Sicherheitskonzept eines neuen Servers
Hallo zusammen,
die Mail von Harald Tobias brachte mich auf die Idee, meine Ideen für
einen neuen Server hier mal zu posten...
Aufgrund einer Umstrukturierung meines Netzes zu hause, werde ich mir
einen Server neu aufsetzen, der mehrere Dinge auf einmal machen und
können soll:
- Mailserver
- (Eingang / IMAP)
- inkl. SpamAssassin
- und Virenscanner
- APT-Proxy
- NFS-Freigabe
- Samba-Freigabe
- SSH
- NTP
- Printserver
- Fileserver
- evtl. NIS
- (evtl. Webserver)
Was ich machen will:
Das wichtigste sind vor allem erstmal die internen Dienste:
- der APT-Proxy läuft aktuell bereits auf dem alten Server und soll
dorthin verschoben werden (btw: Reicht es, seine Verzeichnisse zu
kopieren oder muss man zusätzlich importieren?).
- Ansonsten wird der Server die neue große Platte von 200 Gig
beherbergen und soll somit als File-Server dienen, damit ich von jedem
Rechner an mein Home und die Daten ran komme.
- (Ich überlege, zusätzlich eine komplette Useranmeldung über NIS zu
machen.)
- Für die Freigabe soll primär NFS verwendet werden, zusätzlich würde
ich auch gerne Samba-Freigaben erstellen, für den (einzigen)
Windows-Rechner oder für Besuch.
- Außerdem bekommt der Rechner die Drucker - über CUPS und auch da am
Liebsten zusätzlich über Samba.
- Als NTP-Server soll er dem Netz auch dienen (ebenfalls intern,
versteht sich).
- Letztlich soll er noch meine Mails abholen, Spam- und Virenfilter
drüber laufen lassen und mir per IMAP zur Verfügung stellen.
- (Außerdem überlege ich, ob ich auch so etwas wie ein Fotoalbum auf dem
Webserver zur Verfügung stelle).
- Von außen möchte ich per DynDNS auf den Server kommen.
Für die internen Dienste ist das obige ja zunächst alles kein Problem.
Ich würde allerdings sehr gerne von außen auf den Rechner (am Liebsten
per SSH) zugreifen können, um z.B. via Shell und Mutt meine Mails zu
lesen (Ich halte das für sicherer als den IMAP-Server auch nach außen
hin freizugeben. Oder?)
Zunächst mal werde ich zwei NICs einbauen, um die Ports schön nach
Interfacce zu trennen.
Den SSH würde ich zum einen
- über sshdfilter (http://www.csc.liv.ac.uk/~greg/sshdfilter/)
absichern,
- zum anderen nur für meinen Benutzer erlauben,
- einen anderen Port als 22 nehmen und
- außerdem in einem Changeroot (in meinem Home) laufen lassen.
(Alternativ würde mich interessieren, ob jemand eine Möglichkeit (außer
Portknocking) kennt, um den Port auf Demand freizugeben - z.B. über
ISDN-Einwahl).
Der SSH-Port soll zunächst als einziger Port nach außen hin offen sein,
alles andere wird über die andere NIC nur nach innen freigegeben -
alles per iptables; für die Konfiguration dessen werde ich bastille
nehmen.
Hiermit hoffe ich eigentlich schon, die Hauptschwachstelle genügend
abgesichert zu haben!?
(Wäre es ggf. auch sinnvoll, zwei sshds laufen zu lassen - einen intern,
einen extern - oder eher lieber nicht?)
Außerdem wird man per SSH nur AUF den Server kommen, aber nicht davon
weg, kein interner Rechner wird einen SSH-Port offen haben.
Den potentiellen Apache würde ich ebenfalls in einem Changeroot laufen
lassen. Falls Ihr aber der Meinung seid, dass ein Apache - trotz
Changeroot - für den Server viel zu unsicher wäre, werde ich von der
Idee ablassen; so wichtig ist er mir dann auch nicht.
Per Debian Hardening HowTo wird anschließend alles vom Server entfernt,
was auf einem Server nichts zu suchen hat.
Außerdem werde ich mir zu Überwachung der Logs irgendein IDS-Tool
heraussuchen. Irgendwelche Empfehlungen?
So...
Was haltet Ihr davon? Was habe ich vergessen? Was sollte ich lieber
nicht oder lieber anders machen?
Ich möchte zum Schluss noch anfügen, dass ich prinzipiell genug Rechner
bei mir zu hause zur Verfügung habe (wenn z.T. auch ältere). Ich würde
aber sehr ungern mehr als einen laufen lassen, wegen der Stromkosten
(die Workstation und die Aquarien laufen schließlich auch noch ;)).
Bis dann erstmal,
--
Best regards...
Ace Dahlmann
Reply to: