Ich habe mir einen Webserver aufgesetzt, um meine Daten via Owncloud von außen zugänglich zu machen. Diesbezüglich habe ich jedoch einige Fragen im Bezug auf den Sicherheitsaspekt.
Daten:
Der Server soll von außen über folgende Ports erreichbar sein
-Port 80 (SSH)
-Port 443 (Owncloud, HTTPS)
Auf dem Server wurde ein LAMP-Server mit Owncloud Installiert. Bezüglich der Sicherheit wurden folgende Vorkehrungen getroffen:
-ssh: kein root login und nur über schlüsselpaare einloggbar
-fail2ban (für owncloud und ssh, auch wenn nur schlüsselpaare erlaubt sind)
-ufw (nur 80 und 443 nach außen offen)
-apache mod_evasive (gg. eventuelle DDOS attacken und brute-force)
-gegen spoofing in /etc/host.conf folgendes eingetragen
Code: Alles auswählen
order bind,hosts
nospoof on
-rkhunter installiert
-tiger installiert
Falls weitere Systemangaben fehlen reiche ich diese gerne nach. War mir nicht sicher welche alle nötig sind.
Zu den Fragen:
1) Habe ich eine wichtige Einstellung/ ein wichtiges Sicherheitspaket vergessen was auf gar keinen Fall fehlen sollte?
2) Muss ich chkrootkit, rkhunter oder tiger speziell konfigurieren? Ich habe sie bis jetzt nur installiert und lasse sie ab und an eine überprüfung starten. Und kann mir jemand Literatur für tiger empfehlen, damit ich lerne die warnungen zu lesen, damit nicht der Windows effekt auftritt und ich die Warnungen alle ignoriere.
3) Welche Log-Files muss ich im Auge behalten? Bis jetzt überprüfe ich:
Code: Alles auswählen
-/var/log/mod-evasive log-file
-/var/www/owncloud/data/owncloud.log
-fail2ban log
-/var/log/apache2/access.log
-/var/log/messages
4) Ich habe in letzter Zeit in der /var/log/apache2/access.log Datei vermehrt, wahrscheinlich böswillige Anfragen entdeckt.
Code: Alles auswählen
xxx.xx.xxx.xxx - - [03/Jun/2014:08:42:23 +0200] "GET /cgi-bin/webcm?getpage=../html/menus/menu2.html&var:lang=%26 allcfgconv -C voip -c -o - ../../../../../var/flash/voip.cfg%26 HTTP/1.1" 404 531 "-" "Mozilla/5.0 (X11; Linux i686; rv:7.0.1) Gecko/20100101 Firefox/7.0.1"
xxx.xx.xxx.xxx - - [03/Jun/2014:12:37:35 +0200] "GET /phpTest/zologize/axa.php HTTP/1.1" 404 505 "-" "-"
xxx.xx.xxx.xxx - - [03/Jun/2014:12:37:36 +0200] "GET /phpMyAdmin/scripts/setup.php HTTP/1.1" 404 509 "-" "-"
xxx.xx.xxx.xxx - - [03/Jun/2014:12:37:37 +0200] "GET /pma/scripts/setup.php HTTP/1.1" 404 502 "-" "-"
xxx.xx.xxx.xxx - - [03/Jun/2014:12:37:38 +0200] "GET /myadmin/scripts/setup.php HTTP/1.1" 404 506 "-" "-"
5.) Ist es möglich mit einem Skript zeitlich begrenzt bestimmte IPs mit ufw zu erlauben (damit überhaupt nur noch meine Anfrgen durchkommen), oder ist das Sicherheitstechnisch nicht zu empfehlen?
Ich weiß dass wahrscheinlich vieles/alles im Internet schon oft durchgekaut wurde, ich verliere jedoch langsam den Überblick und bitte deshalb eine erfahrene Community um Hilfe. Falls die Fragen zu banal/einfach sind auch hinweise auf andere Threads gerne gesehen.
Vielen Dank im Vorraus
Lerry