Root-Server: Unterschied zwischen den Versionen
Zur Navigation springen
Zur Suche springen
Codica (Diskussion | Beiträge) |
Codica (Diskussion | Beiträge) |
||
| (6 dazwischenliegende Versionen desselben Benutzers werden nicht angezeigt) | |||
| Zeile 19: | Zeile 19: | ||
* Keine Anmeldung von root über ssh | * Keine Anmeldung von root über ssh | ||
joe /etc/ssh/sshd_config | joe /etc/ssh/sshd_config | ||
| + | |||
| + | == Sicherheitsüberlegungen == | ||
| + | |||
| + | * Auch bei Sicherheit gilt das KISS-Prinzip: Keep it simply stupid! Daher möglichst nur die Features auf dem Server bereitstellen, die man wirklich benötigt. | ||
| + | * [https://community.hetzner.com/tutorials/securing-ssh#step-2---setup-of-fail2ban fail2ban] | ||
| + | * firejail als restriktive Shell | ||
| + | * shorewall | ||
| + | * umask in /etc/login.defs restriktiv setzen | ||
| + | * Verschlüsselung der Laufwerke | ||
| + | * Eigenes Root-Passwort setzen, besser SSH durch root nicht zulassen, sondern nur [[sudo]] | ||
| + | * [[SSH]]: | ||
| + | ** ssh-copy-id | ||
| + | ** Anmelden mit Passwort verbieten, siehe | ||
| + | *** https://community.hetzner.com/tutorials/securing-ssh | ||
| + | *** http://www.webhostlist.de/root-server/meine-ersten-5-minuten-auf-jedem-server/ | ||
| + | * Evtl. logwatch und fail2ban installieren | ||
| + | * AppArmor | ||
| + | |||
| + | |||
| + | Vgl. zur Serversicherheit | ||
| + | * https://www.thomas-krenn.com/de/wiki/Absicherung_eines_Debian_Servers | ||
| + | * https://www.heise.de/forum/heise-online/Kommentare/Online-Workshop-Linux-Server-sicher-haerten/Beispiel-fuer-eine-Systemhaertung-unter-Debian/posting-36859197/show/ | ||
| + | * http://www.webhostlist.de/root-server/meine-ersten-5-minuten-auf-jedem-server/ | ||
| + | * [https://community.hetzner.com/tutorials/secure-tmp-folder Sicheres /tmp-Verzeichnis] | ||
| + | |||
| + | === Systemd === | ||
| + | |||
| + | Mit '''ProtectSystem''' kann man das Dateisystem fast vollständig als nicht beschreibbar für den Systemd-Prozess | ||
| + | einhängen. Mit '''ReadWritePaths''' kann man davon Ausnahmen schaffen. | ||
| + | |||
| + | Mit '''PrivateTmp''' sollte das /tmp-Verzeichnis eines Systemd-Prozesses vom Root-Tmp-Verzeichnis abgesondert werden. | ||
| + | Siehe | ||
| + | * https://www.flashsystems.de/articles/systemd-hardening/ | ||
| + | |||
| + | == Monitoring == | ||
| + | |||
| + | Beim Monitoring des Servers gibt es mannigfache Möglichkeiten, z.B. | ||
| + | * Einbindung in ein Home Automation System wie [[OpenHAB]], | ||
| + | * nagios | ||
| + | * InfluxDB | ||
| + | * [https://www.monitorix.org/downloads.html Monitorix] - eine kleine Nur-Monitoring-Lösung, siehe | ||
| + | ** https://www.tecchannel.de/a/der-linux-server-und-seine-einsatzmoeglichkeiten,3201532,5 | ||
Aktuelle Version vom 16. August 2024, 04:55 Uhr
Siehe
Standardeinrichtung
Als root:
- neues Passwort einrichten
passwd
- Update des Systems
aptitude update && aptitude upgrade
- Installation eines Editors
aptitude install joe
- Anlegen eines Nutzers
adduser einbenutzer
- Keine Anmeldung von root über ssh
joe /etc/ssh/sshd_config
Sicherheitsüberlegungen
- Auch bei Sicherheit gilt das KISS-Prinzip: Keep it simply stupid! Daher möglichst nur die Features auf dem Server bereitstellen, die man wirklich benötigt.
- fail2ban
- firejail als restriktive Shell
- shorewall
- umask in /etc/login.defs restriktiv setzen
- Verschlüsselung der Laufwerke
- Eigenes Root-Passwort setzen, besser SSH durch root nicht zulassen, sondern nur sudo
- SSH:
- ssh-copy-id
- Anmelden mit Passwort verbieten, siehe
- Evtl. logwatch und fail2ban installieren
- AppArmor
Vgl. zur Serversicherheit
- https://www.thomas-krenn.com/de/wiki/Absicherung_eines_Debian_Servers
- https://www.heise.de/forum/heise-online/Kommentare/Online-Workshop-Linux-Server-sicher-haerten/Beispiel-fuer-eine-Systemhaertung-unter-Debian/posting-36859197/show/
- http://www.webhostlist.de/root-server/meine-ersten-5-minuten-auf-jedem-server/
- Sicheres /tmp-Verzeichnis
Systemd
Mit ProtectSystem kann man das Dateisystem fast vollständig als nicht beschreibbar für den Systemd-Prozess einhängen. Mit ReadWritePaths kann man davon Ausnahmen schaffen.
Mit PrivateTmp sollte das /tmp-Verzeichnis eines Systemd-Prozesses vom Root-Tmp-Verzeichnis abgesondert werden. Siehe
Monitoring
Beim Monitoring des Servers gibt es mannigfache Möglichkeiten, z.B.
- Einbindung in ein Home Automation System wie OpenHAB,
- nagios
- InfluxDB
- Monitorix - eine kleine Nur-Monitoring-Lösung, siehe