Hallo an alle,

Ich hätte da mal ne Frage.

Und zwar habe ich zu hause privat einen Debian Squeeze Server laufen.

Diesen nutze ich zum üben um mir den Umgang mit Linux Dingen näher zu bringen.

Nun wollte ich mir zu Hause auf diesen Server nen eigenen Mailserver, FTP Server und Print Server. Apache Webserver für meine Webentwicklungssachen ist schon installiert.

In Bezug auf Sicherheitsvorkehrungen habe ich folgendes getan:

• neuen Benutzer mit root Rechten angelegt und Root Benutzer gesperrt.

• Mehrstelliges Passwort für diesen gesetzt mit allen möglichen Zeichen , Sonderzeichen und Zahlenkombinationen

• Fail2Ban ist eingerichtet, sowie IPtables.

Meine Frage ist folgende, gibt es in Bezug auf die Sicherheit bei nem Server noch weitere Punkte die man beachten kann / muss / sollte?

Über konstruktive Vorschläge würde ich mich freuen

Hallo Adrian,

in Sachen Sicherheit kannst Du eigentlich nicht mehr viel tun. Die Anwendungen sollten eben am Besten nicht unter dem Benutzer root laufen.

den FTP Server dichtmachen oder den Port ändern ... und den Zugang an root via ssh dichtmachen oder auch hier den Port ändern

Hallo erstmal und danke für eure Antworten.

@Saju: danke für den Tipp werde mir dies mal anschauen wie ich das umsetze.

@charmanta: Port ändern bringt rein gar nichts. Hier kann man einfach einen Scan durchführen und horchen welcher Port bei einer bestimmten Art von Anfrage antwortet.

Da ist es egal ob du SSH auf 22 machst oder 6432. den Port kriegt man trotzdem raus

Stimmt. Aber den Portscan kann man ja unterbinden, gelle ?

Hallo erstmal und danke für eure Antworten.

@Saju: danke für den Tipp werde mir dies mal anschauen wie ich das umsetze.

@charmanta: Port ändern bringt rein gar nichts. Hier kann man einfach einen Scan durchführen und horchen welcher Port bei einer bestimmten Art von Anfrage antwortet.

Da ist es egal ob du SSH auf 22 machst oder 6432. den Port kriegt man trotzdem raus

Ja. Aber man verwirrt die "Skriptkiddies". Wer dann rein will, muss schon gezielt suchen. Ist kein Sicherheitsfeature, aber eine simple Hürde.

Okay, da habt ihr recht

@charmanta, wie kann man einen Portscann unterbinden? bzw wie muss man sich das vorstellen?

Zu SSH: Authentifizierung nur via Schlüssel und mittels sudo dann zum root wechseln. Auf FTP würde ich ganz verzichten, wenn ich ehrlich bin, da Du eh nen Apache laufen hast, würde sich z.B. WebDAV via HTTPs anbieten. Und Du kannst via SSH (scp) auch Dateien übertragen.

Ergänzung zu flashpixx:

sudo -i

ist der Befehl der Stunde

Nur das installieren was du brauchst (ggf. Programme runterschmeissen, die du nicht brauchst), Security Announces deiner Distro abonnieren und zeitig updaten.

Neben deinem fail2ban gibt es z.B. rkhunter, snort und aehnliches. Inwieweit das fuer dich snakeoil ist (oder nicht), musst du herausfinden.

Ueber deinen Mailserver sollten nur authentifizierte User relayen duerfen, Stichwort "Open Relay".

Bei mehreren WebApps bietet es sich z.B. an PHP nicht als Apache-Modul zu verwenden, sondern gegen ein CGI. Das und suexec koennen Kollateralschaden von kompromittierten/Amok laufenden Apps verringern/eliminieren.