[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: Sicherheitskonzept eines neuen Servers

On 21.11.05 11:38:33, Ace Dahlmann wrote:
> Das wichtigste sind vor allem erstmal die internen Dienste:
> - der APT-Proxy läuft aktuell bereits auf dem alten Server und soll
> dorthin verschoben werden (btw: Reicht es, seine Verzeichnisse zu
> kopieren oder muss man zusätzlich importieren?).

Das kopieren sollte reichen, aber achte darauf die Rechte beizubehalten
und die Datenbank nicht vergessen (in /var/cache/apt-proxy/.apt-proxy)

> - Für die Freigabe soll primär NFS verwendet werden, zusätzlich würde

Ich kann das selbst nicht bestaetigen oder widerlegen, aber man kann an
verschiedenen Stellen im Netz lesen das CIFS "besser" sein soll. Das
spart dir dann auch einen Dienst. Ach und statt NIS kann man auch LDAP
nutzen ;-)

> Für die internen Dienste ist das obige ja zunächst alles kein Problem.
> Ich würde allerdings sehr gerne von außen auf den Rechner (am Liebsten
> per SSH) zugreifen können, um z.B. via Shell und Mutt meine Mails zu
> lesen (Ich halte das für sicherer als den IMAP-Server auch nach außen
> hin freizugeben. Oder?)

Es gibt IMAPS, aber im Prinzip stimme ich dir zu, zumal du ja ssh vllt.
auch noch anderweitig benoetigst.

> Der SSH-Port soll zunächst als einziger Port nach außen hin offen sein,
> alles andere wird über die andere NIC nur nach innen freigegeben -
> alles per iptables; für die Konfiguration dessen werde ich bastille
> nehmen.

?? Wieso iptables? Lass die Dienste nur auf der internen NIC lauschen,
das ist deutlich sicherer als irgendwelche iptables Basteleiein. 

> (Wäre es ggf. auch sinnvoll, zwei sshds laufen zu lassen - einen intern,
> einen extern - oder eher lieber nicht?)

Du koenntest bei dem internen z.B. root-Login erlauben, oder PW-Login
und beim externen nur Public-Key-Auth... 

> Den potentiellen Apache würde ich ebenfalls in einem Changeroot laufen
> lassen. Falls Ihr aber der Meinung seid, dass ein Apache - trotz
> Changeroot - für den Server viel zu unsicher wäre, werde ich von der
> Idee ablassen; so wichtig ist er mir dann auch nicht.

?? Weisst du wie viele Webseiten mit Apache laufen, ohne gehackt zu
werden... Wenn du den vernuenftig einrichtest und sicherheitstechnisch
auf nem aktuellen Stand sollte das kein groesseres Problem darstellen
als der extern angebotene sshd. Ob ein chroot allerdings sicherer ist
oder nur macht weiss ich nicht, insbesondere da ja die Prozesse die die
Seiten ausliefern nicht als root laufen.

> Per Debian Hardening HowTo wird anschließend alles vom Server entfernt,
> was auf einem Server nichts zu suchen hat.

Das wuerde ich machen bevor die externe NIC angeschlossen ist.

Andreas

-- 
Cold hands, no gloves.
Reply to: