Wie soll ein Server gesichert werden? [geschlossen]


22

In Bezug auf Ubuntu 10.04, Server Edition, welche Tools / Vorgehensweisen würden Sie empfehlen, um den Server zu sichern?

Antworten:


25

Dies ist ein bisschen unspezifisch, aber im Allgemeinen müssen Sie

  • Führen Sie eine Firewall wie iptables oder ufw aus , um die Verbindung zu offenen Ports zu verwalten.

  • Installieren Sie nur die Software, die Sie benötigen.

  • Führen Sie nur Dienste aus, die für den Betrieb des Servers erforderlich sind.

  • Halten Sie diese Software mit allen Sicherheitspatches auf dem neuesten Stand.

  • Richten Sie neue Benutzer mit den geringsten Berechtigungen ein, die sie zur Erfüllung ihrer Aufgaben benötigen.

  • Führen Sie denyhosts oder fail2ban aus , um nach Brute-Force-Angriffen zu suchen .

  • Führen Sie logwatch aus, um Sie per E-Mail über Unregelmäßigkeiten in den Protokolldateien zu informieren .

  • Überprüfen Sie Ihre Protokolle häufig auf verdächtige Aktivitäten.

  • Verwenden Sie immer sudo und sichere Passwörter.

  • Deaktivieren Sie schwache und mittelstarke Chiffren in SSL für Apache, Exim, Proftpd, Dovecot usw.

  • Stellen Sie die Dienste so ein, dass nur localhost abgehört wird (sofern zutreffend).

  • Führen Sie das chkrootkit täglich aus.

  • Führen Sie clamscan so oft aus, wie es zur Suche nach Windows-Viren erforderlich ist (falls zutreffend).

  • Seien Sie wachsam, kennen Sie Ihren Server, wissen Sie, was er tun soll und was nicht.

Sie werden die Sicherheit nur dann gewährleisten, wenn Sie sie ständig überprüfen und sichern. Wenn Sie nicht wissen, was etwas macht oder wie oder warum oder etwas verdächtig aussieht, fragen Sie einfach andere um Rat.


9

Ehrfürchtige Antwort von Richard Holloway. Wenn Sie nach einer bestimmten Schritt-für-Schritt-Anleitung suchen, lesen Sie die folgende 2-teilige Anleitung aus der Slicehost-Bibliothek.

  1. http://articles.slicehost.com/2010/4/30/ubuntu-lucid-setup-part-1
  2. http://articles.slicehost.com/2010/4/30/ubuntu-lucid-setup-part-2

Ich benutze es fast überall, wenn ich eine Ubuntu Server-Instanz einrichten muss. Ich bin sicher, du würdest es lieben.

Eine weitere gute Quelle ist die Linode Library unter http://library.linode.com/

Schauen Sie sich die Artikel an beiden Stellen an. Dort sind jede Menge Informationen verfügbar, und Sie sind mit dem nötigen Wissen ausgestattet, um mit Ihrem Server zurechtzukommen.

PS: Auf keinen Fall kann eine Bibliothek die Intuition, Einsicht und Entscheidungsfähigkeit eines großen Sys-Administrators ersetzen.


Immer froh, Hilfe
Mir Nazim

"Großartige Antwort von Richard Holloway ..." - Danke Mann. Ich kann sehen, dass wir gute Freunde werden.
Richard Holloway

2

Etwas, was ich nicht erwähnt sehe, ist "benutze 64bit". Dies stellt unter anderem sicher, dass Sie über einen NX-Speicherschutz verfügen.


Außerdem erhalten Sie lokale Root-Exploits, wenn Sie den 32-Bit-Kompatibilitätsmodus verwenden.
vh1

Nur wenn Sie nicht über Kernel-Sicherheitsupdates auf dem Laufenden bleiben. :)
Kees Cook

1

Drei Dinge, die ich eher empfehle, sind:

  • Mounten Sie alle global beschreibbaren Bereiche (/ tmp, / var / tmp) als 'noexec': Dies ist größtenteils sicher, außer (zum Zeitpunkt des Schreibens), es sei denn, Sie möchten ein Upgrade Ihres Systems durchführen. Weitere Informationen finden Sie unter Fehler # 572723 auf dem Launchpad.

  • Installieren Sie keine Compiler oder Assembler, es sei denn, dies ist unbedingt erforderlich. Ich halte dies für selbsterklärend.

  • Erste Schritte mit AppArmor: AppArmor kann als Alternative zu SELinux angesehen werden und ist eine großartige Funktion von Ubuntu für Sandbox-Anwendungen, um sicherzustellen, dass sie nicht mehr Zugriff haben, als sie benötigen. Ich empfehle, den Leitfaden in den Foren zu lesen, wenn Sie interessiert sind. http://ubuntuforums.org/showthread.php?t=1008906


1
  • Installieren und konfigurieren Sie iptables mit einem für Ihre Umgebung geeigneten Regelsatz. Eingehenden und ausgehenden Datenverkehr filtern.
  • psad , um Port-Scans auf Ihrem System zu erkennen und zu warnen .
  • Verwenden Sie fail2ban , um Brute-Force-Anmeldeversuche gegen SSH zu verhindern.
  • Remotezugriff über das Root-Konto nicht zulassen, da dies unter anderem bedeutet, dass ein Angreifer sowohl den Benutzernamen als auch das Kennwort erzwingen muss, wenn er versucht, einen brutalen Zugriff auf Ihren Server zu erzwingen.
  • Verwenden Sie für alle Benutzerkonten sichere Kennwörter.
  • Beschränken Sie den SSH-Zugriff so, dass er nach Möglichkeit nur von bestimmten IP-Adressen aus verfügbar ist.
  • Verwenden Sie Tripwire eines anderen Host-basierten Intrusion Detection-Systems.
  • Überwachen Sie den Server mit einem Netzwerküberwachungsprogramm wie Nagios.

0

Wenn ich Sie wäre, würde ich in iptables (Standard-Linux-Firewall) nachsehen, welche Dienste ausgeführt werden. Grundsätzlich möchten Sie nur die Dienste ausführen, die Sie benötigen, dh keinen Webserver, wenn Sie nur einen E-Mail-Server einrichten und nur die Ports geöffnet haben, die Sie tatsächlich benötigen. Alles andere sollte gesperrt werden!

Anleitung zu iptables: https://help.ubuntu.com/community/IptablesHowTo

Hoffe das hilft!

ps Wenn du mehr Hilfe benötigst, geh auf irc und drücke den # ubuntu-server-Kanal auf freenode


Durch die Nutzung unserer Website bestätigen Sie, dass Sie unsere Cookie-Richtlinie und Datenschutzrichtlinie gelesen und verstanden haben.
Licensed under cc by-sa 3.0 with attribution required.