Mailinglist Archive: opensuse-de (2050 mails)
| < Previous | Next > |
Re: Serversicherheit ABC
- From: Sandy Drobic <suse-linux@xxxxxxxxxxxxxxxxxxxxxxx>
- Date: Sun, 04 Mar 2007 17:09:00 +0100
- Message-id: <45EAEF1C.6000109@xxxxxxxxxxxxxxxxxxxxxxx>
Taner Ayaydin wrote:
>> Netzwerk:
>> - Alle Services, insbesondere die über das Netzwerk ansprechbaren
>> schließen, die nicht benötigt werden.
>
> Ich müsste mal schauen, welche Dienste über das Netzwerk ansprechbar sind. Wie gehe ich das am besten durch? Ich sollte mir erst einmal Linux Basiswissen aneignen ;)
> In Plesk kann ich noch einstellen, dass die Plesk Konsole nur über eine bestimmte IP-erreichbar ist. Dann wäre nur der Port für Plesk mal abgesichert. Aber, meine eigene IP ist auch nicht immer dieselbe. Sie fängt mal mit 88 an, mal mit 91.
Auf der Serverkonsole kannst du mit "netstat" nachsehen, welche Ports
offen sind und auf welche IPs sie gebunden sind.
Schau dir einfach mal die Ausgabe von "netstat -antp" an. Das zeigt dir
bestehende TCP-Verbindungen und lauschende TCP-Ports an.
Die zweite Sichtweise ist die von extern. Nimm dazu ein Werkzeug wie nmap
und taste deinen Server mal von außen ab. Auch von außerhalb deines
eigenen Netzes aus dem Internet. Manche Dienste willst du nicht ins
Internet anbieten.
Dann beende jeden Dienst, der nicht benötigt wird. Suse z.B. hat als
Standard NFS und Portmap aktiv. Wenn du keine Laufwerke über NFS anbietest
oder mountest, dann sollten diese nicht laufen.
>> - Begrenze den das Anbieten des Dienstes auf die benötigten IP-Adressen.
>> Wenn MySQL nur von localhost aus genutzt wird, dann sollte auch kein
>> direkter Zugriff über das Netzwerk erlaubt sein.
>
> Da habe ich mal kurz in Plesk geschaut, ob man das einstellen kann. Nichts. Ich sollte das Plesk echt mal rausschmeißen, so wie es aussieht.
> An sich brauche ich den Server eh nur für unsere einzige Community. Also, da wären keine Kunden angelegt oder andere Benutzer.
Solche Einstellungen wirst du wohl nur auf der Konsole machen können.
Vergesse auf keinen Fall, deine Änderungen zu dokumentieren! Später suchst
du dir einen Wolf ab, welche der Änderungen die Konfiguration gebrochen hat.
Es hilft auch, die Konfigurationsdateien vor einer Änderung in ein
Backup-Verzeichnis zu kopieren.
cp /etc/my.cnf /etc/backup/my.cnf_2007-03-04
Schreibe kleine Kommentare zu den Änderungen, damit du später weisst,
warum du daran gefummelt hast. Wenn du das konsequent machst, sparst du am
Ende Zeit, weil du für die Fehlerbehebung weniger Zeit brauchst.
>> Zugriffsrechte:
>> - Definiere genau, welche User, insbesondere anonymous, auf was zugreifen
>> dürfen. Wenn du es nicht genau weisst, dann verbiete erst einmal alles,
>> räume dann die Zugriffsrechte ein auf Resourcen und warte auf Schreie. (^-
>> ^)
>> Wenn das nicht möglich ist, musst du die Zugriffsrechte für alle Resourcen
>> einzeln durchgehen und konfigurieren. Ziemlich viel Arbeit.
>
> Ich habe hier nur root und ein webx User, der Shell Zugriff braucht und einen FTP-Zugang. Mehr eigentlich nicht.
Mein FTP ist so konfiguriert, dass root nicht sich über FTP einloggen kann
und nur explizit freigegebene User auf FTP zugreifen können.
>> Verwaltung innerhalb des Dienstes:
>> Danach wird es spezifisch, du musst je nach Applikation schauen, ob Rechte
>> /Einschränkungen sinnvoll gesetzt wurden oder noch konfiguriert werden
>> müssen.
>> Bei Apache etwa würde ich, wenn möglich, den Zugriff auf
>> Admin-Verzeichnisse nur von internen IP-Adressen aus erlauben und für das
>> Internet komplett sperren.
>
> Mit dem Admin-Verzeichnis ist wahrscheinlich eine Adminkonsole von Apache gemeint, um ihn zu verwalten?
Nö, damit sind administrative Verzeichnisse der installierten
Seiten/Programme gemeint. Auf das Unterverzeichnis ./phpmyadmin darf nur
der Adminrechner zugreifen, niemand sonst. Genauso auch für die
Konfigverzeichnisse von Squirrelmail und anderen Applikationen oder
interne Webseiten wie meine Mailserver-Statistiken.
--
Sandy
Antworten bitte nur in die Mailingliste!
PMs bitte an: news-reply2 (@) japantest (.) homelinux (.) com
--
Um die Liste abzubestellen, schicken Sie eine Mail an:
opensuse-de+unsubscribe@xxxxxxxxxxxx
Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken
Sie eine Mail an: opensuse-de+help@xxxxxxxxxxxx
>> Netzwerk:
>> - Alle Services, insbesondere die über das Netzwerk ansprechbaren
>> schließen, die nicht benötigt werden.
>
> Ich müsste mal schauen, welche Dienste über das Netzwerk ansprechbar sind. Wie gehe ich das am besten durch? Ich sollte mir erst einmal Linux Basiswissen aneignen ;)
> In Plesk kann ich noch einstellen, dass die Plesk Konsole nur über eine bestimmte IP-erreichbar ist. Dann wäre nur der Port für Plesk mal abgesichert. Aber, meine eigene IP ist auch nicht immer dieselbe. Sie fängt mal mit 88 an, mal mit 91.
Auf der Serverkonsole kannst du mit "netstat" nachsehen, welche Ports
offen sind und auf welche IPs sie gebunden sind.
Schau dir einfach mal die Ausgabe von "netstat -antp" an. Das zeigt dir
bestehende TCP-Verbindungen und lauschende TCP-Ports an.
Die zweite Sichtweise ist die von extern. Nimm dazu ein Werkzeug wie nmap
und taste deinen Server mal von außen ab. Auch von außerhalb deines
eigenen Netzes aus dem Internet. Manche Dienste willst du nicht ins
Internet anbieten.
Dann beende jeden Dienst, der nicht benötigt wird. Suse z.B. hat als
Standard NFS und Portmap aktiv. Wenn du keine Laufwerke über NFS anbietest
oder mountest, dann sollten diese nicht laufen.
>> - Begrenze den das Anbieten des Dienstes auf die benötigten IP-Adressen.
>> Wenn MySQL nur von localhost aus genutzt wird, dann sollte auch kein
>> direkter Zugriff über das Netzwerk erlaubt sein.
>
> Da habe ich mal kurz in Plesk geschaut, ob man das einstellen kann. Nichts. Ich sollte das Plesk echt mal rausschmeißen, so wie es aussieht.
> An sich brauche ich den Server eh nur für unsere einzige Community. Also, da wären keine Kunden angelegt oder andere Benutzer.
Solche Einstellungen wirst du wohl nur auf der Konsole machen können.
Vergesse auf keinen Fall, deine Änderungen zu dokumentieren! Später suchst
du dir einen Wolf ab, welche der Änderungen die Konfiguration gebrochen hat.
Es hilft auch, die Konfigurationsdateien vor einer Änderung in ein
Backup-Verzeichnis zu kopieren.
cp /etc/my.cnf /etc/backup/my.cnf_2007-03-04
Schreibe kleine Kommentare zu den Änderungen, damit du später weisst,
warum du daran gefummelt hast. Wenn du das konsequent machst, sparst du am
Ende Zeit, weil du für die Fehlerbehebung weniger Zeit brauchst.
>> Zugriffsrechte:
>> - Definiere genau, welche User, insbesondere anonymous, auf was zugreifen
>> dürfen. Wenn du es nicht genau weisst, dann verbiete erst einmal alles,
>> räume dann die Zugriffsrechte ein auf Resourcen und warte auf Schreie. (^-
>> ^)
>> Wenn das nicht möglich ist, musst du die Zugriffsrechte für alle Resourcen
>> einzeln durchgehen und konfigurieren. Ziemlich viel Arbeit.
>
> Ich habe hier nur root und ein webx User, der Shell Zugriff braucht und einen FTP-Zugang. Mehr eigentlich nicht.
Mein FTP ist so konfiguriert, dass root nicht sich über FTP einloggen kann
und nur explizit freigegebene User auf FTP zugreifen können.
>> Verwaltung innerhalb des Dienstes:
>> Danach wird es spezifisch, du musst je nach Applikation schauen, ob Rechte
>> /Einschränkungen sinnvoll gesetzt wurden oder noch konfiguriert werden
>> müssen.
>> Bei Apache etwa würde ich, wenn möglich, den Zugriff auf
>> Admin-Verzeichnisse nur von internen IP-Adressen aus erlauben und für das
>> Internet komplett sperren.
>
> Mit dem Admin-Verzeichnis ist wahrscheinlich eine Adminkonsole von Apache gemeint, um ihn zu verwalten?
Nö, damit sind administrative Verzeichnisse der installierten
Seiten/Programme gemeint. Auf das Unterverzeichnis ./phpmyadmin darf nur
der Adminrechner zugreifen, niemand sonst. Genauso auch für die
Konfigverzeichnisse von Squirrelmail und anderen Applikationen oder
interne Webseiten wie meine Mailserver-Statistiken.
--
Sandy
Antworten bitte nur in die Mailingliste!
PMs bitte an: news-reply2 (@) japantest (.) homelinux (.) com
--
Um die Liste abzubestellen, schicken Sie eine Mail an:
opensuse-de+unsubscribe@xxxxxxxxxxxx
Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken
Sie eine Mail an: opensuse-de+help@xxxxxxxxxxxx
| < Previous | Next > |