:*                                 bind       1199054905  25781/named
udp        0      0 MYSERVER:domain *:*                                 bind       1199054903  25781/named
udp        0      0 localhost:domain        *:*                                 bind       1199054897  25781/named
udp     4080      0 *:netbios-ns            *:*                                 root       3975405974  -
udp        0      0 *:netbios-dgm           *:*                                 root       3975405975  -
udp6       0      0 [::]:57169              [::]:*                              bind       1199054906  25781/named
Active UNIX domain sockets (only servers)
Proto RefCnt Flags       Type       State         I-Node   PID/Program name    Path
unix  2      [ ACC ]     STREAM     LISTENING     1210516979 22367/mysqld        /var/run/mysqld/mysqld.sock


Grundsätzlich brauche ich von ausen nur
Apache2 (80 + 443)
SSH (22 - port wird noch geändert, aber ich sag nicht worauf ;) )
Mysql soll zur zeit nur intern erreichbar sein

"müssen" die anderen dienste denn laufen? Wenn nein, wie kann ich sie deaktivieren? Ansonsten: soll ich die Firewall einfach restriktiver einstellen, damit von außen nichts durchkommt?
Telematica DSL Solo Pro 30 Mbit/s
Vorher: A1 VDSL 16 Mbit/s
radditz
Ultimate Power-User
Ultimate Power-User
 
Beiträge: 4399
Registriert: Mo 23 Jun, 2003 16:50

Re: Linux Server - was gehört "abgeriegelt"?

Beitragvon wicked_one » Do 11 Nov, 2010 15:27

Brauchst du vielleicht auch was von "Innen" ?
Never a mind was changed on an internet board, no matter how good your arguments are...

- I Am Not A Credible Source
wicked_one
Board-Guru
Board-Guru
 
Beiträge: 12244
Registriert: Mo 18 Apr, 2005 20:14

Re: Linux Server - was gehört "abgeriegelt"?

Beitragvon radditz » Do 11 Nov, 2010 15:33

Hauptsächlich http downloads (99.9%),
der Rest läuft alles über apache2 und ssh;

Im Moment habe ich die Firewall so konfiguriert (zumindest suggeriert mir das Parallels Power Panel - Firewall), dass nur Apache2 und ssh durchkommen.

edit: dass der Server auf "ping" antwortet wäre auch noch akzeptabel :>
Telematica DSL Solo Pro 30 Mbit/s
Vorher: A1 VDSL 16 Mbit/s
radditz
Ultimate Power-User
Ultimate Power-User
 
Beiträge: 4399
Registriert: Mo 23 Jun, 2003 16:50

Re: Linux Server - was gehört "abgeriegelt"?

Beitragvon jutta » Do 11 Nov, 2010 16:09

> Mysql soll zur zeit nur intern erreichbar sein

ist er in den default-einstellungen eh. denn er lauscht nur auf 127.0.0.1. wenn du mir per pn die ip von dem server verraetst, mach ich dir einen portscan.
jutta
Administrator
Administrator
 
Beiträge: 30485
Registriert: Do 15 Apr, 2004 10:48
Wohnort: wien

Re: Linux Server - was gehört "abgeriegelt"?

Beitragvon lordpeng » Do 11 Nov, 2010 16:52

>Grundsätzlich brauche ich von ausen nur
na dann sollte alles andere auch zu sein ...

>SSH (22 - port wird noch geändert, aber ich sag nicht worauf
wozu soll das gut sein? ändern des ports bringt IMHO gar nix, sinnvoller wäre es die ip adressen zu beschränken die drauf zugreifen dürfen ...
lordpeng
Moderator
Moderator
 
Beiträge: 10198
Registriert: Mo 23 Jun, 2003 22:45

Re: Linux Server - was gehört "abgeriegelt"?

Beitragvon radditz » Do 11 Nov, 2010 17:05

lordpeng hat geschrieben:>Grundsätzlich brauche ich von ausen nur
na dann sollte alles andere auch zu sein ...

>SSH (22 - port wird noch geändert, aber ich sag nicht worauf
wozu soll das gut sein? ändern des ports bringt IMHO gar nix, sinnvoller wäre es die ip adressen zu beschränken die drauf zugreifen dürfen ...


doch tut es, es sperrt automatisierte Scripts aus, welche auf Port 22 einfach beliebige benutzernamen und passwörter ausprobieren.
So uninteressant das auch klingt, das is mir schon mal bei einen SErver hier zu hause passiert (hinter einem Telekom ADSL Anschluss). Der Server lief gerade mal 10 Stunden pro Woche...
FYI: root login über SSH wurde bereits blockiert.


Eine Beschränkung der IP-Adressen wäre sicherlich eine weitere Option, da ich aber häufig von wechselnden Standorten darauf zugreifen werde und diese alle dynamische IP adressen haben, wird dies eher schwer umzusetzen sein.


jutta hat geschrieben:> Mysql soll zur zeit nur intern erreichbar sein

ist er in den default-einstellungen eh. denn er lauscht nur auf 127.0.0.1.


sollte... war aber von außen erreichbar. Vermutlich default-einstellung des hosters...
Telematica DSL Solo Pro 30 Mbit/s
Vorher: A1 VDSL 16 Mbit/s
radditz
Ultimate Power-User
Ultimate Power-User
 
Beiträge: 4399
Registriert: Mo 23 Jun, 2003 16:50

Re: Linux Server - was gehört "abgeriegelt"?

Beitragvon lordpeng » Do 11 Nov, 2010 17:19

>doch tut es, es sperrt automatisierte Scripts aus, welche auf Port 22
>einfach beliebige benutzernamen und passwörter ausprobieren
hmmm, wirklich sicherer bist deshalb ned, aber jeder wie er will ...
mit ordentlichen kennwörtern > 10 zeichen, kannst du's bruteforce angriffen recht schwer machen ...
bei mir sehen 'gute' kennwörter für wichtige geräte in etwa so aus: 'ükd94%@+*u7/865ä#' oft sinds auch noch länger ...

möglichkeiten ssh abzusichern gibts viele, bsp. isses schon sehr effektiv, wenn man die zeiten kennt an denen mit sicherheit kein ssh zugriff erfolgt, zu diesen zeiten kannst den dienst einfach stoppen bzw. den port einfach zumachen ... andere alternative wärs wirklich wie schon erwähnt die ip's zu beschränken bsp. dass nur österreichische ip's zugreifen dürfen, das bringt auf jedenfall schon sehr viel ...
lordpeng
Moderator
Moderator
 
Beiträge: 10198
Registriert: Mo 23 Jun, 2003 22:45

Re: Linux Server - was gehört "abgeriegelt"?

Beitragvon wicked_one » Do 11 Nov, 2010 18:19

Ich bin auch kein Fan von Security trough Obscurity, aber ich muss sagen, als Teil meines Konzeptes gings bei mir auf, den SSH Port zu ändern.

Natürlich ist es kein absoluter Schutz, aber die Logfiles sind angenehm geschrumpft, die Login versuche gingen auf 0, Fail2Ban fadisiert sich seitdem ;)

Root Login via SSH zu deaktivieren, und ein starkes User+PWD Duo sind sowieso obligat, Fail2Ban ist auch ne nette Sache,... also ich fühl mich "relativ" sicher, zumindest was SSH angeht...
Never a mind was changed on an internet board, no matter how good your arguments are...

- I Am Not A Credible Source
wicked_one
Board-Guru
Board-Guru
 
Beiträge: 12244
Registriert: Mo 18 Apr, 2005 20:14

Re: Linux Server - was gehört "abgeriegelt"?

Beitragvon radditz » Do 11 Nov, 2010 18:45

der server rennt erst seit 2. November, zugriff hab ich seit gestern (freischaltung...).
ich kann nicht ausschließen, dass die IP vorher in Benutzung war, aber auth.log is voll mit bruteforce requests auf SSH...

Schon alleine der Übersicht halber (um zu kontrollieren wer sich wann und von wo einloggt) macht es sinn, den SSH Port zu ändern.
Telematica DSL Solo Pro 30 Mbit/s
Vorher: A1 VDSL 16 Mbit/s
radditz
Ultimate Power-User
Ultimate Power-User
 
Beiträge: 4399
Registriert: Mo 23 Jun, 2003 16:50

Re: Linux Server - was gehört "abgeriegelt"?

Beitragvon penguinforce » Do 11 Nov, 2010 19:56

wozu überhaupt passwörter? nur zugriff via ssh-keys.

:diabolic:
penguinforce
 

Re: Linux Server - was gehört "abgeriegelt"?

Beitragvon ANOther » Do 11 Nov, 2010 20:42

lordpeng hat geschrieben:mit ordentlichen kennwörtern > 10 zeichen, kannst du's bruteforce angriffen recht schwer machen ...
bei mir sehen 'gute' kennwörter für wichtige geräte in etwa so aus: 'ükd94%@+*u7/865ä#' oft sinds auch noch länger ...

für die scripts, die man mit "verstecken2 abwehren kann, reichen allerdings passwörter wie:

passwörtchen

1+2=3

schweinzbrodn


geheim!

(wobei "Geh heim!" auch was hätte;))

schau dir mal ein paar stunden an, was so alles an passwörtern daherkommt;)
Sex is like hacking. You get in, you get out, and you hope you didnt leave something behind that can be traced back to you.
ANOther
Board-Guru
Board-Guru
 
Beiträge: 5940
Registriert: Di 16 Aug, 2005 15:35

Re: Linux Server - was gehört "abgeriegelt"?

Beitragvon jutta » Fr 12 Nov, 2010 08:34

@MySQL
> sollte... war aber von außen erreichbar. Vermutlich default-einstellung des hosters...

bei einem hoster ist das sogar sinnvoll und zwar fuer backup und restore. wenn du backup nur ueber phpmyadmin oder dgl. machst, ist es nicht noetig. das wird aber bei groesseren datenbanken muehsam bis unmoeglich (vor allem das restore).

@bruteforce angriffe gegen port 22: dagegen ist fail2ban sehr nuetzlich.
jutta
Administrator
Administrator
 
Beiträge: 30485
Registriert: Do 15 Apr, 2004 10:48
Wohnort: wien

Re: Linux Server - was gehört "abgeriegelt"?

Beitragvon radditz » Fr 12 Nov, 2010 12:27

fail2ban werd ich mal ausprobieren, hört sich jedenfalls vernünftig an :)
Telematica DSL Solo Pro 30 Mbit/s
Vorher: A1 VDSL 16 Mbit/s
radditz
Ultimate Power-User
Ultimate Power-User
 
Beiträge: 4399
Registriert: Mo 23 Jun, 2003 16:50

Re: Linux Server - was gehört "abgeriegelt"?

Beitragvon Felis » Fr 12 Nov, 2010 15:18

penguinforce hat geschrieben:wozu überhaupt passwörter? nur zugriff via ssh-keys.

:diabolic:

Genau das wollte ich auch fragen. Alle Rechner im Freundes- und Verwandtenkreis, die ich "betreue" sind nur per Key erreichbar. Nebstbei, dass ich auch den Port geändert und Root-Login verboten habe.
Felis
Board-User Level 2
Board-User Level 2
 
Beiträge: 812
Registriert: Fr 09 Jan, 2004 11:26

Re: Linux Server - was gehört "abgeriegelt"?

Beitragvon lordpeng » Fr 12 Nov, 2010 15:57

>Genau das wollte ich auch fragen. Alle Rechner im Freundes- und Verwandtenkreis,
>die ich "betreue" sind nur per Key erreichbar
ist IMHO geschmackssache, für eigene server verwende ich ssh-keys für server auf denen mehrere leute herumwerken bevorzuge ich jedoch passwörter
lordpeng
Moderator
Moderator
 
Beiträge: 10198
Registriert: Mo 23 Jun, 2003 22:45

Nächste

Zurück zu LINUX & UNIX-DERIVATE

Wer ist online?

Mitglieder in diesem Forum: 0 Mitglieder und 33 Gäste