vServer ideal absichern?

  • Ich habe mir jetzt mal einen vServer bei einem Hoster gemietet und Debian 9 Image in Minimalkonfiguration installiert.

    Frage wäre, sollte man da weitere Sicherungsmaßnahmen vorsorglich treffen?


    Was ich bisher gemacht habe:

    SSH Port von 22 auf einen anderen geändert

    root Login per SSH deaktiviert

    einen eigenen User mit PW (versteht sich) für den SSH Zugriff erstellt, über den ich dann per su auf User mit höheren Zugriffsrechten switchen kann


    nmap Test laufen lassen und da waren die Ports 135, 139 und 445 Status filtered, ansonsten hat der Test 997 von 1000 ports closed ergeben.


    Die Kiste ist sonst noch blank, es laufen keine weiteren Dienste, außer:

    service --status-all

    [ - ] console-setup.sh

    [ + ] cron

    [ + ] dbus

    [ - ] hwclock.sh

    [ - ] keyboard-setup.sh

    [ + ] kmod

    [ + ] networking

    [ + ] procps

    [ + ] resolvconf

    [ + ] rsyslog

    [ + ] ssh

    [ + ] udev


    Wollte jetzt nur sicher gehen, nichts essentielles zu vergessen, bevor ich da mit irgendwelchen Experimenten anfange :spitze:

  • FTP kontrollieren. Zur Not könnte man auch andere, weniger populäre Technologien verwenden, z.B. UNIX-to-UNIX-copy.

    Oder eben nen sehr sicheren FTP-Server, wie ProFTPd oder VSFTPd.

    Wobei, FTP läuft nicht, wie ich gerade lese ;)

    „Wer immer tut, was er schon kann, bleibt immer das, was er schon ist.“

  • Zusätzlich zur Obscurity die du für SSH einsetzt, empfehle ich die Installation und Konfiguration einer Tarpit für alle Logindienste (auch für Samba oder FTP z.B., wenn man die public braucht). Das Werkzeug der Wahl wäre hier [fail2ban]. Diesen Dienst habe ich auf unserem SSH Gatewayserver installiert, nachdem wir Mal einen Breach hatten, bei dem ein Versionskontrollbenutzer mit einem sehr schwachen Passwort für einen Einbruch genutzt wurde.


    Das Konzept von fail2ban ist Tarpit-typisch: Hosts, die zuviele fehlgeschlagene Logins innerhalb einer vordefinierten Zeit auf einem Dienst ansammeln, werden für eine ebenso vordefinierte Zeit auf der Firewall (iptables/firewalld) gesperrt. Damit reduzierst du das Hammering drastisch. fail2ban nutzt zur Ermittlung dieser Fehlschläge eine Logfileanalyse.


    Ist ein sehr wirksames Werkzeug, um Angriffe auf Netzwerklogindienste zu bremsen, und auch die Last auf den Server zu reduzieren. Habe ich bei mir am Homeserver auch laufen.


    So quasi: "3 fehlgeschlagene Logins innerhalb von 20 Sekunden => IP banned für 168 Stunden".


    Alternativ dazu kannst zu grade bei SSH auch noch von passwortbasierter Authentifizierung auf Private/Public Key-basierte Authentifizierung umsteigen, um die Sicherheit zu erhöhen. Hammering auf Keys ist für Angreifer so gut wie komplett sinnfrei.

    1-6000-banner-88x31-jpg

    Stolzer Besitzer eines 3dfx Voodoo5 6000 AGP Prototypen:

    • 3dfx Voodoo5 6000 AGP HiNT Rev.A-3700 (defekt)

    [//wp.xin.at] - No RISC, no fun!

    QotY: Girls Love, BEST Love; 2018 - Lo and behold, for it is the third Coming; The third great Year of Yuri, citric as it may be!

    Edited 2 times, last by GrandAdmiralThrawn: Typos fixed #2. ().

  • Du schaltest das Pi-Hole zwischen dich und deinen DNS.

    Spricht erstmal nichts dagegen, laufzeitentechnisch wird das nur nicht das Beste sein. Aber das dürfte nicht das Problem sein.

  • Ja, nur das der dann direkt im Netz für jedermann erreichbar ist und da hab ich gerade noch einen Knoten im Kopf, ob das irgendwie problematisch werden könnte.


    Hab z.B. im Log gesehen, dass sich irgendeine chinesische IP, unmittelbar nachdem mein Server bereit stand, permanent versucht hat per SSH als root anzumelden. Damit war dann mit dem Wechsel auf einen anderen Port schluss. Wäre jetzt die Überlegung, was man noch für weitere Sicherheitsmaßnahmen ergreifen muss, wenn man so einen DNS Filter drauf installiert. Vielleicht bin ich auch nur etwas zu gedanklich verfahren da grade. Naja, dann test ich das einfach mal :spitze:

  • Der Wechsel des Ports ist aber keine echte Sicherheitsmaßnahme im engeren Sinn. Ob nun 22 oder 1234 offen im Netz steht ist egal.

    Mit dem Wechsel wehrt du nur die drive-by-shootings ab.

  • Dafür ist ja u.a. die Tarpit da. Wenn du den root Login nach z.B. 3 fehlgeschlagenen Versuchen abwehrst, und der dann erst Mal eine Woche warten muß, bis er die nächsten 3 vom Stapel lassen kann (bis er wieder gebanned ist), dann hast i.d.R. schon Mal einige tausend Loginversuche verhindert, die inzwischen hätten passieren können. Ein Kombinieren der beiden Konzepte (Obfuscation + Tarpit) ist das, was ich z.B. zu Hause einsetze. Obfuscation ist zwar bei manchen Leuten verpönt, ist aber imho sicher Mal nicht falsch.

    1-6000-banner-88x31-jpg

    Stolzer Besitzer eines 3dfx Voodoo5 6000 AGP Prototypen:

    • 3dfx Voodoo5 6000 AGP HiNT Rev.A-3700 (defekt)

    [//wp.xin.at] - No RISC, no fun!

    QotY: Girls Love, BEST Love; 2018 - Lo and behold, for it is the third Coming; The third great Year of Yuri, citric as it may be!

  • Ja, nur das der dann direkt im Netz für jedermann erreichbar ist und da hab ich gerade noch einen Knoten im Kopf, ob das irgendwie problematisch werden könnte.


    Hab z.B. im Log gesehen, dass sich irgendeine chinesische IP, unmittelbar nachdem mein Server bereit stand, permanent versucht hat per SSH als root anzumelden. Damit war dann mit dem Wechsel auf einen anderen Port schluss. Wäre jetzt die Überlegung, was man noch für weitere Sicherheitsmaßnahmen ergreifen muss, wenn man so einen DNS Filter drauf installiert. Vielleicht bin ich auch nur etwas zu gedanklich verfahren da grade. Naja, dann test ich das einfach mal :spitze:

    Na ja, alles was offen im Netz verfügbar ist, ist halt angreifbar. Daher solltest Du, wenn Du den DNS-Server wirklich im Netz betreibst, noch mehr auf regelmäßige Updates achten, um nicht mit ungepatchten Sicherheitslücken angreifbar zu sein.


    Ich habe bei meinem vServer Nagios installiert, und ein Plugin aktiviert was quasi den status von "apt-get upgrade" erfasst. Dadurch bekomme ich gleich eine Mail, wenn für mein System Updates vorliegen.


    Edit: Ach so, und ich habe zusätzlich zu fail2ban auch noch OSSEC installiert, ein Open Source Intrusion Detection System. Dadurch kriege ich auch Mails (und nicht nur Autoban), wenn jemand versucht in die Kiste zu kommen. Das muss aber jeder selbst wissen, weil es natürlich auch eine Reihe E-Mails erzeugen kann, die eigentlich nicht notwendig wären (Z.B. bekomme ich Mails, wenn jemand automatisiert meinen Mailserver nach angreifbaren Scripten oder z.B. Wordpress-Plugins abgrast. Das ist jetzt keine direkte Gefahr, die Mails ignoriere ich auch geflissentlich.)

    We are Microsoft of Borg. Assimilation is imminent. Resistance is... Error in Borg.dll. Press OK to abort.

  • Würde eigentlich was dagegen sprechen, pi-hole auf so einer Kiste zu installieren, damit man überall (halt nur ohne Tunnel ins Heimnetz) mit Junk-Filter im Internet unterwegs sein kann?

    Ha - das hab ich gemacht mit meinem vServer von netcup.

    Ich sags mal so: es ist schon witzig, was da im Log so alles auftaucht :)


    Ich hab den vServer aber wieder offline genommen, da ich niergendswo kommuniziert habe, dass das ein privat-betriebener DNS Server ist und alle Anfragen vom Server geloggt werden. Nicht dass mir noch jemand wegen DSGVO oder so ans Bein pinkelt. Mein PiHole Läuft wieder lokal im LAN. Aber genau aus dem Grund habe ich ihn auch auf einem vServer installiert. Um überall Werbefrei surfen zu können.

    Voodoo5-PC: Athlon XP 2600+, Gigabyte GA-7VRXP, Voodoo 5 5500 AGP, 1,5GB RAM


    Realität ist eine Illusion, die durch Alkoholmangel hervorgerufen wird.
    MainPC: AMD Ryzen 7 2700X, ASRock X370 GamingX, 32 GB DDR4-2666 @ 3066 MHz, GeForce RTX 2080TI, Samsung 960 Evo NVMe SSD, Thermaltake Smart DPS 700W ( Stand 25.06.19 )

    Laptop: MacBook Pro (2017)