Webserver sicherer machen ?
Hallo, ich habe gestern meine Website geändert. Darin verweise ich auf ein Message Board, welches auf meinem privaten Server liegt. Nun gibt es ja immer wieder Probleme mit der Sicherheit - mehr oder weniger. Gibt es bei der Distribution Hilfsmittel, die mir dabei helfen, den Server sicherer zu machen ? Gruß Lothar
Moin, welchen Webserver benutzt Du denn? Welche Linux-Distribution genau? Steht Dein "privaten Server" bei Dir zuhause oder bei einem Provider? Grüße, Felix Lothar Behrens schrieb:
Hallo,
ich habe gestern meine Website geändert. Darin verweise ich auf ein Message Board, welches auf meinem privaten Server liegt. Nun gibt es ja immer wieder Probleme mit der Sicherheit - mehr oder weniger.
Gibt es bei der Distribution Hilfsmittel, die mir dabei helfen, den Server sicherer zu machen ?
Gruß
Lothar
Ich habe einen SuSE 9.1 mit Patches, die etwa vor einem Monat installiert wurden. Privat (DSL zuhause). Ich habe bei meinem ISP nur eine 5 MB MySQL Datenbank und ich weiß nicht, wie schnell die mit phpBB2 voll ist. Daher leite ich das Message Board (http://www.lollisoft.de -> Board) erstmal auf meinen Privaten Server. Ich habe eine Firewall vor dem Server und nur nötige Ports offen. Apache2 und php4 ist installiert. Alles noch ohne Security checks :-( Lothar Am 17.05.2005 um 10:32 schrieb Felix Nawroth:
Moin,
welchen Webserver benutzt Du denn? Welche Linux-Distribution genau? Steht Dein "privaten Server" bei Dir zuhause oder bei einem Provider?
Grüße, Felix
Lothar Behrens schrieb:
Hallo, ich habe gestern meine Website geändert. Darin verweise ich auf ein Message Board, welches auf meinem privaten Server liegt. Nun gibt es ja immer wieder Probleme mit der Sicherheit - mehr oder weniger. Gibt es bei der Distribution Hilfsmittel, die mir dabei helfen, den Server sicherer zu machen ? Gruß Lothar
-- Um die Liste abzubestellen, schicken Sie eine Mail an: suse-linux-unsubscribe@suse.com Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: suse-linux-help@suse.com
-- Lothar Behrens | Rapid Prototyping ... Rosmarinstr 3 | 40235 Düsseldorf | www.lollisoft.de
Hallo, Lothar Behrens schrieb:
Ich habe einen SuSE 9.1 mit Patches, die etwa vor einem Monat installiert wurden. Online-Update per YAST und/oder apt-get machst Du bestimmt?
Privat (DSL zuhause). Ich habe bei meinem ISP nur eine 5 MB MySQL Datenbank und ich weiß nicht, wie schnell die mit phpBB2 voll ist. Kann ich auch nichts genaues zu sagen. Es müßte eigentlich etwas dauern, bis die 5mb voll sind. Hab hier z.B. Shakespeares gesammelte Werke als ascii, und das sind 5,3mb. Und das ist ganz schön viel zu lesen... :-)
Ich habe eine Firewall vor dem Server und nur nötige Ports offen. Apache2 und php4 ist installiert. Da die Kiste bei Dir zuhause steht, würde ich sshd, inetd und ftpd abschalten. Grundsätzlich alles überflüssige.
Speziell für Apache2 benutze ich sehr gern mod_security. Das filtert einfach mit regulären Ausdrücken "böse" Anfragen an den Server raus und logt das ganze natürlich fein mit. Besonders schön ist, daß es ständig aktualisierte Filterregeln gibt, die von der Benutzergemeinschaft auf die jeweils neuen Sicherheiteslücken in den verbreitetsten BB's, Apache-Modulen usw. angepaßt werden: http://www.gotroot.com/mod_security+rules http://modsecrules.monkeydev.org/index.php Bei mir auf dem Server versuchte neulich zum Beispiel jemand, über eine Sicherheitslücke in awstats einzudringen. Wurde durch mod_security wunderbar gestoppt. Auch sehr nett: Man kann gleich Filterregeln mit einpflegen, die das Spammen in Foren reduzieren (auch anhand von Schlüsselwörtern, meist anhand der beworbenen URLs). Andere Programme: Auf der SuSE-DVD (zumindest auf meiner 9.2) sind Bastille, Tripwire, Snort, Nessus, seccheck, aide und chkrootkit drauf. Das sind wahrscheinlich schon mehr als genug. Aber paranoid genug kann man eigentlich nicht sein ;-) Und dann würde ich mal nach rkhunter und logcheck suchen. Nette kleine Tools, die per Cronjob gestartet werden und einiges bringen. Vielleicht kennt noch jemand anders eine aktuellere Alternative zu logcheck? Ist wohl etwas älter. Viele Hinweise aus dem Debian-Howto kann man 1zu1 übernehmen: http://www.linuxsecurity.com/docs/harden-doc/html/securing-debian-howto/ Hoffe, das hilft Dir weiter - steige selbst grad erst ins Thema ein. Viel Spaß :-)
Am 17.05.2005 um 14:44 schrieb Felix Nawroth:
Hallo,
Lothar Behrens schrieb:
Ich habe einen SuSE 9.1 mit Patches, die etwa vor einem Monat installiert wurden. Online-Update per YAST und/oder apt-get machst Du bestimmt?
Ist schonpassiert :-) Habe auch schon snort installiert.
Privat (DSL zuhause). Ich habe bei meinem ISP nur eine 5 MB MySQL Datenbank und ich weiß nicht, wie schnell die mit phpBB2 voll ist. Kann ich auch nichts genaues zu sagen. Es müßte eigentlich etwas dauern, bis die 5mb voll sind. Hab hier z.B. Shakespeares gesammelte Werke als ascii, und das sind 5,3mb. Und das ist ganz schön viel zu lesen... :-)
Wie auch immer...
Ich habe eine Firewall vor dem Server und nur nötige Ports offen. Apache2 und php4 ist installiert. Da die Kiste bei Dir zuhause steht, würde ich sshd, inetd und ftpd abschalten. Grundsätzlich alles überflüssige.
sshd ist erlaubt. Muss ich allerdings noch besser konfigurieren.
Speziell für Apache2 benutze ich sehr gern mod_security. Das filtert einfach mit regulären Ausdrücken "böse" Anfragen an den Server raus und logt das ganze natürlich fein mit. Besonders schön ist, daß es ständig aktualisierte Filterregeln gibt, die von der Benutzergemeinschaft auf die jeweils neuen Sicherheiteslücken in den verbreitetsten BB's, Apache-Modulen usw. angepaßt werden: http://www.gotroot.com/mod_security+rules http://modsecrules.monkeydev.org/index.php
Cool. Gibts denn eine allgemeine Anlaufstelle für soetwas ?
Bei mir auf dem Server versuchte neulich zum Beispiel jemand, über eine Sicherheitslücke in awstats einzudringen. Wurde durch mod_security wunderbar gestoppt. Auch sehr nett: Man kann gleich Filterregeln mit einpflegen, die das Spammen in Foren reduzieren (auch anhand von Schlüsselwörtern, meist anhand der beworbenen URLs).
Muss ich mir dann wohl mal ansehen :-)
Andere Programme: Auf der SuSE-DVD (zumindest auf meiner 9.2) sind Bastille, Tripwire, Snort, Nessus, seccheck, aide und chkrootkit drauf. Das sind wahrscheinlich schon mehr als genug. Aber paranoid genug kann man eigentlich nicht sein ;-)
Snort hab ich jetzt ja installiert (mit Datenbankanbindung). Suche allerdings noch einen Client (sollte erstmal nicht via PHP auf dem Server liegen, der extern erreichbar ist). Ich kenne da bisher eigentlich ein brauchbares Java Tool (SAM). Mein eigenes Tool (von meinem Projekt) könnte ich dafür auch einsetzen. Ich habe schonmal versucht, die 'Anwendung' zu konfigurieren. Läuft :-) Allerdings kenne ich die Datenstruktur nicht so gut. Und mein Tool unterstützt noch nicht alle Datentypen. Aber: Konfiguriert habe ichs unter Windows und Testen kann ich's auf meinem Mac. Naja, eben mein Projekt.
Und dann würde ich mal nach rkhunter und logcheck suchen. Nette kleine Tools, die per Cronjob gestartet werden und einiges bringen. Vielleicht kennt noch jemand anders eine aktuellere Alternative zu logcheck? Ist wohl etwas älter.
Viele Hinweise aus dem Debian-Howto kann man 1zu1 übernehmen: http://www.linuxsecurity.com/docs/harden-doc/html/securing-debian- howto/
Hoffe, das hilft Dir weiter - steige selbst grad erst ins Thema ein. Viel Spaß :-)
Gibts nicht, wie oben schon erwähnt, eine allgemeine Anlaufstelle - eben ein BB ? Danke Lothar
-- Um die Liste abzubestellen, schicken Sie eine Mail an: suse-linux-unsubscribe@suse.com Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: suse-linux-help@suse.com
-- Lothar Behrens | Rapid Prototyping ... Rosmarinstr 3 | 40235 Düsseldorf | www.lollisoft.de
Lothar Behrens wrote:
Privat (DSL zuhause). Ich habe bei meinem ISP nur eine 5 MB MySQL Datenbank und ich weiß nicht, wie schnell die mit phpBB2 voll ist.
Ja, mit 5MB kommt man nicht weit. Hier die Statistik von www.deutsche-in-london.net: Anzahl der Beiträge: 29261 Anzahl der Themen: 2982 Anzahl der Benutzer: 1379 Datenbankgröße: 46.24 MB
Daher leite ich das Message Board (http://www.lollisoft.de -> Board) erstmal auf meinen Privaten Server.
Ich habe eine Firewall vor dem Server und nur nötige Ports offen. Apache2 und php4 ist installiert.
beschaeftige Dich mit mod_security. Sehr gut im Apache2 Buch von Sebastian Wolfgarten erklaert. Das wuerde ich auf jeden Fall laufen lassen, so kann man die meisten phpBB Attacken rausfiltern. (taeglich nach PhpBB Updates schauen ist eh pflicht). cu stonki
Am 19 May 2005 um 0:04 hat Stefan Onken geschrieben:
Ja, mit 5MB kommt man nicht weit. Hier die Statistik von www.deutsche-in-london.net:
Anzahl der Beiträge: 29261 Anzahl der Themen: 2982 Anzahl der Benutzer: 1379 Datenbankgröße: 46.24 MB
Ich bin da auf der sicheren Seite. Habe genug Platz. Nur wenn da mal wirklich mehr Traffic vorkommt, sehe ich mit meiner privaten DSL 128Up/1000Down schwarz. Aber erst mal sehen. Vielleicht gibt es ja eine Möglichkeit, neuere Postings auf meinen öffentlichen ISP zu legen und ältere auf meinen privaten Server. Nur zur Referenz. Aber ich weis nicht, wie das mit der Datenbanksyncronisation dan gehen soll. Naja, noch kein Thema.
Daher leite ich das Message Board (http://www.lollisoft.de -> Board) erstmal auf meinen Privaten Server.
Ich habe eine Firewall vor dem Server und nur nötige Ports offen. Apache2 und php4 ist installiert.
beschaeftige Dich mit mod_security. Sehr gut im Apache2 Buch von Sebastian Wolfgarten erklaert. Das wuerde ich auf jeden Fall laufen lassen, so kann man die meisten phpBB Attacken rausfiltern. (taeglich nach PhpBB Updates schauen ist eh pflicht).
Habe mir Snort installiert. Damit muss ich mich auch noch beschäftigen. Da gibts doch auch ein Buch für. Mal gucken. Aber ein Application Level Filter, wie mod_security es wohl auch ist, wird die bessere Wahl sein. Zum Thema Updates: Warum kann es dafür nicht auch ein automatisches Update geben ? Zum Beispiel durch einen Agenten, der hinterher prüft, ob die Site noch lebt. Wenn nicht, Backup automatisch zurück spielen. Neue Updates werden bei phpBB eh. auf der site angekündigt. Lothar
cu stonki
-- Um die Liste abzubestellen, schicken Sie eine Mail an: suse-linux-unsubscribe@suse.com Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: suse-linux-help@suse.com
-- Lothar Behrens | Rapid Prototyping ... Rosmarinstr 3 | 40235 Düsseldorf | www.lollisoft.de
participants (4)
-
Felix Nawroth
-
Lothar Behrens
-
lothar.behrens@lollisoft.de
-
Stefan Onken