Webserver absichern (Newbie)

[Andreas Diem]

Hallo

Ich beschäftig mich erst seit einer Woche mit Linux.
Nachdem der Webserver so läuft wie ich will nun geht es an die Sicherheit.
In der FAQ meines Hosters steht es gibt keine zentrale Firewall im RZ gibt.

Der Server läuft mit der 2.2.20-idepci Kernel.

Ich hab mal begonnen die ich nicht brauche zu beenden.
Welche dieser Dienste kann ich noch beenden?

Code: Alles auswählen

debian:/etc# nmap -sS -sU localhost
Starting nmap V. 2.54BETA31 ( www.insecure.org/nmap/ )
Interesting ports on localhost (127.0.0.1):
(The 2992 ports scanned but not shown below are in state: closed)
Port       State       Service
9/tcp      open        discard
9/udp      open        discard
13/tcp     open        daytime
21/tcp     open        ftp
22/tcp     open        ssh
25/tcp     open        smtp
37/tcp     open        time
79/tcp     open        finger
80/tcp     open        http
110/tcp    open        pop-3
111/tcp    open        sunrpc
111/udp    open        sunrpc
113/tcp    open        auth
123/udp    open        ntp
443/tcp    open        https
515/tcp    open        printer
517/udp    open        talk
518/udp    open        ntalk
1024/tcp   open        kdm
1024/udp   open        unknown
3306/tcp   open        mysql
Nmap run completed -- 1 IP address (1 host up) scanned in 4 seconds

Wie kann ich den Server am besten absichern?

[lx]

Hallo Andreas,

dein Webserver hört auf Port 80.
Wenn du die neuse Version von apache installierst und
die aktuellen Patches installierst dann ist der Webserver soweit
sicher.
Von den anderen Diensten die noch am Laufen sind und durch
deinen Scan angezeigt werden kannst du folgende deaktivieren:
discard, daytime, finger, time, talk, ntalk.
Bei den anderen Diensten mußt du entscheiden ob du diese nutzt.
ntp kannst du bestimmt auch ausschalten, der ist für einen Zeitserver.
smtp, ftp, http, https und mysql hast du vielleicht im Einsatz.

Gruss
Tom

[pdreker]

Welche dieser Dienste kann ich noch beenden?
debian:/etc#Port State Service
9/tcp open discard
9/udp open discard
13/tcp open daytime

Alle abschalten (/etc/inetd.conf)

21/tcp open ftp
22/tcp open ssh
25/tcp open smtp

Musst Du selbst wissen. SMTP würde ich von aussen sperren, aber ob das sinnvoll ist kommt auf die Konfig an. FTP und SSH willst Du sicherleich zum Management haben. FTP sollte aber anonymous deaktiviert haben, sonst findest eines Tages heraus, dass Du unbeabsichtigt einen "Warez" Server betreibst...

37/tcp open time
79/tcp open finger

Beide abschalten (/etc/inetd.conf)

80/tcp open http

Das ist dein Webserver.

110/tcp open pop-3
111/tcp open sunrpc
111/udp open sunrpc
113/tcp open auth
123/udp open ntp

Alle deaktivieren. Wenn Du deinen Server als POP3 Server (Mail abholen) benutzen willst dann sollte POP3 aktiviert bleiben. Wenn DU der einzige bist, der da Mails abholt, solltest Du definitiv über POP3s (SSL) oder IMAP4s (SSL) nachdenken.

443/tcp open https

Das ist deine Webserver mit Verschlüsselung (SSL)

515/tcp open printer
517/udp open talk
518/udp open ntalk
1024/tcp open kdm
1024/udp open unknown
3306/tcp open mysql

Alle deaktivieren, mysql wird evtl. für PHP benutzt, aber den sollte man auf jeden Fall nicht von aussen sehen können.

Wie kann ich den Server am besten absichern?

Ich würde, falls der Server deutlich nach aussen sichtbar ist (eigene Domain, statische IP z.B.) auf Kernel 2.4 upgraden, und dort die IPtables Firewall aktivieren.

So wie Deine Beschreibung kling bist Du root auf Deiner eigenen Maschine, richtig?

Patrick

[Andreas Diem]

Musst Du selbst wissen. SMTP würde ich von aussen sperren, aber ob das sinnvoll ist kommt auf die Konfig an. FTP und SSH willst Du sicherleich zum Management haben. FTP sollte aber anonymous deaktiviert haben, sonst findest eines Tages heraus, dass Du unbeabsichtigt einen "Warez" Server betreibst...

SMTP hab ich durch SMTP-Auth abgesichert.
Bei FTP verwende ich den proftpd der anonymous Uploads nicht zuläst.

mysql wird evtl. für PHP benutzt, aber den sollte man auf jeden Fall nicht von aussen sehen können.

mysql ist nur vorübergehen offen bis der Domain übertragen ist (greife derzeit vom alten Webspace-Account auf den Server zu).

Wie kann ich den Server am besten absichern?

Ich würde, falls der Server deutlich nach aussen sichtbar ist (eigene Domain, statische IP z.B.) auf Kernel 2.4 upgraden, und dort die IPtables Firewall aktivieren.

Ein Kernel upgrade hab ich schon mal versucht, aber dann ist der Server nicht mehr hochgefahren.
Linux hatte den Treiber für die Netzwerkkarte nicht gefunden.

So wie Deine Beschreibung kling bist Du root auf Deiner eigenen Maschine, richtig?

Ja, hab mir bei Hetzner Online einen Best Price-Server gemietet und Woody drauf installieren lassen.

Hab nun einige Prots geschlossen, leider hab ich keine Ahnung wie ich die Ports 111, 113 und 1024 schlissen kann.

Code: Alles auswählen

debian:~# nmap -sU -sS localhost
Starting nmap V. 2.54BETA31 ( www.insecure.org/nmap/ )
Interesting ports on localhost (127.0.0.1):
(The 3001 ports scanned but not shown below are in state: closed)
Port       State       Service
21/tcp     open        ftp
22/tcp     open        ssh
25/tcp     open        smtp
80/tcp     open        http
110/tcp    open        pop-3
111/tcp    open        sunrpc
111/udp    open        sunrpc
113/tcp    open        auth
443/tcp    open        https
1024/tcp   open        kdm
1024/udp   open        unknown
3306/tcp   open        mysql
Nmap run completed -- 1 IP address (1 host up) scanned in 4 seconds

[pdreker]

111 ist der portmapper (etc/init.d/portmap) und 113 ist der identd (/etc/inetd.conf oder per init Skript)

1024 weiss ich nicht (und nmap auch nicht ), aber das kann mit mit lsof rausfinden:
"lsof -i :1024". Falls lsof nicht installiert ist: "apt-get install lsof" (notfalls die Quellen auf den nächsten Debian Mirror richten...)

Patrick

[suntsu]

du musst dir mal fuser angucken, da kannst du sehen welches Programm den dir bekannten Port belegt.


gruss
manuel

[Andreas Diem]

Danke.

Die überfüßigen Ports sind nun alle zu, rpc.statd hatte den Port 1024 geöffnet.