Sicherheit / Stabilität: Debian als Webserver

[Innocentus]

Ich möchte den Debian Webserver so sicher wie nur möglich machen. Am Liebsten würde ich ihn auf ein absoluten Minimum zurechtstutzen.

1. Welches Dateisystem soll ich bei einem Webserver für die System-Partition verwenden und welches für die Daten-Partition?
2. Lohnt es sich, die Partitionen zu verschlüsseln? Welche Software ist da sicher und blockiert externe Ausleseversuche (von anderen Programmen) des verwendeten Schlüssels?
3. Lohnt es sich, zusätzliche Sicherheitssoftware zu installieren? Wenn ja, welche empfiehlt sich?
4. Es ist doch besser, wenn der Apache2 / lighttpd HTTP Server unter einem höchstmöglichst beschränkten Benutzer läuft, oder?
5. Lohnt sich eine Firewall?
6. Wie kann ich den Debian am Effizientesten vor BruteForce- bzw. DOS / DDOS-Angriffen schützen?
7. Kann ich eigentlich auch alle Dateiänderungen Checksummenbasiert protokollieren lassen, sodas mir das bei einer unauthorisierten Änderungen sofort auffält?
8. Kann ich eine Sandbox um den HTTP, dem MySQL, dem SMTP-, POP3-, IMAP- und FTP-Server errichten bzw. diese Programme voneinander und vom System isolieren?
9. Gibt es effektive Benachrichtungsmechanismen im Falle eines Angriffs (BruteForce-Passwortangriff, DOS / DDOS)?
10. Sollte ich die verwendeten Programme selbst kompilieren oder sind die Debian-Packages aus dem offiziellen stable Repository genauso sicher?
11. Gibt es Patches für das System (und für den Kernel) welche das System sicherer machen?
12. Wie gehe ich mit PHP um - es gibt für dieses den Suhosin-Patch und den verwende ich bereits.
    Gibt es noch mehr, um es sicherer zu machen? Kann ich die PHP-Dateien statisch machen - also quasi kompilieren?
13. Gibt es häufige Schwachstellen auf die ich achten sollte?
14. Gibt es unbeabsichtige Hintertüren, die man besser schließen sollte?

Vielen Dank für eure Antworten!
Mit freundlichen Grüßen
Innocentus

[Blackbox]

Schau dir mal bitte das WiKi dazu an: http://wiki.debianforum.de/Serverbetrieb
Zur Fragen der Sicherheit, solltest du folgendes Handbuch Anleitung zur Absicherung von Debian lesen.

[George Mason]

1. Welches Dateisystem soll ich bei einem Webserver für die System-Partition verwenden und welches für die Daten-Partition?

Ich schlage vor, ext3.

2. Lohnt es sich, die Partitionen zu verschlüsseln? Welche Software ist da sicher und blockiert externe Ausleseversuche (von anderen Programmen) des verwendeten Schlüssels?

Verschlüsseln geht gegen dein Prinzip des auf ein absolutes Minimum zurechtgestutzen Systems. Aber, es ist möglich. Suche mal nach "Linux Verschlüsseln".

3. Lohnt es sich, zusätzliche Sicherheitssoftware zu installieren? Wenn ja, welche empfiehlt sich?

Wenn der Webserver hinter einer guten Firewall hängt, und kein unnötiger Kram drauf läuft, brauchst du keine extra Sicherheitssoftware. Nur regelmäßig die Sicherheitsupdates einspielen.

4. Es ist doch besser, wenn der Apache2 / lighttpd HTTP Server unter einem höchstmöglichst beschränkten Benutzer läuft, oder?

Besser als wenn der Prozess Root-Rechte hat, ja.

5. Lohnt sich eine Firewall?

Auf jeden Fall. Mache alle Ports dicht und dann ein kleines Löchlein für die Webgeschichten auf. Am besten hinter einem hochwertigen, modernen Router.

6. Wie kann ich den Debian am Effizientesten vor BruteForce- bzw. DOS / DDOS-Angriffen schützen?

Indem du das System redundant auf mehreren Server spiegelst und dynamisch umschaltest. Oder gar nicht.

7. Kann ich eigentlich auch alle Dateiänderungen Checksummenbasiert protokollieren lassen, sodas mir das bei einer unauthorisierten Änderungen sofort auffält?

Ja. Du kannst die Systempartition auch readonly mounten, wie findest du das?

8. Kann ich eine Sandbox um den HTTP, dem MySQL, dem SMTP-, POP3-, IMAP- und FTP-Server errichten bzw. diese Programme voneinander und vom System isolieren?

Ich denke schon, aber wahrscheinlich sind diese Dienste dann nicht mehr benutzbar, wenn sie vom System isoliert sind...

9. Gibt es effektive Benachrichtungsmechanismen im Falle eines Angriffs (BruteForce-Passwortangriff, DOS / DDOS)?

Sind mir nicht bekannt.

10. Sollte ich die verwendeten Programme selbst kompilieren oder sind die Debian-Packages aus dem offiziellen stable Repository genauso sicher?

Das kommt ganz drauf an, ob du mehr drauf hast, als die Debian Maintainer .. und wieviel Zeit du investieren willst, auf dass du das Debian Sicherheitsteam übertreffen kannst ...

11. Gibt es Patches für das System (und für den Kernel) welche das System sicherer machen?

Mir nicht bekannt.

12. Wie gehe ich mit PHP um - es gibt für dieses den Suhosin-Patch und den verwende ich bereits.
Gibt es noch mehr, um es sicherer zu machen? Kann ich die PHP-Dateien statisch machen - also quasi kompilieren?

Bin ich überfragt.

13. Gibt es häufige Schwachstellen auf die ich achten sollte?

Ooooh ja. Da gibt es aber wirklich Info zu.

14. Gibt es unbeabsichtige Hintertüren, die man besser schließen sollte?

Eigentlich nicht. Am besten gar nicht erst aufmachen, dein Ansatz ist schon sehr gut.

[peschmae]

Lohnt es sich, die Partitionen zu verschlüsseln? Welche Software ist da sicher und blockiert externe Ausleseversuche (von anderen Programmen) des verwendeten Schlüssels?

Partitionsverschlüsselung schützt dich im Prinzip nur davor, dass jemand der physischen Zugriff auf den Webserver hat die Daten einfach auslesen und/oder verändern kann in dem er die Festplatte ausbaut. Kommt halt darauf an für wie wahrscheinlich du ein solches Szenario hältst. In der Praxis ist das wohl dein kleinstes Problem.

Bei Laptops sieht das natürlich ganz anders aus

Lohnt sich eine Firewall?

Solange du nur die Dienste laufen hast die du sowieso brauchst (also ssh und einen httpd), bringt das eigentlich nichts. Ausser dass du eine zentrale Konfiguration hast und damit schneller überblicken kannst was denn jetzt für Ports offen sind.

Sollte ich die verwendeten Programme selbst kompilieren oder sind die Debian-Packages aus dem offiziellen stable Repository genauso sicher?

Was versprichst du dir davon?

Gibt es Patches für das System (und für den Kernel) welche das System sicherer machen?

GRsecurity gibts. Das hat einige interessante Sicherheitssachen mit drin. Allerdings musst du da den Kernel jeweils selber kompilieren. Und es hinkt halt Versionsmässig meist etwas hintendrein (wobei wenn du Debian stable verwendest benutzt du ja sowieso einen älteren Kernel...). Und der Autor droht alle Jahre mal wieder das Projekt einzustellen.

MfG Peschmä

[tex]

1.) ext3 auf LVM (+ LUKS)
2.) Lohnt es sich? Kommt auf die Daten an. Falls du verschlüsseln willst nimm cryptsetup LUKS
3.) Hmm, ja
4.) Naja, per default ist das www-data. Das passt eigentlich.
5.) Ja, wenn du sie richtig konfigurierst und nicht denkst, dass das Thema Sicherheit damit abgehakt ist. Man muss nicht paranoid sein um ein sicheres System zu bertreiben, aber es hilft
6.) Logwatch, Iptables. Wobei das sehr stark auf die Art des Angriffs ankommt.
7.) Äh, Tripwire, anyone?
8.) Ja, z.B. chroot oder Linux-Vserver.
9.) Ja, logwatch, monit, etc.
10.) Nimm die Debian Pakete.
11.) Sicher, aber ich denke nicht, dass du sowas brauchst. Jeder Patch birgt auch die Möglichkeit neuer Bugs.
12.) safe_mode, open_basedir und suexec sind dir bekannt?
13.) schwache Passwörter, PHP.
14.) Hoffentlich nicht

[tex]

Lohnt es sich, die Partitionen zu verschlüsseln? Welche Software ist da sicher und blockiert externe Ausleseversuche (von anderen Programmen) des verwendeten Schlüssels?

In der Praxis ist das wohl dein kleinstes Problem.

Und was ist wenn deine Festplatte defekt ist, dein Hoster die Platte ausbaut, testet, keine Fehler findet und in einen anderen Server einbaut (oder bei eBay verkloppt)? Dann hat auf einmal jmd. Zugriff auf deine gesamte Platte. Also ich möchte das nicht ...

Ich bin mal von gemieteter Hardware ausgegangen, da das inzwischen ja recht verbreitet ist.

[Innocentus]

Vielen Dank für eure Antworten!

Die Debian Pakete scheinen mir auch die sicherste Lösung - immerhin beschäftigen sich damit eine ganze Reihe Leute.
Ich verwende einen V-Server oder später einmal einen gemieteten Root-Server. Dann würde die Verschlüsselung wohl Sinn machen...
GRescurity sieht auf jeden Fall sehr interessant aus.

Wie DOS-Angriffe aussehen, weiß ich ungefähr. Der Server wird also mit Anfragen von unterschiedlichen Clients überlastet.
Kann ich die Client-IPs automatisch sperren lassen, sobald diese zu aufdringlich werden?

Nun würde ich die Fernwartung gerne auch sicherer machen.
Ich stelle mir das so vor, dass ich einen einzigen SSH-Tunnel aufbaue und dort den Datenverkehr (Konsole ist ja schon, FTP, MySQL) drin laufen lasse.
Ist das eine gute und praktikable Idee? Was kann ich an SSH noch sicherer machen?

Mit freundlichen Grüßen
Innocentus

[peschmae]

Lohnt es sich, die Partitionen zu verschlüsseln? Welche Software ist da sicher und blockiert externe Ausleseversuche (von anderen Programmen) des verwendeten Schlüssels?

In der Praxis ist das wohl dein kleinstes Problem.

Und was ist wenn deine Festplatte defekt ist, dein Hoster die Platte ausbaut, testet, keine Fehler findet und in einen anderen Server einbaut (oder bei eBay verkloppt)? Dann hat auf einmal jmd. Zugriff auf deine gesamte Platte. Also ich möchte das nicht ...

Ich bin mal von gemieteter Hardware ausgegangen, da das inzwischen ja recht verbreitet ist.

Da hast du natürlich recht. Ich doch zusehr an eigene Hardware gewöhnt

MfG Peschmä