xDSL.at

[radditz]

Hi,

hier ein AUszug aus netstat:

Code: Alles auswählen

root@MYSERVER /etc# netstat -epl
Active Internet connections (only servers)
Proto Recv-Q Send-Q Local Address           Foreign Address         State       User       Inode       PID/Program name
tcp        0      0 *:https                 *:*                     LISTEN      root       1390160071  9913/apache2
tcp        0      0 *:microsoft-ds          *:*                     LISTEN      root       3975406226  -
tcp        0      0 *:mysql                 *:*                     LISTEN      mysql      1210516978  22367/mysqld
tcp        0      0 *:netbios-ssn           *:*                     LISTEN      root       3975406227  -
tcp        0      0 *:www                   *:*                     LISTEN      root       1390160065  9913/apache2
tcp        0      0 MYSERVER:domain *:*                     LISTEN      bind       1199054904  25781/named
tcp        0      0 localhost:domain        *:*                     LISTEN      bind       1199054902  25781/named
tcp        0      0 localhost:953           *:*                     LISTEN      bind       1199054918  25781/named
tcp6       0      0 [::]:22               [::]:*                  LISTEN      root       1168548898  30476/sshd
udp        0      0 *:50500                 *:*                                 bind       1199054905  25781/named
udp        0      0 MYSERVER:domain *:*                                 bind       1199054903  25781/named
udp        0      0 localhost:domain        *:*                                 bind       1199054897  25781/named
udp     4080      0 *:netbios-ns            *:*                                 root       3975405974  -
udp        0      0 *:netbios-dgm           *:*                                 root       3975405975  -
udp6       0      0 [::]:57169              [::]:*                              bind       1199054906  25781/named
Active UNIX domain sockets (only servers)
Proto RefCnt Flags       Type       State         I-Node   PID/Program name    Path
unix  2      [ ACC ]     STREAM     LISTENING     1210516979 22367/mysqld        /var/run/mysqld/mysqld.sock


Grundsätzlich brauche ich von ausen nur
Apache2 (80 + 443)
SSH (22 - port wird noch geändert, aber ich sag nicht worauf )
Mysql soll zur zeit nur intern erreichbar sein

"müssen" die anderen dienste denn laufen? Wenn nein, wie kann ich sie deaktivieren? Ansonsten: soll ich die Firewall einfach restriktiver einstellen, damit von außen nichts durchkommt?

[wicked_one]

Brauchst du vielleicht auch was von "Innen" ?

[radditz]

Hauptsächlich http downloads (99.9%),
der Rest läuft alles über apache2 und ssh;

Im Moment habe ich die Firewall so konfiguriert (zumindest suggeriert mir das Parallels Power Panel - Firewall), dass nur Apache2 und ssh durchkommen.

edit: dass der Server auf "ping" antwortet wäre auch noch akzeptabel :>

[jutta]

> Mysql soll zur zeit nur intern erreichbar sein

ist er in den default-einstellungen eh. denn er lauscht nur auf 127.0.0.1. wenn du mir per pn die ip von dem server verraetst, mach ich dir einen portscan.

[lordpeng]

>Grundsätzlich brauche ich von ausen nur
na dann sollte alles andere auch zu sein ...

>SSH (22 - port wird noch geändert, aber ich sag nicht worauf
wozu soll das gut sein? ändern des ports bringt IMHO gar nix, sinnvoller wäre es die ip adressen zu beschränken die drauf zugreifen dürfen ...

[radditz]

>Grundsätzlich brauche ich von ausen nur
na dann sollte alles andere auch zu sein ...

>SSH (22 - port wird noch geändert, aber ich sag nicht worauf
wozu soll das gut sein? ändern des ports bringt IMHO gar nix, sinnvoller wäre es die ip adressen zu beschränken die drauf zugreifen dürfen ...

doch tut es, es sperrt automatisierte Scripts aus, welche auf Port 22 einfach beliebige benutzernamen und passwörter ausprobieren.
So uninteressant das auch klingt, das is mir schon mal bei einen SErver hier zu hause passiert (hinter einem Telekom ADSL Anschluss). Der Server lief gerade mal 10 Stunden pro Woche...
FYI: root login über SSH wurde bereits blockiert.


Eine Beschränkung der IP-Adressen wäre sicherlich eine weitere Option, da ich aber häufig von wechselnden Standorten darauf zugreifen werde und diese alle dynamische IP adressen haben, wird dies eher schwer umzusetzen sein.

> Mysql soll zur zeit nur intern erreichbar sein

ist er in den default-einstellungen eh. denn er lauscht nur auf 127.0.0.1.

sollte... war aber von außen erreichbar. Vermutlich default-einstellung des hosters...

[lordpeng]

>doch tut es, es sperrt automatisierte Scripts aus, welche auf Port 22
>einfach beliebige benutzernamen und passwörter ausprobieren
hmmm, wirklich sicherer bist deshalb ned, aber jeder wie er will ...
mit ordentlichen kennwörtern > 10 zeichen, kannst du's bruteforce angriffen recht schwer machen ...
bei mir sehen 'gute' kennwörter für wichtige geräte in etwa so aus: 'ükd94%@+*u7/865ä#' oft sinds auch noch länger ...

möglichkeiten ssh abzusichern gibts viele, bsp. isses schon sehr effektiv, wenn man die zeiten kennt an denen mit sicherheit kein ssh zugriff erfolgt, zu diesen zeiten kannst den dienst einfach stoppen bzw. den port einfach zumachen ... andere alternative wärs wirklich wie schon erwähnt die ip's zu beschränken bsp. dass nur österreichische ip's zugreifen dürfen, das bringt auf jedenfall schon sehr viel ...

[wicked_one]

Ich bin auch kein Fan von Security trough Obscurity, aber ich muss sagen, als Teil meines Konzeptes gings bei mir auf, den SSH Port zu ändern.

Natürlich ist es kein absoluter Schutz, aber die Logfiles sind angenehm geschrumpft, die Login versuche gingen auf 0, Fail2Ban fadisiert sich seitdem

Root Login via SSH zu deaktivieren, und ein starkes User+PWD Duo sind sowieso obligat, Fail2Ban ist auch ne nette Sache,... also ich fühl mich "relativ" sicher, zumindest was SSH angeht...

[radditz]

der server rennt erst seit 2. November, zugriff hab ich seit gestern (freischaltung...).
ich kann nicht ausschließen, dass die IP vorher in Benutzung war, aber auth.log is voll mit bruteforce requests auf SSH...

Schon alleine der Übersicht halber (um zu kontrollieren wer sich wann und von wo einloggt) macht es sinn, den SSH Port zu ändern.

[penguinforce]

wozu überhaupt passwörter? nur zugriff via ssh-keys.

[ANOther]

mit ordentlichen kennwörtern > 10 zeichen, kannst du's bruteforce angriffen recht schwer machen ...
bei mir sehen 'gute' kennwörter für wichtige geräte in etwa so aus: 'ükd94%@+*u7/865ä#' oft sinds auch noch länger ...

für die scripts, die man mit "verstecken2 abwehren kann, reichen allerdings passwörter wie:

passwörtchen

1+2=3

schweinzbrodn

geheim!

(wobei "Geh heim!" auch was hätte;))

schau dir mal ein paar stunden an, was so alles an passwörtern daherkommt;)

[jutta]

@MySQL
> sollte... war aber von außen erreichbar. Vermutlich default-einstellung des hosters...

bei einem hoster ist das sogar sinnvoll und zwar fuer backup und restore. wenn du backup nur ueber phpmyadmin oder dgl. machst, ist es nicht noetig. das wird aber bei groesseren datenbanken muehsam bis unmoeglich (vor allem das restore).

@bruteforce angriffe gegen port 22: dagegen ist fail2ban sehr nuetzlich.

[radditz]

fail2ban werd ich mal ausprobieren, hört sich jedenfalls vernünftig an

[Felis]

wozu überhaupt passwörter? nur zugriff via ssh-keys.

Genau das wollte ich auch fragen. Alle Rechner im Freundes- und Verwandtenkreis, die ich "betreue" sind nur per Key erreichbar. Nebstbei, dass ich auch den Port geändert und Root-Login verboten habe.

[lordpeng]

>Genau das wollte ich auch fragen. Alle Rechner im Freundes- und Verwandtenkreis,
>die ich "betreue" sind nur per Key erreichbar
ist IMHO geschmackssache, für eigene server verwende ich ssh-keys für server auf denen mehrere leute herumwerken bevorzuge ich jedoch passwörter