Sie sind nicht angemeldet.

Torrentflux Sicherheit

Lieber Besucher, herzlich willkommen bei: Ubuntu-Forum & Kubuntu-Forum | www.Ubuntu-Forum.de. Falls dies Ihr erster Besuch auf dieser Seite ist, lesen Sie sich bitte die Hilfe durch. Dort wird Ihnen die Bedienung dieser Seite näher erläutert. Darüber hinaus sollten Sie sich registrieren, um alle Funktionen dieser Seite nutzen zu können. Benutzen Sie das Registrierungsformular, um sich zu registrieren oder informieren Sie sich ausführlich über den Registrierungsvorgang. Falls Sie sich bereits zu einem früheren Zeitpunkt registriert haben, können Sie sich hier anmelden.

marcsen

User

  • »marcsen« ist der Autor dieses Themas

Beiträge: 5

Registrierungsdatum: 22.02.2007

  • Nachricht senden

1

10.08.2007, 10:04

Torrentflux Sicherheit

Hallo zusammen,

habe mir aus alten Komponenten einen Unbuntu 7 Server zusammen gebaut. Verbaut ist eine 80 GB Platte! Diese habe ich in 3 Partition unterteilt.

- 9 GB für das System
- 1 GB als Swap Partition
- ca. 69 GB als Daten Partition (/home)

Installiert habe ich die aktuelle Torrentflux Version und alle dazu gehörigen Pakete die da wären:

- apache2
- php5
- mysql-server
- php5-mysql
- php5-curl
- python

Torrentflux läuft auch schon bereits.
Arbeiten tuhe ich per SSH an der Kiste.

Jetzt zum eigentlichen Thema. Wie mache ich das ganze irgendwie sicher? Der Server soll wenn er mal fertig ist bei mir zuhause rund um die Uhr laufen. Das ist wie ein kleines Projekt von mir. Nichts großartiges...

Möchte später nur per DynDns Account auf mein Torrentflux von überall aus zugreifen können.

Ein paar einstellungen in der sshd_config habe ich auch schon vorgenommen.

- Port auf 666
- PermitRootLogin No
- PermitEmptyPasswords no

Habt Ihr sonst noch irgendwelche Ideen?
Möchte ungern das der Server nachdem er ein paar Tage lief, von irgendwelchen Angreifern platt gemacht wird...!

Würde mich über ein paar Antworten freuen.

Danke schonmal!

Marc

maettu

User

  • »maettu« ist männlich

Beiträge: 3 299

Registrierungsdatum: 14.09.2005

Derivat: Xubuntu

Architektur: 64-Bit PC

Desktop: XFCE

  • Nachricht senden

2

10.08.2007, 10:33

RE: Torrentflux Sicherheit

Hab dir hier ein paar Links:
https://help.ubuntu.com/community/AdvancedOpenSSH
https://help.ubuntu.com/7.04/server/C/index.html

Gruess
Maettu

PS: Wieso schaut niemand die offizielle Serverdokumentation an??

hoschi78

User

  • »hoschi78« ist männlich

Beiträge: 504

Registrierungsdatum: 07.02.2006

Derivat: Ubuntu

Architektur: 32-Bit PC

  • Nachricht senden

3

11.08.2007, 23:55

Du solltest den ssh-server auf einem anderen Port als 666 lauschen lassen. Ports <1024 sind priviligierte Ports und "meistens" fest vergeben. Setz den auf 2222 oder 22222 ... oder 22345. was immer dir beliebt.
Des weiteren solltest du natürlich eine Firewall auf dem Server zurechtbasteln. iptables ist hier dein Freund.
Alles droppen, was nicht explizit erlaubt ist und erlaubt ist ansich nur INPUT auf SSH (evtl VON IP-ADresse aa.bb.cc.dd) und OUTPUT "related,established".

AK Vorrat

skummy

User

  • »skummy« ist männlich

Beiträge: 677

Registrierungsdatum: 08.07.2007

Derivat: Ubuntu

Architektur: 32-Bit PC

  • Nachricht senden

4

12.08.2007, 01:56

Och naja...ein System, dass immer regelmäßig upgedatet wird und sichere Passwörter verwendet, braucht die Dienste auch nicht auf einen anderen Port anbieten. So ein System kommt außerdem auch ohne Firewall aus.
Gruß,
Sandro

Intel Core 2 Duo E4400 2.0 GHZ @ 2,5 GHZ | ASUS P5N-E SLI nForce650i SLI | Geforce 7900GT@530MHZ/750MHZ | 2 GB Aeneon PC800 | be quiet Straight Power BQT E5-450W | Linux Know-How: http://www.skummy.de

Dieser Beitrag wurde bereits 2 mal editiert, zuletzt von »skummy« (12.08.2007, 01:57)

hoschi78

User

  • »hoschi78« ist männlich

Beiträge: 504

Registrierungsdatum: 07.02.2006

Derivat: Ubuntu

Architektur: 32-Bit PC

  • Nachricht senden

5

12.08.2007, 06:14

Klar, ein System was z.b. mit einer festen IP im Internet hängt gehört gehärtet, aber grade, wenn man z.B. nur von einer bestimmten IP den Zugriff auf einen bestimmten Dienst zulassen will, ist eine Firewall das Maß der Dinge.. oder.. wenn nur bestimmte Protokolle genutzt werden dürfen um zu/nach XYZ zu connecten.
Die Firewalldiskussion habe ich schon gelesen, meiner Ansicht nach sollte man, trotz aller Vorsicht und/oder Argumenten dagegen, eine einsetzen.

AK Vorrat

skummy

User

  • »skummy« ist männlich

Beiträge: 677

Registrierungsdatum: 08.07.2007

Derivat: Ubuntu

Architektur: 32-Bit PC

  • Nachricht senden

6

12.08.2007, 13:03

OK...wollte hier keine Grundsatzdiskussion über die Notwendigkeit einer Firewall anfangen. Meiner Meinung nach (und das ist mein letzter Post zu diesem Thread) braucht es einen Paketfilter nur fürs NAT/Routing.
Gruß,
Sandro

Intel Core 2 Duo E4400 2.0 GHZ @ 2,5 GHZ | ASUS P5N-E SLI nForce650i SLI | Geforce 7900GT@530MHZ/750MHZ | 2 GB Aeneon PC800 | be quiet Straight Power BQT E5-450W | Linux Know-How: http://www.skummy.de

marcsen

User

  • »marcsen« ist der Autor dieses Themas

Beiträge: 5

Registrierungsdatum: 22.02.2007

  • Nachricht senden

7

14.08.2007, 12:30

Hallo zusammen,

erstmal vielen Dank für die ganzen Antworten.
Bin jetzt wie folgt vorgegangen:

- RSA Schlüssel für SSH eingerichtet
- SSH Passwort anmeldung ist verboten
- Port auf 22222 gelegt.
- LoginGraceTime auf 20 Sekunden verkürzt

Zusätzlich wird vor jeder Anmeldung an den Server ein Text angezeigt worin steht das alles aufgezeichnet wird und so. Habe da so ein HowTo im Internet für gefunden. Die genaue URL kann ich leider nicht sagen sorry..!

Könnte ich den Server jetzt so laufen lassen? Oder fällt jemand noch was ein? Ich denke mal es gibt noch ein Haufen von anderen Sachen die gemacht werden könnten.

Ich wollte noch die Apacha + Php Versions informationen ausblenden lassen damit man diese nicht abfragen kann! Doch in meiner httpd.conf Datei finde ich keinen Eintrag den ich dazu ändern könnte. Die Datei ist bei mir leer!

Kann mir da vielleicht jemand bei helfen?
Und was könnte man noch machen?

Der Server sollte später wie gesagt per Dyn.dns ansprechbar sind. Und hängt im gleichen Netz wie die anderen rechner.

Danke schonmal

hoschi78

User

  • »hoschi78« ist männlich

Beiträge: 504

Registrierungsdatum: 07.02.2006

Derivat: Ubuntu

Architektur: 32-Bit PC

  • Nachricht senden

8

16.08.2007, 22:37

Auch wenn ich mich wiederhole... ich würd nen Firewall basteln.

Quellcode

 
1

Möchte später nur per DynDns Account auf mein Torrentflux von überall aus zugreifen können.

Überall meint wirklich überall ? Oder eventuell nur von der Uni oder der Arbeitsstelle ?
Wenn ja und du von deinem "überall" fixe IP-Adressen hast, dann würde ich den Zugriff auch nur von eben solchen IP-Adressen / -bereichen zulassen.

Ansonsten sieht das für den Anfang nicht schlecht aus. Google mal ein bisschen nach "linux härten" .. schau dir evtl. mal Bastille an.

AK Vorrat