Thema Sicherheit

Du suchst ein Programm für einen bestimmten Zweck?
Antworten
Benutzeravatar
Huck Fin
Beiträge: 1202
Registriert: 10.03.2008 17:10:30

Thema Sicherheit

Beitrag von Huck Fin » 13.01.2017 12:41:12

Hi, scheinbar haben die Russen Langeweile.
Nachdem ich die letzten Wochen einen gehackten Webshop unter Joomla / Virtuemart wieder sicher gemacht habe musste ich dann feststellen, dass auf meinem privaten Server, der hier zuhause steht, versucht wurde einzubrechen.
Ich habe nur Port 80 und 443 im Router offen und einen Dyndns Dienst, der darauf zugreift.
Dahinter mein Apache mit Webmail und Owncloud und... ich hatte mal was getestet mit Mybb.
Und beim Mybb haben sich wohl schon seit längerem Leute versucht einzuklinken. 8O
Wär mir nie aufgefallen, wenn ich nicht gerade Piler teste und dort eine Mail vom Mybb an irgendwen raus ging.
Ich dachte, da nur ich die dyndns Adresse kenne, passiert da eher wenig.
Aber denkste... :facepalm:

Jetzt habe ich den Sumpf erst mal trocken gelegt.

Nun möchte ich mein System noch besser machen.
Fail2ban läuft ja schon immer drauf, aber ich will etwas, was Einbruchsversuche meldet und Änderungen am System protokolliert.

Gibt es etwas, was Ihr empfehlt ?
Ich habe schon mal gegoogelt und Sachen gefunden wie Lwatch, incron, iwatch
Was empfehlt Ihr denn so ?

Benutzeravatar
MSfree
Beiträge: 10686
Registriert: 25.09.2007 19:59:30

Re: Thema Sicherheit

Beitrag von MSfree » 13.01.2017 13:28:32

Huck Fin hat geschrieben:Ich dachte, da nur ich die dyndns Adresse kenne, passiert da eher wenig.
Seit wann kann man nur per DynDNS-Hostname auf einen Rechner zugreifen? Eine systematische Suche z.B. über den IP-Adressbereich 84.128.1.1 bis 84.191.255.254 liefert dir ziemlich viele T-Online-Kunden mit wenig Sicherheitsbewustsein.
aber ich will etwas, was Einbruchsversuche meldet und Änderungen am System protokolliert.
Tripwire?

BenutzerGa4gooPh

Re: Thema Sicherheit

Beitrag von BenutzerGa4gooPh » 13.01.2017 15:03:50

aber ich will etwas, was Einbruchsversuche meldet
Vlt Debiansnort? Machen viele auch direkt auf dem Router/FW.
https://de.m.wikipedia.org/wiki/Snort

Benutzeravatar
heisenberg
Beiträge: 3473
Registriert: 04.06.2015 01:17:27
Lizenz eigener Beiträge: MIT Lizenz

Re: Thema Sicherheit

Beitrag von heisenberg » 13.01.2017 15:18:24

Das Thema HostBased IDS ist recht umfangreich. Das kann man machen, kostet aber durchaus etwas Einarbeitung. OSSEC wäre ein aktuelles System.

----

Bzgl. der Vorgehensweise würde ich mir erst Mal Gedanken machen, ob es nicht Zugriffe ausschliessen kannst. Sprich Zugriff auf diverse URLs oder Ports, die nur von festgelegten Quellen/IPs zugreifbar sein müssen. Alles was nicht erreichbar ist, ist auch erst Mal nicht hackbar.

Man könnte zusätzlich darüber nachdenken, den einen oder anderen Dienst hinter ein VPN auf dem Server zu packen, dass wäre dann eine ähnlich hohe Hürde.

Zum Thema Joomla, Wordpress und Konsorten gehört auch ein regelmässiges Update und auch die Recherche bzgl. der Sicherheitssitutation sowie regelmässige Updates - was schon auch sehr aufwändig sein kann.

Ich arbeite recht viel mit individuellen Fail2ban Filtern, die ich u. a. auf die Webserver-Logfiles loslasse. Es laufen immer irgendwelche Programme, die das ganze Internet abgrasen. Wenn man da öfters mal die Logs mit awk/sed auswertet und prüft, was die Besucher so machen, dann sieht man auch schon an vielen Requests einzelner Clients bei welchen Angriffspunkten da angesetzt wird.
... unterhält sich hier gelegentlich mangels wunschgemäßer Gesprächspartner mal mit sich selbst.

Benutzeravatar
Huck Fin
Beiträge: 1202
Registriert: 10.03.2008 17:10:30

Re: Thema Sicherheit

Beitrag von Huck Fin » 13.01.2017 17:31:39

Fail2ban ist drauf.
OSSEC auch.

Ich habe mal incron installiert und überwache nun zwei Ordner.
Leider schaffe ich es nicht, die Ausgabe in eine bestimmte Datei umzuleiten.

Snort... gibt es da ne Anleitung zu (installation / verwenden)

Benutzeravatar
heisenberg
Beiträge: 3473
Registriert: 04.06.2015 01:17:27
Lizenz eigener Beiträge: MIT Lizenz

Re: Thema Sicherheit

Beitrag von heisenberg » 13.01.2017 17:36:33

OSSEC
Der Neugierde halber: Wie hast Du es denn konfiguriert? Bisher habe ich damit nix zu tun gehabt. Aber ich würde jetzt mal vermuten, dass es da viel Arbeit gibt.

Fail2Ban macht in der Standardkonfiguration AFAIK auch nur SSH-Überwachung, und auch nur mit 10 Minuten Sperre. Also fast gar nix.

Snort ist IMO noch komplexer. Damit würde ich nicht unbedingt beginnen.
... unterhält sich hier gelegentlich mangels wunschgemäßer Gesprächspartner mal mit sich selbst.

Benutzeravatar
Huck Fin
Beiträge: 1202
Registriert: 10.03.2008 17:10:30

Re: Thema Sicherheit

Beitrag von Huck Fin » 13.01.2017 17:43:37

Fail2ban ist doch easy...
Alles schon vorgegeban.
OSSEC ist schon soooo lange auf dem system
Weis ich gar nicht mehr.
Muss ich mich nochmal mit befassen.

breakthewall
Beiträge: 507
Registriert: 30.12.2016 23:48:51

Re: Thema Sicherheit

Beitrag von breakthewall » 17.01.2017 15:16:21

Huck Fin hat geschrieben: Nun möchte ich mein System noch besser machen.
Fail2ban läuft ja schon immer drauf, aber ich will etwas, was Einbruchsversuche meldet und Änderungen am System protokolliert.

Gibt es etwas, was Ihr empfehlt ?
Ich habe schon mal gegoogelt und Sachen gefunden wie Lwatch, incron, iwatch
Was empfehlt Ihr denn so ?
Grundsätzlich wenn es um Logging von Aktivitäten geht, ist auditd aus dem Repository eine gute Wahl. Denn Niemand weiß mehr um die Ereignisse als der Linux-Kernel selbst. Damit hättest auch nützliche Analyse-Programme, die dir unter anderem mitteilen können, welche Arten von geloggten Aktivitäten denn schädliche Intentionen verfolgen.

Allerdings würde ich dir eher dazu raten weniger in Richtung Logging zu gehen, sondern mehr präventive Schutzoptionen zu beleuchten. Es ist ziemlich lästig hinterher aufzuräumen und zu analysieren, wenn ein Schaden bereits eingetreten ist. Besser wäre das es erst gar nicht dazu kommt.

Ein paar dieser Schutzoptionen wären:

Systemd:
Macht sich Kernelfunktionen zunutze wie, Cgroups, Namespaces, Seccomp-bpf und Capabilities, um Dienste wie auch Programme innerhalb des Systems zu isolieren. Somit ließen sich Mybb, Apache und mehr, schon mal recht effektiv einschränken, über die eigenen Unit-Files deren Sicherheitsoptionen sich der Manpage man systemd.exec entnehmen lassen.

Firejail:
Nutzt ebenfalls zuvor genannte Kernelfunktionen, ist aber speziell darauf ausgerichtet alltägliche Programme zu isolieren. Ob das nun der Browser ist oder Sonstiges was genutzt wird, ist dabei recht egal, kann alles ziemlich komfortabel eingeschränkt werden. Das Positive daran wäre, dass kein unmittelbarer Verlust an Funktionalität damit einher geht, und oft nicht zu merken ist, dass ein betreffendes Programm überhaupt eingeschränkt wurde. Kann auch als Shell eingerichtet werden, um schädliche Nutzereingaben zu minimieren.

Iptables:
Hier lohnt es sich sehr die Manpages viel genauer anzusehen, da man hier ohne zu übertreiben, ausserordentlich restriktive oder gar paranoide Konfigurationen erstellen kann. Ebenfalls sehr nützlich um möglichen Angriffen besser zu begegnen.

GrSecurity:
Empfiehlt sich sehr um den Linux-Kernel selbst besser zu härten, und insbesondere gegen eine Vielzahl von Angriffsformen besser abzusichern. Essentiel ist es auch von Bedeutung, um kernel-seitige Restriktionen wirksamer zu machen. Denn jegliches Logging wie auch Sicherheitssysteme helfen wenig, wenn es möglich war eine Lücke im Linux-Kernel selbst auszunutzen. Nebenbei erwähnt, werden seit mehreren Kernelversionen nun, einige Techniken aus GrSecurity kompatibel in den Mainline-Kernel eingepflegt, was auf lange Sicht nur Vorteile bringen kann.

Volume-Separation/Mountoptionen:
Es ist überaus empfehlenswert sein System in mehrere Volumes aufzusplitten, z.B. /, /tmp, /home, /var/log um jedem Bereich einen eigenen Sicherheitskontext zu verpassen, und um letztlich die Angriffsfläche zu verringern. Auch nette Mountoptionen wie, ro, nodev, noexec und nosuid, sind sehr hilfreich, um Systembereiche besser zu härten im Falle eines Einbruchs. Zusätzlich kann auch ein chattr +i DATEI an wichtigen Stellen mehr Sicherheit bringen. Denn Angriffe wird es immer geben, wichtiger wäre ihre mögliche Wirkung einzudämmen bzw. das gänzlich zu unterbinden. Und je mehr Schutzschichten aufgebaut werden, desto weniger rentabel/erfolgreich werden zukünftige Angriffe werden.

Virtualisierung/Verschlüsselung:
Auch virtuelle Maschinen können erheblich zur Sicherheit beitragen, sofern genug Arbeitsspeicher und Rechenleistung gegeben ist. Aber eben eine Frage des Aufwands den man zu betreiben bereit ist. Generell ist auch der Einsatz von Verschlüsselung empfehlenswert, um ggf. wichtige Datenbestände zu sichern, sofern man das noch nicht anwendet.

Antworten