V-Server absichern notwendig?
V-Server absichern notwendig?
Hi,
ich hab nen kleinen (im grunde nen winzigen) V-Server angemietet um Psybnc darauf laufen zu lassen, als OS ist Debian 3.1 installiert, ausser Psybnc hab ich nix installiert, denkt ihr es ist notwendig den irgendwie noch zu sichern mit einer Firewall (Da sind die Meinungen ja sehr Unterschiedlcih wenn man mal im Ubuntu Wiki nachschaut) oder über Host rules zbsp.?
Oder ist der eigentlich so gut wie nicht angreifbar da da sonst nix draufläuft?
Also wenn der geknackt werden würde, hätte ich nur Angst das da einer irgendwelche schindluder mit der Kiste treibt und ich ja im Grunde Verantwortlich bin für das Teil. Neuinstalliert ist der ja mit nem Klick
ich hab nen kleinen (im grunde nen winzigen) V-Server angemietet um Psybnc darauf laufen zu lassen, als OS ist Debian 3.1 installiert, ausser Psybnc hab ich nix installiert, denkt ihr es ist notwendig den irgendwie noch zu sichern mit einer Firewall (Da sind die Meinungen ja sehr Unterschiedlcih wenn man mal im Ubuntu Wiki nachschaut) oder über Host rules zbsp.?
Oder ist der eigentlich so gut wie nicht angreifbar da da sonst nix draufläuft?
Also wenn der geknackt werden würde, hätte ich nur Angst das da einer irgendwelche schindluder mit der Kiste treibt und ich ja im Grunde Verantwortlich bin für das Teil. Neuinstalliert ist der ja mit nem Klick
Re: V-Server absichern notwendig?
Grundsätzlich ist alles angreifbar, was am Netz hängt. Insofern unbedingt den Server absichern, lieber "paranoide" Sicherheitseinstellugen nehmen für den Fall der Fälle.mR. bluE hat geschrieben: Oder ist der eigentlich so gut wie nicht angreifbar da da sonst nix draufläuft?
Du solltest dringend auf Debian 4.0, besser noch nach dem Update von 4.0 auf 5.0 updaten. Für 3.1 (Sarge) gibt es seit längerem keine Sicherheitsaktualisierungen mehr.mR. bluE hat geschrieben:als OS ist Debian 3.1 installiert
Gruß
Re: V-Server absichern notwendig?
also doch ne firewall installieren, oder was meinste für Sicherheitseinstellungen, upgrade auf n neues Debian geht leider nicht, selbstständig ein OS installieren kann ich ja net, ich hock ja net davor und n neueres bieten die leider net an (hat mich auch gewundert)Tintom hat geschrieben: ....lieber "paranoide" Sicherheitseinstellugen nehmen für den Fall der Fälle.....
Re: V-Server absichern notwendig?
achja zum Thema Firewall hab ich halt das hier gelesen, von daher dacht ich das ich mir das gefummel mit den IP tables sparen kann
-
- Beiträge: 2091
- Registriert: 07.07.2006 18:32:05
Re: V-Server absichern notwendig?
Darf man wissen warum du meinst kein Update machen zu können?
Wenn du Sarge weiter betreibst dann hast du ja unzählige Sicherheitslücken im Kernel, DNS etc. etc. die bei dir ja nicht gefixt worden sind. Du könntest das natürlich manuell machen, aber das ist wirklich eine Menge Arbeit.
Wenn du Sarge weiter betreibst dann hast du ja unzählige Sicherheitslücken im Kernel, DNS etc. etc. die bei dir ja nicht gefixt worden sind. Du könntest das natürlich manuell machen, aber das ist wirklich eine Menge Arbeit.
Re: V-Server absichern notwendig?
mhhh ja also das mit dem update ist mir auch gerade eingefallen, ich les mich da auch gerade ein wenig ein, kann sein das ich lediglich
und
und
machen muss?
Also Update steht dafür das Sicherheitsupdates eingespielt werden und Upgrade für das Aktualisieren aller Installierten Pakete, und Dist-Upgrade das ich dann zum nächsten stable komme, lieg ich damit etwa richtig? Das scheint mir ja eigentlich viel zu einfach, um wahr zu sein
Sorry aber ich Blick da gerade net so ganz durch die debian_refferenz.pdf ist in dem Bezug auch ein wenig minimalistisch
Code: Alles auswählen
apt-get update
Code: Alles auswählen
apt-get upgrade
Code: Alles auswählen
apt-get dist-upgrade
Also Update steht dafür das Sicherheitsupdates eingespielt werden und Upgrade für das Aktualisieren aller Installierten Pakete, und Dist-Upgrade das ich dann zum nächsten stable komme, lieg ich damit etwa richtig? Das scheint mir ja eigentlich viel zu einfach, um wahr zu sein
Sorry aber ich Blick da gerade net so ganz durch die debian_refferenz.pdf ist in dem Bezug auch ein wenig minimalistisch
-
- Beiträge: 3472
- Registriert: 30.11.2005 10:32:22
- Lizenz eigener Beiträge: MIT Lizenz
- Wohnort: Wald
Re: V-Server absichern notwendig?
Du muss auch deine /etc/apt/sources.list entsprechend anpassen (zuerst auf etch). Je nach dem bei dem Vserver verwendeten Kernel ist ein Update auf Lenny auch unmöglich.
Re: V-Server absichern notwendig?
apt-get bzw. aptitude update updatet dir nur die Paketlisten von apt, aktualisierte Software kommt mit apt-get bzw. aptitude dist-upgrade rein.mR. bluE hat geschrieben: Also Update steht dafür das Sicherheitsupdates eingespielt werden und Upgrade für das Aktualisieren aller Installierten Pakete, und Dist-Upgrade das ich dann zum nächsten stable komme, lieg ich damit etwa richtig? Das scheint mir ja eigentlich viel zu einfach, um wahr zu sein
Sorry aber ich Blick da gerade net so ganz durch die debian_refferenz.pdf ist in dem Bezug auch ein wenig minimalistisch
Am besten mal im debiananwenderhandbuch[1] nachschlagen, das ist sehr empfehlenswert.
Gruß
--
[1] http://debiananwenderhandbuch.de/apt-ge ... 0Kommandos
Re: V-Server absichern notwendig?
ich hatte mich geirrt. es war schon etch installiert.
und
habe ich erstmal etch auf den neusten stand geholt, war auch dringen nötig wegen der Sicherheitslücke in OpeenSSL
also soweit ich das verstanden habe muss ich jetzt nur noch meine /etc/sources.list
und
und schon hab ich lenny laufen. Ist das wirklich so simple?
Ein Kernel update muss ich dann aber getrennt noch vornehmen, oder?
Code: Alles auswählen
aptitude update
Code: Alles auswählen
aptitude dist-upgrade
also soweit ich das verstanden habe muss ich jetzt nur noch meine /etc/sources.list
abändern indeb http://ftp.de.debian.org/debian etch main
deb-src http://ftp.de.debian.org/debian etch main
deb http://security.debian.org/ etch/updates main contrib
deb-src http://security.debian.org/ etch/updates main contrib
und danach wiederdeb http://ftp.de.debian.org/debian lenny main
deb-src http://ftp.de.debian.org/debian lenny main
deb http://security.debian.org/ lenny/updates main contrib
deb-src http://security.debian.org/ lenny/updates main contrib
Code: Alles auswählen
aptitude update
Code: Alles auswählen
aptitude dist-upgrade
Ein Kernel update muss ich dann aber getrennt noch vornehmen, oder?
Re: V-Server absichern notwendig?
Ja, ist so "simpel".mR. bluE hat geschrieben: und schon hab ich lenny laufen. Ist das wirklich so simple?
Ein Kernel update muss ich dann aber getrennt noch vornehmen, oder?
Kernelupdate sollte auch installiert werden, um sicherzugehen kannst du das passende Metapaket zu deinem Kernel installieren, das zieht als Abhängigkeit immer den aktuellsten Kernel hinter sich her, der gerade für das Release verfügbar ist.
Gruß
Re: V-Server absichern notwendig?
Kernel ist normal bei V-Servern zentral vom Host gestellt und somit nicht updatebar...
-
- Beiträge: 2091
- Registriert: 07.07.2006 18:32:05
Re: V-Server absichern notwendig?
Den Reboot nicht vergessen .
Re: V-Server absichern notwendig?
das ist ja toll, hat alles geklappt ausser kernel update, danke jungs ich bin immer mehr begeistert von debian
Re: V-Server absichern notwendig?
so ich melde mich nochmal zu wort, ich hoffe ich nerve euch nicht, aber bevor ich folgendes mache wollte ich nochmal ein OK hören, nicht das ich mich selbst aussperre
in der /etc/hosts.deny
und in der /etc/hosts.allow
ich habe nämlich in der /va/log/auth.log gesehen das mehrmals am Tag "jemand" versucht mit sshd zu verbinden, wenn ich das Mithilfe der IP-Range von vorneherein unterbinden könnte und der jenige erst gar net soweit kommt um ein PW auszuprobieren ist das schonmal ein Stückchen mehr Sicherheit
in der /etc/hosts.deny
Code: Alles auswählen
sshd: ALL
Code: Alles auswählen
sshd: 88.69.*.*
Re: V-Server absichern notwendig?
Allerdings kommst du dann auch nicht mehr von wo anders auf den Server...mR. bluE hat geschrieben:wenn ich das Mithilfe der IP-Range von vorneherein unterbinden könnte und der jenige erst gar net soweit kommt um ein PW auszuprobieren ist das schonmal ein Stückchen mehr Sicherheit
Re: V-Server absichern notwendig?
Leg' doch einfach deinen sshd auf einen anderen Port ( einstellbar in der /etc/ssh/sshd_config ).
Gruß
Gruß
Re: V-Server absichern notwendig?
@Tintom das würde man doch mit nem scanner einfach rausbekommen welche ports genutzt werden, abgesehen versucht der Angreifer ohnehin den anderen Port den ich noch nutze durch wie ich im auth.log seheLeg' doch einfach deinen sshd auf einen anderen Port ( einstellbar in der /etc/ssh/sshd_config ).
Gruß
@jeff84 das ich dann nicht von ner anderen IP connecten kann ist logisch, das ist ja sozusagen der Sinn des ganzen
also kann ich die allow / deny Einstellungen so vornehmen oder muss da noch was anderes eingetragen werden?? Ich würde nur ungern mich selbst aussperren
Re: V-Server absichern notwendig?
Ich meinte nur, dass du zum Beispiel bei nem Inet-Providerwechsel aufpassen musst. Und du kannst auch nicht schnell mal von unterwegs auf deinen Server...
Re: V-Server absichern notwendig?
hi, also ich hab jetzt folgendes in die
etc/hosts.deny
etc/hosts.allow
eingetragen und ich bekomem dennoch jede sekunde folgenden LOG
ich dachte das ich die IP 210.200.19.95 jetzt gebannt hätte und der gar net bis zur UN Eingabe kommt
etc/hosts.deny
Code: Alles auswählen
sshd: ALL
ALL: 210.200.19.95
Code: Alles auswählen
sshd: 88.69.*.*
Code: Alles auswählen
Aug 27 18:48:59 v6735 sshd[14210]: Invalid user ruslana from 210.200.19.95
Aug 27 18:48:59 v6735 sshd[14213]: input_userauth_request: invalid user ruslana
Aug 27 18:48:59 v6735 sshd[14223]: warning: /etc/hosts.allow, line 14: missing newline or line too long
Aug 27 18:48:59 v6735 sshd[14223]: warning: /etc/hosts.deny, line 20: missing newline or line too long
Re: V-Server absichern notwendig?
Die Regeln werden nicht angewendet,da die Dateien nicht korrekt interpretiert werden. Du solltest am Ende der Dateien (hosts.allow/hosts.deny) noch jeweils eine Leerzeile einfügen,damit die obige Fehlermeldung nicht mehr erscheint und die Datei korrekt interpretiert werden können.mR. bluE hat geschrieben:hi, also ich hab jetzt folgendes in die
etc/hosts.denyetc/hosts.allowCode: Alles auswählen
sshd: ALL ALL: 210.200.19.95
eingetragen und ich bekomem dennoch jede sekunde folgenden LOGCode: Alles auswählen
sshd: 88.69.*.*
ich dachte das ich die IP 210.200.19.95 jetzt gebannt hätte und der gar net bis zur UN Eingabe kommtCode: Alles auswählen
Aug 27 18:48:59 v6735 sshd[14210]: Invalid user ruslana from 210.200.19.95 Aug 27 18:48:59 v6735 sshd[14213]: input_userauth_request: invalid user ruslana Aug 27 18:48:59 v6735 sshd[14223]: warning: /etc/hosts.allow, line 14: missing newline or line too long Aug 27 18:48:59 v6735 sshd[14223]: warning: /etc/hosts.deny, line 20: missing newline or line too long
Re: V-Server absichern notwendig?
hi,
danke Daniel, leider kam deine Antwort zu spät, ich hatte mich schon vom System ausgesperrt, offensichtlich dauert es ein paar Minuten bis das System die hosts.deny / allow dateien einließt ich konnte mich noch bestimmt 20min nach änderung einloggen und dann aufeinmal nicht mehr. Aber dank dir konnte ich über das sehr praktische Rescue System den Fehler gleich beheben ohne lang drüber zu grübeln
Ich Installier mir mal das Packet DenyHosts scheint ganz praktisch zu sein
danke Daniel, leider kam deine Antwort zu spät, ich hatte mich schon vom System ausgesperrt, offensichtlich dauert es ein paar Minuten bis das System die hosts.deny / allow dateien einließt ich konnte mich noch bestimmt 20min nach änderung einloggen und dann aufeinmal nicht mehr. Aber dank dir konnte ich über das sehr praktische Rescue System den Fehler gleich beheben ohne lang drüber zu grübeln
Ich Installier mir mal das Packet DenyHosts scheint ganz praktisch zu sein
- novalix
- Beiträge: 1909
- Registriert: 05.10.2005 12:32:57
- Lizenz eigener Beiträge: MIT Lizenz
- Wohnort: elberfeld
Re: V-Server absichern notwendig?
Hi,
das Umbiegen des Standardports von ssh auf einen unpriviligierten Port bringt Dir zwar keinen direkten Sicherheitsvorteil (im Falle eines gezielten Angriffs), allerdings hilft es ungemein solche gezielten und damit tendenziell gefährlichen Angriffe von denen, die auf das Konto von Script-Kiddies gehen, zu unterscheiden.
Das Umbiegen des Ports (über 40000 bringt schon ne Menge) hält die Logs "sauber". Man gewöhnt sich erst gar nicht an die andauernden Einträge und kann sich somit auf die "echten" Gefahren konzentrieren.
Groetjes, niels
das Umbiegen des Standardports von ssh auf einen unpriviligierten Port bringt Dir zwar keinen direkten Sicherheitsvorteil (im Falle eines gezielten Angriffs), allerdings hilft es ungemein solche gezielten und damit tendenziell gefährlichen Angriffe von denen, die auf das Konto von Script-Kiddies gehen, zu unterscheiden.
Das Umbiegen des Ports (über 40000 bringt schon ne Menge) hält die Logs "sauber". Man gewöhnt sich erst gar nicht an die andauernden Einträge und kann sich somit auf die "echten" Gefahren konzentrieren.
Groetjes, niels
Das Wem, Wieviel, Wann, Wozu und Wie zu bestimmen ist aber nicht jedermannns Sache und ist nicht leicht.
Darum ist das Richtige selten, lobenswert und schön.
Darum ist das Richtige selten, lobenswert und schön.