Abhärtung gegen Angriffe

Kartoffelrudi

Cadet 2nd Year
Registriert
Jan. 2017
Beiträge
16
-

-
 
Zuletzt bearbeitet:
jup den PC sicher halten mit dem du auf den Server zugreifen tust und ihn einrichtest ... weil sonst das Passwort 200 Stellen haben kann und trotzdem geknackt wird in 5 sekunden.
 
Welche Services laufen auf dem Debian Server?
Wie sind die Cracker reingekommen?
 
-

-
 
Zuletzt bearbeitet:
Und was läuft auf dem Webserver?
Lass dir doch nicht alles aus der Nase ziehen.

Was sagt netstat -lanp|grep LIST|grep tcp ?
Hatten die Kiddies root oder nicht?
Ist es ein VPS mit altem Kernel?
 
-

-
 
Zuletzt bearbeitet:
root login sollte man als erstes deaktivieren.
Selbst wenn der Server abgesichert ist findet man in den Logs zig Versuche sich per root einzuloggen - meistens aus China.
Um das zu minimieren sollte auch der Standartport geändert werden.
 
-

-
 
Zuletzt bearbeitet:
Da du nicht begreifst um was es geht ist es hoffnungslos: mir geht es nicht darum was für Webseiten gehostet werden, sondern was für Software drauf läuft!
Dann noch Plesk...
Und wahrscheinlich noch Multiuser von Leuten die nicht viel davon verstehen die die Software für ihre eigenen Webseiten installieren ("Bekannte").
 
Zuletzt bearbeitet:
-

-
 
Zuletzt bearbeitet:
Nur den Login verbieten - du musst dich also erst mit einem anderen User anmelden und kannst dann switchen.
Das ist eigentlich das allererste was man machen sollte sobald ein Server online geht.

https://www.thomas-krenn.com/de/wiki/SSH_Root_Login_unter_Debian_verbieten

Check mal /var/log/auth.log müsste das sein. Da findest du bestimmt tausende Einträge von Loginversuchen.
 
Vielleicht solltest du auch mal das Betriebssystem überdenken. Debian ist ja jetzt nicht gerade als besonders aktuelles OS konzipiert.
 
-

-
 
Zuletzt bearbeitet:
Kartoffelrudi schrieb:
Gibt es da noch mehr worauf ich achten sollte ?
Das Securing Debian Manual beantwortet eigentlich alle diesbezüglichen Fragen.

Das offizielle Administrator-Handbuch hat natürlich auch ein Kapitel dazu:
https://www.debian.org/doc/manuals/debian-handbook/security.de.html

Ebenso wie das Debian-Anwenderhandbuch:
http://www.debiananwenderhandbuch.de/sicherheit.html

Was ich vielleicht noch zusätzlich erwähnen würde, weil ich nicht weiß, obs woanders steht oder nicht:

  • Sperr Deine Netzwerkdienste ein!
    systemd bietet dafür Möglichkeiten aber auch Programme wie Firejail
  • Tools wie Lynis helfen dabei, Schwachpunkte auf dem System aufzudecken und Sicherheitshinweise zu geben (z.B. checkrestart zu nutzen, um nach einem Update zu gucken, ob da noch Programme im RAM sind die die veraltete Version der aktualisierten Bibliothek nutzen etc.).
  • Lass Dir Mail vom Server schicken. Dort finden sich auch Hinweise zu fehlgeschlagenen Updates und sonstigen Problemen. Viele Sicherheitsprogramme schicken dahin auch ein regelmäßigen Report.
  • Verwende Prüfsummentests, um die Unversehrtheit Deines Systems sicherzustellen (tripwire und Co)
    (was aber zugegebenermaßen vor allem dann am meisten Sinn macht, wenn man physischen Zugang zur Maschine hat)
  • Darüber hinaus gibts auch Penetrationtests, die man einfach mal auf seinen Server loslassen kann.
    (die Distribution KALI-Linux enthält viele davon; man kann sie natürlich auch getrennt von KALI verwenden; aber zumindest weiß man, womit der Admin von heute so testet)

Wenn Du das alles gemacht und durchgearbeitet hast, hast Du schon mal einen guten Ausgangspunkt bezüglich Linux-Server-Security erreicht. Die Basics, wie man heutzutage so schön sagt.
Ergänzung ()

DunklerRabe schrieb:
Vielleicht solltest du auch mal das Betriebssystem überdenken. Debian ist ja jetzt nicht gerade als besonders aktuelles OS konzipiert.
So lange es keinen Nachteil hinsichtlich des Betriebes (Software XYZ die man benutzt braucht ein aktuelleres Environment), was ist daran das Problem?

Eigentlich will man doch auf dem Server tendenziell eher abgehangene Sachen. Aber vielleicht ist da meine Haltung auch zu naiv.
 
Da du nicht begreifst um was es geht ist es hoffnungslos
Du hast ja schon wieder ne Laune. Ja, der Server ist offensichtlich nicht in der erfahrensten Hand, kommt halt vor.

@TE:
Du kannst neben den Basics nicht viel tun:
-SSH root Login verbieten. Hat nichts damit zu tun ob du einmal eingeloggt "su root" nutzen kannst. Du kommst nur nicht mehr vom entfernten System in den root-Account.
-Software aktuell halten und Updates regelmäßig fahren. Wenn du risikofreudig bist und dich wenig damit beschäftigen willst auch per cronjob.
-Newsletter der genutzten Software abonnieren, dann weißt du wann es kritische Sicherheitslücken gibt und kannst entsprechend reagieren.

Galt Debian nicht immer als stabil ? Dies war der eigentliche Grund wieso ich damals überhaupt Debian eingesetzt habe.
Jop, ist auch super stabil, aber eben nicht aktuell. Nutze genau deshalb CentOS. Vergleichbare Stabilität und aktuellere Paketquellen. Die funktionieren auch sehr ähnlich, da musst du dich nicht groß umgewöhnen.
 
-

-
 
Zuletzt bearbeitet:
Gibt es da noch mehr worauf ich achten sollte ?
Ja, Updates einspielen!
Außerdem die Dienste die laufen mit so wenig Rechten wie möglich versehen, damit hält sich der Schaden in Grenzen wenn über eine Lücke im Dienst auf den Server zugegriffen werden kann.
 
sdwaroc schrieb:
Du kannst neben den Basics nicht viel tun:
Die Basics sind schon ne ganze Menge. Aber vielleicht haben wir ja unterschiedliche Vorstellungen davon, was in diese Kategorie reinfällt und was nicht. :-)

sdwaroc schrieb:
-Software aktuell halten und Updates regelmäßig fahren. Wenn du risikofreudig bist und dich wenig damit beschäftigen willst auch per cronjob.
Normalerweise brennt dabei nix an, da Debian keine neuen Versionen einspielt, sondern die Fixes in die Version einbaut, die auch mit stable ausgeliefert wurde.
Wenns also eher danach aussieht (und hier sieht es für mich danach aus), dass man sich nicht täglich um den Server kümmern möchte, sollte man automatische Updates machen statt risikofreudig sein und darauf verzichten.

sdwaroc schrieb:
-Newsletter der genutzten Software abonnieren, dann weißt du wann es kritische Sicherheitslücken gibt und kannst entsprechend reagieren.
Ja. Es gibt sogar von Debian direkt ein Security-Newsletter (debian-security-announce).
Da kriegt man dann natürlich Nachricht auch über Pakete, die man nicht hat. Dafür aber auch zuverlässig Infos, die Debian selbst kaputt gepatcht hat. :-)

sdwaroc schrieb:
Jop, ist auch super stabil, aber eben nicht aktuell. Nutze genau deshalb CentOS. Vergleichbare Stabilität und aktuellere Paketquellen. Die funktionieren auch sehr ähnlich, da musst du dich nicht groß umgewöhnen.
Ja. Wobei das jetzt schon unter Feinheiten fällt. Darum kann man sich mal in the long run kümmern. Zunächst einmal gilt es überhaupt den Server sicher zum laufen zu kriegen. Da ist es jetzt wenig hilfreich ne andere Distribution anzubringen, auch wenn die Unterschiede (für den der sich auskennt) jetzt nicht so groß scheinen.
Ergänzung ()

Knecht_Ruprecht schrieb:
Aus dem Artikel:
die Debian- und Red-Hat-Entwickler arbeiten momentan daran.
Keine Ahnung, wenn genau das Kernel-Update von Debian rausgehauen wurde, aber heute vormittag konnte ich ihn schon einspielen.
 
Basics heißt für mich die Software nicht zu nutzen sondern sich mit den Configs auseinander gesetzt zu haben und im Zweifel jeden Standartwert wenigsten kurz zu hinterfragen. Meiner Meinung nach reicht es bspw. absolut nicht aus Apache über Plesk zu installieren und sich über die angezeigte Seite im Browser zu freuen. Vermutlich ist das aber schon viel für die meisten Hobbyadmins.

Und ja, natürlich ist ein anderes Linux eine Feinheit. Wurde nur im Thread oben drüber irgendwo erwähnt, deshalb bin ich drauf eingegangen. Mit beiden Systemen ist und bleibt der Admin in der Verantwortung ordentlich zu arbeiten. Beide Distributionen sind je nach Admin gleich sicher oder eben auch unsicher.
 
Zuletzt bearbeitet:
Zurück
Oben