Sikre min Fedora 4 webserver

[Hagforce]

Hei!

 

Jeg vil ha en fortnox server :!:

 

Har nå et standard fedora 4 oppsett med apache, mysql, dovecot, postfix etc.....

 

Hva må jeg ha for å gjøre serveren "uhackbar".

 

Takker så meget for alle tips!

[BeFs]

Tja, installer en brannmur?

Firestarter er ganske grei i grunnen, hvis du vil ha GUI.

[Gjest Slettet-df17e]

Start med ett iptables script som sperer alle porter utenom de du bruker.

Dersom du har ssh åpent ut mot internet burde du bytte fra port 22 til noe annet, samt nekte root login, og eller bruke su dersom du trenger root.

 

Ellers er det viktig og hodle seg oppdatert med sikkerhets-patcher på den programvaren du kjører.

Kjøre diverse tjenester i en chroot kan også være smart.

Dette er ihvertfall en liten start

Endret 23. mars 2006 av Slettet-df17e

[pgdx]

nmap serveren for å se hvilke porter som er åpne. Sperr de som er untatt 80. Sett den bak en OpenBSD-brannmur.

 

Kutt ut CMS.

[Torbjørn]

Fjern all firewall.

 

Sett opp hver applikasjon slik du ønsker. lær deg så ved å brenne deg. de applikasjonene du driter i å sette deg inn i vil muligens kompromiteres, du vil deretter tvinges til å sette deg inn i hva du faktisk sier du ønsker å sette deg inn i. Noen kortere vei til fort knox finns ikke. firewall gir deg falske puter under armene.

[FLuAA]

Om du fjerner brannmuren blir det mye lettere for scriptkiddies å få shell på boksen da. Si de har en autohacker som exploiter en applikasjon, og binder et shell på en port. Da kan de jo koble seg opp og ta kontroll. Firewall bør alle ha!

[Hagforce]

Ok...

 

Er ikke guru på linux, dette har jeg oppe nå

 

21/tcp open ftp

22/tcp open ssh

25/tcp open smtp

53/tcp open domain

80/tcp open http

81/tcp open hosts2-ns

110/tcp open pop3

111/tcp open rpcbind

143/tcp open imap

443/tcp open https

631/tcp open ipp

783/tcp open hp-alarm-mgr

953/tcp open rndc

993/tcp open imaps

995/tcp open pop3s

3306/tcp open mysql

 

Men dette er vel ting som må være åpene....

 

PS, hvordan og hvorfor bytte port på SSH

Endret 23. mars 2006 av Hagforce

[Torbjørn]

Om du fjerner brannmuren blir det mye lettere for scriptkiddies å få shell på boksen da. Si de har en autohacker som exploiter en applikasjon, og binder et shell på en port. Da kan de jo koble seg opp og ta kontroll. Firewall bør alle ha!

5798964[/snapback]

 

og den dagen de tar en applikasjon som ikke er lukket i firewallen - hvor mye lengre har han kommet da? riktig, null lengre.

[Torbjørn]

Men dette er vel ting som må være åpene....

 

5799012[/snapback]

 

du bør ikke være usikker om du ønsker deg fort knox

Endret 23. mars 2006 av Torbjørn

[JonJ]

PS, hvordan og hvorfor bytte port på SSH

5799012[/snapback]

 

Hvordan? Tror det er /etc/ssh/sshd_config

Hvorfor? Det er mange som kjører script som angriper port 22 automatisk, disse vil ikke utgjøre noen trussel for deg.

[Hagforce]

OK, da er den porten byttet...

 

Ja jeg vil ha fortnox, men er noob på linux, å det er jo en dårlig kombinasjon.

Har nettopp gått fra 2003....

 

Er det en ide med chkrootkit, portsentry etc...

 

Håper noen med god erfaring kan si litt om sitt oppsett.

[Torbjørn]

start med følgende:

 

1) lag deg en liste over hvilke tjenester du ønsker

 

2) for hver tjeneste, sett opp hvordan den skal brukes (kryptering, tilgang, etc..)

 

3) ta for deg hver tjeneste og les dokumentasjonen for hvordan du kan utføre det du satte i punkt 2

 

4) forhør deg jevnlig med dette forumet og denne tråden

[kyrsjo]

SeLinux er jo en fin ting, men ikke stol blindt på det, lær deg hvordan det funker. Men ja, se også torbjørn sine anbefalinger.

[FLuAA]

og den dagen de tar en applikasjon som ikke er lukket i firewallen - hvor mye lengre har han kommet da? riktig, null lengre.

Og med det mener du hva? Makes no sense to me

[Torbjørn]

og den dagen de tar en applikasjon som ikke er lukket i firewallen - hvor mye lengre har han kommet da? riktig, null lengre.

Og med det mener du hva? Makes no sense to me

5799804[/snapback]

 

hva hjelper din firewall deg når noen utnytter din feilkonfigurerte www-server?

 

firewallen er aldri noe annet enn en ekstern sikring mot at du ikke selv klarer å sikre dine applikasjoner og ditt system.

 

det er den siste delen i akkurat det faktumet som er trådstarters utfordring for å nå fort knox, "selv sikre sine applikasjoner".

[FLuAA]

Av erfaring vet jeg at en riktig konfigurert brannmur stopper et bind-shell. Har sett flere eksempler på at bugs i CMS'er blir utnytta til å uploade og execute et bind shell på port ditt og datt. Derfor mener jeg at man bør ha firewall.

[Torbjørn]

det er en meget relevant kommentar, bøtemiddelet er å evt. ikke bruke php, (som jeg regner med er synderen), kjøre det i safemode, eller nekte nobody brukeren eller httpd processen tilgang til å gjøre dette

[Hagforce]

Ok har gjort følgende skritt

 

-Installert logcheck, og satt opp cron jobb en gang i døgnet slik at jeg kan se unormal aktivitet

-Byttet port på ssh

-Installert chkrootkit, og satt opp cron jobb en gang i døgnet med mail rapp.

-Slått ServerSignature av i apache

 

Hvordan bruke iptables til å sette at etter foreksempel 4 feilet loginforsøk innen 60sek må en vente så og så lenge for å forsøke igjen (ssh, ftp, pop +div)....

[Gjest Slettet-df17e]

Anbefaler deg mod_sescurity til Apache. Dette er en modul som er veldig enkel å sette opp også.

Ta deg også en tur innom denne siden. Mye bra der

[Hagforce]

Hva er mod_sescurity for?