Strato Root Server
- Themenstarter Zergi
- Beginndatum
Thomas Kuse
Erfahrenes Mitglied
Wär nicht schlecht wenn du auch gleich die Distribution nennst.
Zwischen denen gibt es Unterschiede, besonders bei den älteren.
Zwischen denen gibt es Unterschiede, besonders bei den älteren.
Arne Buchwald
Erfahrenes Mitglied
Ich vermute mal, dass SuSE zum Einsatz kommt, aber das ist auch erstmal egal.
Wichtig:
- Programme immer aktuell halten (Damit hast du schon die halbe Miete)
- Sichere Konfiguration der Programme
- Invormiere dich über IDS (und installiere es).
Kauf dir: "Building Secure Server with Linux" aus dem O'Reilly-Verlag. Da steht alles drin, was du brauchst.
Wichtig:
- Programme immer aktuell halten (Damit hast du schon die halbe Miete)
- Sichere Konfiguration der Programme
- Invormiere dich über IDS (und installiere es).
Kauf dir: "Building Secure Server with Linux" aus dem O'Reilly-Verlag. Da steht alles drin, was du brauchst.
1) Einene Kernel mit dengrsecurity-Modulen kompilieren und installieren.
2) Mit pstree und nmap (Wer von euch hat Matrix II aufmerksam gesehen?
) das System auf laufende Dienste und offene Ports kontrollieren. Nicht benötigte Dienste deinstallieren und/oder per
entfernen.
3) Mit den iptables eine sinnvolle Firewall aufsetzen, iptable-generatoren gibt es auf freshmeat.net, Sourceforge.net und, online & life, auf harry.homelinux.org.
4) inetd evt. mit dem besseren xinetd ersetzen.
5) Das Debian-Paket "harden-doc" installieren, keine Ahnung ob und wie man das für SuSE bekommt, evt. dpkg nachinstallieren und das Paket auf debian.org herunterladen/installieren.
Mehr fällt mir spontan nicht ein - doch, eins noch: Benutz nicht das notorische Sicherheitsloch Sendmail, Postfix ist hundertmal besser, vor allem jedoch sicherer.
2) Mit pstree und nmap (Wer von euch hat Matrix II aufmerksam gesehen?
) das System auf laufende Dienste und offene Ports kontrollieren. Nicht benötigte Dienste deinstallieren und/oder per
Code:
# update-inetd --remove [SERVICENAME]3) Mit den iptables eine sinnvolle Firewall aufsetzen, iptable-generatoren gibt es auf freshmeat.net, Sourceforge.net und, online & life, auf harry.homelinux.org.
4) inetd evt. mit dem besseren xinetd ersetzen.
5) Das Debian-Paket "harden-doc" installieren, keine Ahnung ob und wie man das für SuSE bekommt, evt. dpkg nachinstallieren und das Paket auf debian.org herunterladen/installieren.
Mehr fällt mir spontan nicht ein - doch, eins noch: Benutz nicht das notorische Sicherheitsloch Sendmail, Postfix ist hundertmal besser, vor allem jedoch sicherer.
Hmm... Also das Problem is das ich noch nich so viele erfahrungen mit Linux habe. Also die Distribution ist schonmal suse. Ich möchte aber gerne dann SuSE 9.0 Installieren. Aber danke schonmal für die Tipps. Das Buch, wo gibts das? gibts das auch auf Deutsch?
Auf dem Server läuft ja dann Confixx 2.0 ich hab irgendwie gehört der würde irgendwelche Sicherheitseinstellungen selbst vornehmen oder wie ist das?
Auf dem Server läuft ja dann Confixx 2.0 ich hab irgendwie gehört der würde irgendwelche Sicherheitseinstellungen selbst vornehmen oder wie ist das?
Christian Fein
Erfahrenes Mitglied
In dem Fall, rate ich dir den Server abzumelden, dich 1-2 Jahre intensiev mit Linux zu beschäftigen.
Andernfalls sehe ich für dich keine Chance den sicher zu bekommen.
//wetten es regt sich irgendjemand wieder über mein "Arrogante Haltung" auf!
ne, der Sinn is ja datt ich das daran lerne. Ich mach momentan ne Ausbildung zum fisi und wollte ebend nebenher ein bisschen zum spielen haben. Also Apache Mysql und co. zu Installieren hab ich ja alles schon hinbekommen. Gibt ja auch coole Tutorials dazu. Ich wollt ebend Learning by doing machen. Und ich hab mir nun mal n paar tuts durchgelesen und mir so ne iptable erstellen lassen und denke hab das jetzt auch so weitesgehend verstanden wie das abläuft. Was ich aber gern wissen würde is wie diese nats funktionieren...
Sowas hier:
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j DNAT --to-destination xxx
Also das des heitsst das da ne regel für eth0 am port 80 dazugefügt wird kann ich mir schon vorstellen und das die dann irgendwie umgeleitet werden. Aber an was denn? An ne andere IP würd ich mal sagen oder? Oder kann man da nen Ordner Festlegen und sagen alle pakte sollen nur zu diensten in diesen Ordner weitergeleitet werden?
Sowas hier:
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j DNAT --to-destination xxx
Also das des heitsst das da ne regel für eth0 am port 80 dazugefügt wird kann ich mir schon vorstellen und das die dann irgendwie umgeleitet werden. Aber an was denn? An ne andere IP würd ich mal sagen oder? Oder kann man da nen Ordner Festlegen und sagen alle pakte sollen nur zu diensten in diesen Ordner weitergeleitet werden?
Christian Fein
Erfahrenes Mitglied
Das ist eine gute Sache, nur machst du dabei einen entscheidenen Fehler.
Du nimmst einen Server der mit ner Dicken Leitung im Internet hängt. Dies ist nicht eine gute Art um sich Kenntnisse anzueignen.
Gründe:
- Dein Server kann zu Spamming missbraucht werden. (Rate mal wieso soviel Emails ohne korrekte Email adresse weiter relayed werden!, Genau weil viele ohne Ahnung einen unix Server betreiben.) Da freuen sich die Spammer.
- Dein Server kann als Warez Pub missbraucht werden. Einen gut eingerichteten Pub zu erkennen, hat was mit Erfahrung zu tun. Es gibt Pubs die sind seid 2-3 Jahren aktiv, weil der Admin keine Ahnung hat. Dazu solltest du wissen das du dich Strafbar machst wenn du sowas nicht erkennen kannst, und nicht dagegen vorgehst.
Zudem könntest du bei der Traffic Rechnung grosse Augen bekommen, ich kenne ein Fall bei dem es um eine 4 Stellige Euro Nachzahlung ging.
- Dein Webserver kann zu DDoS Attacken gegen andere Server missbraucht werden. Mit einer so dicken Anbindung, ist dein Server eine Waffe, mit der mann andere Rechner in die Knie zwingen kann.....
PS: Linux kannst du dir kostenlos von http://www.linuxiso.org runterladen und bei dir zuhause installieren. Das ist genau die selbe Software die dich im Netz erwartet nur
mit dem Vorteil das aufgrund der Begrenzten Bandbreite von DSL du keine Gefahr
für andere darstellst.
