debianforum.de

Guten Tag zusammen,

würde gerne mal eure Meinung hören was man beim Server Thema Sicherheit noch machen sollte.
Derzeit wurde folgendes umgesetzt:

SMTP:

SMTP Reverse DNS Mismatch = OK
SMTP Valid Hostname = OK
SMTP Banner Check = OK
SMTP TLS = OK
SMTP Connection Time = OK
SMTP Open Relay = OK
SMTP Transaction Time = OK

Wurde geprüft über: https://mxtoolbox.com

SPF (bezogen auf einzelne Domains):

DNS Record Published = OK
SPF Record Published = OK
SPF Record Deprecated = OK
SPF Syntax Check = OK
SPF Multiple Records = OK
SPF Included Lookups = OK
SPF Test Result = OK

Wurde geprüft über: https://mxtoolbox.com

Spamschutz auf Basis der DNS-Blackhole-Listen ist aktiviert.
Greylisting ist aktiviert Greyintervall 5 Minuten, Expire interval 51840 minutes.
Begrenzung der ausgehenden Nachrichten pro Stunde ist auf 20 limitiert.
Plesk Premium Antivirus ist aktiviert.
Alles wird SSL verschlüsselt (Websites, Plesk Oberfläche)
E-Mails werden über Port 587 gesendet.
Watchdog ist aktiviert.

Fail2Ban ist aktiviert, Zeitsperre 1 Stunde, Angriffserkennung ist aktiviert.

Benutzt wird ein VServer mit Software Plesk Onyx 17.5.3.

Maldet ist aktiviert und nebenbei Clamav Scan täglich.

Noch in der Umsetzung:

DKIM und DMARC.

Fraglich:

Erhöhung der Zeitsperre bei Fail2Ban auf 1 Tag.
E-Mail Benachrichtigung bei SSH Login.
E-Mail Benachrichtigung bei FTP Login.
E-Mail Benachrichtigung bei Plesk Login.

Lest Ihr euch überhaupt die Log Dateien wie z.B. Auth.log durch oder wie macht Ihr dass grundsätzlich (Filtern) etc.
Wie oft ändert Ihr euer Passwort bei SSH, FTP usw.

Würde mich über eure Antworten freuen.

Ist es wichtig ein FTP server laufen zu haben? sftp keine moeglichkeit?
Ich nehme an password login, und root login hast du abgeschaltet @ ssh?

Lord_Carlos hat geschrieben:Ist es wichtig ein FTP server laufen zu haben? sftp keine moeglichkeit?
Ich nehme an password login, und root login hast du abgeschaltet @ ssh?

Ja, manchmal müssen Dateien über FTP geändert werden (PHP Dateien etc.)
Die zweite Frage verstehe ich nicht ganz. SSH Login ist nicht deaktivert. Authentifizierung mit Benutzer und Passwort. Root Login ist möglich.

Toll

... und nebenbei Clamav Scan täglich.

Den kannst Du imo weglassen
viewtopic.php?f=8&t=163399&p=1133003#p1133003
und durch einen der dortigen 14/60 ersetzen.

Plesk Premium Antivirus ist aktiviert.

"Plesk" oder "Parallels" ist hier jetzt gar nicht dabei
https://virustotal.com/de/file/32d5e3e8 ... 496147361/
Benutzte engine?

rendegast hat geschrieben:Toll

... und nebenbei Clamav Scan täglich.

Den kannst Du imo weglassen
viewtopic.php?f=8&t=163399&p=1133003#p1133003
und durch einen der dortigen 14/60 ersetzen.

Plesk Premium Antivirus ist aktiviert.

"Plesk" oder "Parallels" ist hier jetzt gar nicht dabei
https://virustotal.com/de/file/32d5e3e8 ... 496147361/
Benutzte engine?

Habs schon gelesen wollte dies nur noch Nachtragen, weil es derzeit der Stand ist. Werde ich entfernen.
Siehe Link: http://www.odin.com/de/products/antivirus/ Ich meine es ist DrWeb. Es ist nur dieser installiert. Meines Wissens nur für Mails.

hume hat geschrieben:

Lord_Carlos hat geschrieben:Ist es wichtig ein FTP server laufen zu haben? sftp keine moeglichkeit?
Ich nehme an password login, und root login hast du abgeschaltet @ ssh?

Ja, manchmal müssen Dateien über FTP geändert werden (PHP Dateien etc.)

Kannst du die nicht via SFTP oder SSH aendern?
Dann hast du einen Servies weniger der immer rent. Dazu ist FTP auch nicht gerade fuer seine Sicherheit bekannt.

hume hat geschrieben: Die zweite Frage verstehe ich nicht ganz. SSH Login ist nicht deaktivert. Authentifizierung mit Benutzer und Passwort. Root Login ist möglich.

Mhh, das ist nicht so toll. Eines der einfachsten dinge die viel Sicherheit bringen.
Direkten root login ausschalten, schon kennen Angreifer den login benutztername nicht mehr.
password login wuerde ich mit key login austauschen.
https://www.digitalocean.com/community/ ... sh-keys--2

Lord_Carlos hat geschrieben:

hume hat geschrieben:

Lord_Carlos hat geschrieben:Ist es wichtig ein FTP server laufen zu haben? sftp keine moeglichkeit?
Ich nehme an password login, und root login hast du abgeschaltet @ ssh?

Ja, manchmal müssen Dateien über FTP geändert werden (PHP Dateien etc.)

Kannst du die nicht via SFTP oder SSH aendern?
Dann hast du einen Servies weniger der immer rent. Dazu ist FTP auch nicht gerade fuer seine Sicherheit bekannt.

hume hat geschrieben: Die zweite Frage verstehe ich nicht ganz. SSH Login ist nicht deaktivert. Authentifizierung mit Benutzer und Passwort. Root Login ist möglich.

Mhh, das ist nicht so toll. Eines der einfachsten dinge die viel Sicherheit bringen.
Direkten root login ausschalten, schon kennen Angreifer den login benutztername nicht mehr.
password login wuerde ich mit key login austauschen.
https://www.digitalocean.com/community/ ... sh-keys--2

Du meinst FTP deaktivieren? Benutzer Root ist Standard oder?
Meins du nur den Benutzer zu ändern oder direkt die Rechte dass nicht mehr auf Root zugegriffen werden kann?
Was aber ist wenn ich wieder Rootrechte brauche ? Ist der Key Login überhaupt mit Putty und Windows möglich oder ist dies Betriebssystem unabhängig.
Derzeit greife ich über Windows (Putty) auf den Server zu.Bezüglich SFTP habe ich mich noch nicht auseinanderegesetzt. Naja man lern immer dazu

Du meinst FTP deaktivieren?

Service stoppen und wenn man ohne auskommnt deinstallieren.
Naja oder erst mal weiter laufen lassen und einfach nicht verwenden

Du kannst per SSH ja den Zugriff nur für normale Benutzer zulassen. Zu root wird du ganz normal mit "su" und dem root-Passwort.
Für Backups macht es manchmal Sinn doch root per ssh, sftp oder "rsync über ssh" zuzulassen. Das kann man über Keys (authorized_keys) und den Befehl "command=" einschränken.

Key-Login geht auch mit Putty.
Die größte Sicherheitslücke ist wahrscheinlich dein Windows-Betriebssystem. Bei Malware helfen weder Passwörter, Keys noch Passphrases auf Keys.

Nicht ganz ernst gemeint:
Da wären vielleicht One-Time-Passwörter siehe otp noch etwas zur Absicherung. Leider weiß ich nicht wie und ob man das heute mit PAM für SSH verbindet. Ich verwende es nicht.
Denk bei OTP daran, dass du nicht Remote per Windows die Einmalpasswörter generierst. Wähle ein sicheres Betriebssystem bzw. logg dich direkt am Server an (ohne Netzwerk).

Einfach in der/etc/ssh/sshd_config folgendes einstellen:
PermitRootLogin no

Und schon kannst du nur noch mit einem Benutzter einloggen. Dann via su wechseln. Ich benutzte immer sudo, aber das ist egal.

Ja, putty geht mit key login.
Wenn alles rund lauft und du ein backup von deinem private key hast, dann kannst du password login in der sshd config ausstellen.

WinSCP - Damit hast du einen grafischen Klienten um einfach Daten auf den server rueberzuschieben. Da sollte man auch irgendwo den key benutzten koennen.
Wenn damit alles klappt FTP server permanent ausschalten oder deinstallieren.

____________

Edit:
Wenn du es noch sicherer machen willst, kannst du Zweifaktor Autorisierung benutzten.
https://www.digitalocean.com/community/ ... untu-16-04
Um dann in dein Server einzubrechen muesste man sowohl dein Rechner kapern (um die key file zu bekommen) und dein Handy.

würde gerne mal eure Meinung hören was man beim Server Thema Sicherheit noch machen sollte.

Plesk runterwerfen. Schlangenölkonzentration reduzieren.

niemand hat geschrieben:

würde gerne mal eure Meinung hören was man beim Server Thema Sicherheit noch machen sollte.

Plesk runterwerfen. Schlangenölkonzentration reduzieren.

Was meinst du wegen Schlangenölkonzentration reduzieren?
Auf was bezogen (Ressourcen usw)?

Was meinst du wegen Schlangenölkonzentration reduzieren?

Den ganzen AV-Kram wegmachen. Schafft nur ’n trügerisches Gefühl von Sicherheit und eine größere Angriffsfläche. Ist halt meine Meinung, und nach Meinungen hattest du gefragt: die Angriffsfläche und Komplexität sollten so klein wie möglich gehalten werden, das mindert die Gefahr für versehentliche Fehlkonfiguration oder ausnutzbare Bugs, dafür hat man ’nen weit besseren Überblick über den tatsächlichen Zustand, weil nicht lauter Kram seine Messages ins Log malt.

Einmalpasswörter, das ist eine geniale Geschichte.
Stichwort: pam-googleauthenticator
Hab ich in Verwendung und klappt wunderbar. Auch in Verbindung mit einem Login mit ssh-Key

https://github.com/google/google-authen ... /README.md

Lg scientific

Sorry Doppelt bitte dass löschen

niemand hat geschrieben:

Was meinst du wegen Schlangenölkonzentration reduzieren?

Den ganzen AV-Kram wegmachen. Schafft nur ’n trügerisches Gefühl von Sicherheit und eine größere Angriffsfläche. Ist halt meine Meinung, und nach Meinungen hattest du gefragt: die Angriffsfläche und Komplexität sollten so klein wie möglich gehalten werden, das mindert die Gefahr für versehentliche Fehlkonfiguration oder ausnutzbare Bugs, dafür hat man ’nen weit besseren Überblick über den tatsächlichen Zustand, weil nicht lauter Kram seine Messages ins Log malt.

Sicher wollte ich deine Meinung hören. Ja, Plesk hat schon seine Tüken... Ob es die Sicherheit beeinträchtigt kann man pauschal nie sagen, da jedes System gewisse Bugs hat. Man nehme hierzu: https://de.m.wikipedia.org/wiki/Heartbleed . Bezüglich Komplexität muss ich dir zustimmen, wenn Plesk mal einen Fehler hat, kann man lange danach suchen. Davor hatte ich mit Server nix am Hut. Ich hatte Webhosting, jedoch durch Einschränkungen kam ich dann zu einem Server. Der Support sagte mir damals die Software ist super und du musst fast nichts mehr machen. Naja falsch gedacht, dann kamen so manche Probleme und ich musste mich mit SSH beschäftigen. Davor hatte ich nie mit Ubuntu gearbeitet geschweige den mit einem Server. Habe davor nie einen Server ohne Software aufgesetzt. Kann zwar Programmiersprachen dennoch ist es eine andere Welt. Müsste mich wirklich mal einlesen und den Server Manuell aufsetzen. Seit 5 Jahren keine Probleme mit Plesk, aber irgendwann hat alles einen Anfang. Werde jedoch nicht aufgeben

Die imho größten Probleme mit Plesk sind: sobald du ’nen Fehler in einer Komponente deines Systems hast, in die Plesk sich einmischt und dran rumpfuscht, kann man hier nicht mehr gescheit helfen – im Gegenteil, mit den „normalen“ Lösungsvorschlägen, die sich auf ein sauberes System beziehen, mag der Schaden nur noch größer gemacht werden.

Abgesehen davon verkompliziert es den Updateprozess erheblich. Mir sind nicht wenige Kisten bekannt, die ein total veraltetes System fahren, weil die „Admins“ die Kiste ohne Plesk nicht bedienen können, der Provider kein aktuelles Image mit Plesk bereitstellt, und ein manuelles Update des Systems samt Plesk die „Admins” hoffnungslos überfordert. Entsprechend läuft dann da, wie gesagt, ein veraltetes System samt veraltetem Plesk – und das ist dann ziemlich fatal.

niemand hat geschrieben:Die imho größten Probleme mit Plesk sind: sobald du ’nen Fehler in einer Komponente deines Systems hast, in die Plesk sich einmischt und dran rumpfuscht, kann man hier nicht mehr gescheit helfen – im Gegenteil, mit den „normalen“ Lösungsvorschlägen, die sich auf ein sauberes System beziehen, mag der Schaden nur noch größer gemacht werden.

Abgesehen davon verkompliziert es den Updateprozess erheblich. Mir sind nicht wenige Kisten bekannt, die ein total veraltetes System fahren, weil die „Admins“ die Kiste ohne Plesk nicht bedienen können, der Provider kein aktuelles Image mit Plesk bereitstellt, und ein manuelles Update des Systems samt Plesk die „Admins” hoffnungslos überfordert. Entsprechend läuft dann da, wie gesagt, ein veraltetes System samt veraltetem Plesk – und das ist dann ziemlich fatal.

Das kann ich nachvollziehen. Veraltetes System habe ich Gott sei dank nicht. Bei mir läuft Ubuntu 14.04 LTS wird bis 2019 Supported. Plesk ist auch die aktuellste Version 17.5.3. Ab 2018 muss ich sowieso wieder wechseln wegen Kernel (Aussage von meinem Provider). Ich besitze keinen dedizierten server sondern einen VServer. Dann ist sowieso Ubuntu 16.04 fällig. Werde mir noch einen VServer zu Testzwecken mieten und dass System manuell aufsetzen. Zu Testzwecken ist es dann egal

Zu Testzwecken bietet sich ’ne VM an, lokal.

Nun melde ich mich mal wieder

rendegast hat geschrieben:

30.05.2017 15:14:03

Toll

... und nebenbei Clamav Scan täglich.

Den kannst Du imo weglassen
viewtopic.php?f=8&t=163399&p=1133003#p1133003
und durch einen der dortigen 14/60 ersetzen.

Plesk Premium Antivirus ist aktiviert.

"Plesk" oder "Parallels" ist hier jetzt gar nicht dabei
https://virustotal.com/de/file/32d5e3e8 ... 496147361/
Benutzte engine?

Clamav wurde deinstalliert.

Lord_Carlos hat geschrieben:

30.05.2017 16:57:30

Einfach in der/etc/ssh/sshd_config folgendes einstellen:
PermitRootLogin no

Und schon kannst du nur noch mit einem Benutzter einloggen. Dann via su wechseln. Ich benutzte immer sudo, aber das ist egal.

Ja, putty geht mit key login.
Wenn alles rund lauft und du ein backup von deinem private key hast, dann kannst du password login in der sshd config ausstellen.

WinSCP - Damit hast du einen grafischen Klienten um einfach Daten auf den server rueberzuschieben. Da sollte man auch irgendwo den key benutzten koennen.
Wenn damit alles klappt FTP server permanent ausschalten oder deinstallieren.

____________

Edit:
Wenn du es noch sicherer machen willst, kannst du Zweifaktor Autorisierung benutzten.
https://www.digitalocean.com/community/ ... untu-16-04
Um dann in dein Server einzubrechen muesste man sowohl dein Rechner kapern (um die key file zu bekommen) und dein Handy.

Habe bei Root nun auf Keylogin umgestellt. PermitRootLogin ist noch aktiviert, da noch eine Frage offen ist. Habe bereits einen Ubuntu User erstellt mit Standardrechten, so wie ich dass sehe müssen die Rechte dann dementsprechend auf den neuen User geändert werden, da sonst kein Keylogin möglich. Sollte dann wie folgt aussehen: Anmelden an den User per Keylogin -> durch su dann per Passwort zu root.
Jedoch könnte dies zu Problemen kommen, bei Putty kein Problem jedoch bei WinSCP, da meines Wissens kann man sich bei WinSCP nur mit einem Benutzer anmelden, so käme man nie an die Rootrechte oder sehe ich dass falsch?

Uhh, weis ich nicht. Mag sein.
Brauchst du root rechte fuer WinSCP?

Lord_Carlos hat geschrieben:

12.07.2017 16:21:48

Uhh, weis ich nicht. Mag sein.
Brauchst du root rechte fuer WinSCP?

Mir geht es eigentlich nur um die Benutzeroberfläche bei WinSCP. Ansonsten muss man alles über die Konsole machen.
Sprich sollte ich von FTP auf SFTP umstellen, ist die nur über die Konsole möglich. Da User keine Rootrechte hat und ich per su an root kommen muss.
Zugriff per SFTP geht ja nur über root oder sollte am besten so sein? Denn wenn ich einen User setze und diesen dann wieder die Rechte gebe, macht dies per su dann keinen Sinne mehr oder?

Daten fix mit WinSCP in der /home Verzeichnis des Benutzers hochladen, und von da via Putty in das richtig Verzeichnis verschieben.
Wenn du sehr oft Daten mit WinSCP bearbeiten musst, koennte es sich vielleicht auch lohnen den Benutzer Rechte zu geben um die Daten zu verarbeiten.

Wenn es darum geht php Daten hochzuladen, und zwar nur die sich geaendert haben, dann gibt es da vielleicht ganz andere Loesungen. Also z.B. ein Versionsverwaltung system wie git.
Dann musst du nur einloggen und via git pull die neuste Version holen. Wenn du ein Fehler bemerkst wechselst du wieder zu alten version.

Oder docker.

Kommt drauf an wie du womit Arbeitest php Daten via FTP auf einen Server mit root account hochladen? Als das aktuell war hat man auch noch mit der Deutschen Mark bezaehlt.

Statt WinSCP kannst du auch FileZilla nehmen (SSH-Port 22 angeben). Löst aber nicht das eigentliche Berechtigungsproblem. Vielleicht kannst du die Daten per CIFS (Samba), WebDAV(s) oder per HTTPS (Web-Filemanager) austauschen. Warum ist denn FTP heute besser als SFTP zukünftig? Statt FTP ist doch heute jeder One-File-Filemanager wie https://github.com/jcampbell1/simple-file-manager besser, sofern man den Zugriff verschlüsselt (TLS/SSL) und sich eine eigene Benutzerverwaltung mit .htaccess baut. Ältere Versionen des Script hatten Sicherheitslücken. Berechtigte Personen können evtl. den Webserver übernehmen.