9. Februar 200916 j Welchen Virenscanner und welche Firewall könnt ihr mir für meinen Server empfehlen (am besten kostenlos, da der nur Privat genutzt wird) Benutze übrigens Debian Etch. Was muss man überhaupt tun um ein Linuxserver gut abzusichern?
9. Februar 200916 j Virenscanner: AVG Free for Linux (aber eigentlich nur, wenn du Daten für MS-Systeme bereitstellst) Firewall: IPtables natürlich Um deinen Server abzusichern solltest du MINDESTENS: - Nicht benutzte Dienste abschalten - Stetig verfügbare Updates installieren - Root-Logins verbieten - Sichere Passwörter verwenden
10. Februar 200916 j Welchen Virenscanner und welche Firewall könnt ihr mir für meinen Server empfehlen (am besten kostenlos, da der nur Privat genutzt wird) Benutze übrigens Debian Etch. Was muss man überhaupt tun um ein Linuxserver gut abzusichern? 1. Zu der Erkenntniss kommen, dass dich eine Firewall und/oder Virenscanner nicht schützen werden/können 2. Sichere Kennwörter verwenden und regelmässig ändern 3. Unnötige Dienste entfernen 4. Administrative Dienste (z.B. ssh) auf andere Ports mappen 5. Brute Force angriffe dämpfen z.B. durch denyhosts 6. Kein unverschlüsselter Datenverkehr zwischen Server und Client sofern die Verbindung nicht lokal ist (und selbst dann sollte man trozdem verschlüsseln), Klassisches Scenario sind hier z.B. Web Interfaces 7. Security Bulletins lesen, Gibts meistens direkt auf den jeweiligen Distributionsseiten oder Mailinglisten 8. Eine Linux User Group in deiner nähe aufsuchen, aber nichtm it der Tür ins Haus fallen.. "Mein xyz geht nicht, wer kann mir das reparieren...." Und die mit Abstand wichtigste Regel: Selber mit der Materie auseinandersetzen, am Ende bist du für den Server verantwortlich. Generell jede Aktion auch mal hinterfragen, bischen Paranoia schadet nie :bimei Bearbeitet 10. Februar 200916 j von @@@
10. Februar 200916 j 1. Zu der Erkenntniss kommen, dass dich eine Firewall und/oder Virenscanner nicht schützen werden/können 2. Sichere Kennwörter verwenden und regelmässig ändern 4. Administrative Dienste (z.B. ssh) auf andere Ports mappen 1. Also den Server vollkommen offen ohne FW ins Netz stellen, nur weil nicht auf jedem Socket ein Dienst lauscht? Komische Einstellung 2. Besser gleich auf Kennworte verzichten und stattdessen Zertifikate verwenden. 4. Sinnbefreit und kein echter Sicherheitsgewinn. Das einzige was dadurch draussen gehalten wird sind Script Kiddies die mal eben was ausprobieren wollen. Sonst ack
11. Februar 200916 j 1. Also den Server vollkommen offen ohne FW ins Netz stellen, nur weil nicht auf jedem Socket ein Dienst lauscht? Komische Einstellung 2. Besser gleich auf Kennworte verzichten und stattdessen Zertifikate verwenden. 4. Sinnbefreit und kein echter Sicherheitsgewinn. Das einzige was dadurch draussen gehalten wird sind Script Kiddies die mal eben was ausprobieren wollen. Sonst ack Ich ACK auch mal, allerdings noch mit Ergänzung 1. Es geht mir nicht darum keine FW einzusetzen (mach ich selbst auch, aber Zentral), sondern dass man sich bewusst wird, dass es mit ner FW und Virenscanner eben nicht getan ist. Zudem kommt das immer auf das Scenario an (IP Netz,NAt,Rootserver etc.) 2. Richtig ist natürlich nochmal ne Stufe sicherer, die Frage ist halt nur ob man das Zertifikat auch immer zur hand hat 4. Scriptkiddies sind auch Angreifer, und die meisten Brute Force Attacken die ich registriere kommen von Infizierten Webservern (Windoze Server mit einer Default XAMPP Installation ohne Passwort & co. sind groß im Rennen ) Unabhängig davon müllt es auch nicht die logs so stark zu. Btw. das ist bei weitem nicht die Vollständige Liste deswegen verweise ich einfach mal auf http://www.freesoftwaremagazine.com/node/1255/pdf
17. Februar 200916 j ok ok 1. dann hattest dich etwas missverständlich ausgedrückt. klang nämlich so, dass fw und av keine daseinsberechtigung hätten 2. usb stick und putty samt keys drauf sollte eigentlich jeder der nen server administriert haben. allerdings würde ich hier dann den key zusätzlich noch per pwd sichern, da sonn usb stick ja auch gern mal verloren geht. darüber hinaus gehört der key natürlich noch auf eine unabhängige ablagefläche 3. naja wenn man natürlich unbegrenzt viele login versuche zulässt spamt einem das das log zu. aber dafür gibt es dann ja wieder denyhosts als einfachste lösung. wenn einem das immer noch nicht sicher ist, würde ich persönlich zu nem portknocking dämon tendieren. dabei natürlich nicht die standardports beibehalten
Archiv
Dieses Thema wurde archiviert und kann nicht mehr beantwortet werden.