Root-Server: Unterschied zwischen den Versionen

Aus CodicaTipps
Zur Navigation springen Zur Suche springen
 
(6 dazwischenliegende Versionen desselben Benutzers werden nicht angezeigt)
Zeile 19: Zeile 19:
 
* Keine Anmeldung von root über ssh
 
* Keine Anmeldung von root über ssh
 
   joe /etc/ssh/sshd_config
 
   joe /etc/ssh/sshd_config
 +
 +
== Sicherheitsüberlegungen ==
 +
 +
* Auch bei Sicherheit gilt das KISS-Prinzip: Keep it simply stupid! Daher möglichst nur die Features auf dem Server bereitstellen, die man wirklich benötigt.
 +
* [https://community.hetzner.com/tutorials/securing-ssh#step-2---setup-of-fail2ban fail2ban]
 +
* firejail als restriktive Shell
 +
* shorewall
 +
* umask in /etc/login.defs restriktiv setzen
 +
* Verschlüsselung der Laufwerke
 +
* Eigenes Root-Passwort setzen, besser SSH durch root nicht zulassen, sondern nur [[sudo]]
 +
* [[SSH]]:
 +
** ssh-copy-id
 +
** Anmelden mit Passwort verbieten, siehe
 +
*** https://community.hetzner.com/tutorials/securing-ssh
 +
*** http://www.webhostlist.de/root-server/meine-ersten-5-minuten-auf-jedem-server/
 +
* Evtl. logwatch und fail2ban installieren
 +
* AppArmor
 +
 +
 +
Vgl. zur Serversicherheit
 +
* https://www.thomas-krenn.com/de/wiki/Absicherung_eines_Debian_Servers
 +
* https://www.heise.de/forum/heise-online/Kommentare/Online-Workshop-Linux-Server-sicher-haerten/Beispiel-fuer-eine-Systemhaertung-unter-Debian/posting-36859197/show/
 +
* http://www.webhostlist.de/root-server/meine-ersten-5-minuten-auf-jedem-server/
 +
* [https://community.hetzner.com/tutorials/secure-tmp-folder Sicheres /tmp-Verzeichnis]
 +
 +
=== Systemd ===
 +
 +
Mit '''ProtectSystem''' kann man das Dateisystem fast vollständig als nicht beschreibbar für den Systemd-Prozess
 +
einhängen. Mit '''ReadWritePaths''' kann man davon Ausnahmen schaffen.
 +
 +
Mit '''PrivateTmp''' sollte das /tmp-Verzeichnis eines Systemd-Prozesses vom Root-Tmp-Verzeichnis abgesondert werden.
 +
Siehe
 +
* https://www.flashsystems.de/articles/systemd-hardening/
 +
 +
== Monitoring ==
 +
 +
Beim Monitoring des Servers gibt es mannigfache Möglichkeiten, z.B.
 +
* Einbindung in ein Home Automation System wie [[OpenHAB]],
 +
* nagios
 +
* InfluxDB
 +
* [https://www.monitorix.org/downloads.html Monitorix] - eine kleine Nur-Monitoring-Lösung, siehe
 +
** https://www.tecchannel.de/a/der-linux-server-und-seine-einsatzmoeglichkeiten,3201532,5
  
  

Aktuelle Version vom 16. August 2024, 04:55 Uhr

Siehe


Standardeinrichtung

Als root:

  • neues Passwort einrichten
 passwd
  • Update des Systems
 aptitude update && aptitude upgrade
  • Installation eines Editors
 aptitude install joe
  • Anlegen eines Nutzers
 adduser einbenutzer
  • Keine Anmeldung von root über ssh
 joe /etc/ssh/sshd_config

Sicherheitsüberlegungen


Vgl. zur Serversicherheit

Systemd

Mit ProtectSystem kann man das Dateisystem fast vollständig als nicht beschreibbar für den Systemd-Prozess einhängen. Mit ReadWritePaths kann man davon Ausnahmen schaffen.

Mit PrivateTmp sollte das /tmp-Verzeichnis eines Systemd-Prozesses vom Root-Tmp-Verzeichnis abgesondert werden. Siehe

Monitoring

Beim Monitoring des Servers gibt es mannigfache Möglichkeiten, z.B.