3.913
Bearbeitungen
Änderungen
Zur Navigation springen
Zur Suche springen
Zeile 23:
Zeile 23: − + Zeile 31:
Zeile 31: − + + + Zeile 41:
Zeile 43: + + + + + + + + +
→Systemd
* Auch bei Sicherheit gilt das KISS-Prinzip: Keep it simply stupid! Daher möglichst nur die Features auf dem Server bereitstellen, die man wirklich benötigt.
* Auch bei Sicherheit gilt das KISS-Prinzip: Keep it simply stupid! Daher möglichst nur die Features auf dem Server bereitstellen, die man wirklich benötigt.
* fail2ban
* [https://community.hetzner.com/tutorials/securing-ssh#step-2---setup-of-fail2ban fail2ban]
* firejail als restriktive Shell
* firejail als restriktive Shell
* shorewall
* shorewall
* [[SSH]]:
* [[SSH]]:
** ssh-copy-id
** ssh-copy-id
** Evtl.: Anmelden mit Passwort verbieten, siehe http://www.webhostlist.de/root-server/meine-ersten-5-minuten-auf-jedem-server/
** Anmelden mit Passwort verbieten, siehe
*** https://community.hetzner.com/tutorials/securing-ssh
*** http://www.webhostlist.de/root-server/meine-ersten-5-minuten-auf-jedem-server/
* Evtl. logwatch und fail2ban installieren
* Evtl. logwatch und fail2ban installieren
* AppArmor
* AppArmor
* http://www.webhostlist.de/root-server/meine-ersten-5-minuten-auf-jedem-server/
* http://www.webhostlist.de/root-server/meine-ersten-5-minuten-auf-jedem-server/
* [https://community.hetzner.com/tutorials/secure-tmp-folder Sicheres /tmp-Verzeichnis]
* [https://community.hetzner.com/tutorials/secure-tmp-folder Sicheres /tmp-Verzeichnis]
=== Systemd ===
Mit '''ProtectSystem''' kann man das Dateisystem fast vollständig als nicht beschreibbar für den Systemd-Prozess
einhängen. Mit '''ReadWritePaths''' kann man davon Ausnahmen schaffen.
Mit '''PrivateTmp''' sollte das /tmp-Verzeichnis eines Systemd-Prozesses vom Root-Tmp-Verzeichnis abgesondert werden.
Siehe
* https://www.flashsystems.de/articles/systemd-hardening/
== Monitoring ==
== Monitoring ==