Re: Sicherheitskonzept eines neuen Servers
Ace Dahlmann schrieb:
Hallo zusammen,
Hallo!.
die Mail von Harald Tobias brachte mich auf die Idee, meine Ideen für
einen neuen Server hier mal zu posten...
Aufgrund einer Umstrukturierung meines Netzes zu hause, werde ich mir
einen Server neu aufsetzen, der mehrere Dinge auf einmal machen und
können soll:
- Mailserver
- (Eingang / IMAP)
- inkl. SpamAssassin
- und Virenscanner
- APT-Proxy
- NFS-Freigabe
- Samba-Freigabe
- SSH
- NTP
- Printserver
- Fileserver
- evtl. NIS
- (evtl. Webserver)
Was ich machen will:
[...]
- Als NTP-Server soll er dem Netz auch dienen (ebenfalls intern,
versteht sich).
Was nimmste da?.
- Letztlich soll er noch meine Mails abholen, Spam- und Virenfilter
drüber laufen lassen und mir per IMAP zur Verfügung stellen.
MTA -> Postfix (kann ich nur empfehlen).
AMAVISD-NEW -> clamav?.
[...]
> Den SSH würde ich zum einen
- über sshdfilter (http://www.csc.liv.ac.uk/~greg/sshdfilter/)
Aah. Schon mal getestet?.
absichern,
- zum anderen nur für meinen Benutzer erlauben,
ja. no root login ...
- einen anderen Port als 22 nehmen und
Kann ich allein wg. der "Script-SSH-Kiddies" und "Logzumüllung" nur
empfehlen.
Gegen einen "ernsthaften" "Cracker" wird das aber auch nicht allzulange
helfen ...
- außerdem in einem Changeroot (in meinem Home) laufen lassen.
Der SSH-Port soll zunächst als einziger Port nach außen hin offen sein,
alles andere wird über die andere NIC nur nach innen freigegeben -
alles per iptables; für die Konfiguration dessen werde ich bastille
nehmen.
[...]
Per Debian Hardening HowTo wird anschließend alles vom Server entfernt,
was auf einem Server nichts zu suchen hat.
Bitte posten wenn es da ein paar "Haken und Ösen" gibt ...
[...]
Was haltet Ihr davon? Was habe ich vergessen? Was sollte ich lieber
nicht oder lieber anders machen?
Den Fortlauf des "Experimentes" dokumentieren? :-).
Bis dann erstmal,
Grüsse
MH
Reply to: