Root-Server: Unterschied zwischen den Versionen

Aus CodicaTipps
Zur Navigation springen Zur Suche springen
Zeile 22: Zeile 22:
 
== Sicherheitsüberlegungen ==
 
== Sicherheitsüberlegungen ==
  
Auch bei Sicherheit gilt das KISS-Prinzip: Keep it simply stupid! Daher möglichst nur die Features auf dem Server bereitstellen, die man wirklich benötigt.
+
* Auch bei Sicherheit gilt das KISS-Prinzip: Keep it simply stupid! Daher möglichst nur die Features auf dem Server bereitstellen, die man wirklich benötigt.
 +
* firejail als restriktive Shell
 +
* shorewall
 +
* umask in /etc/login.defs restriktiv setzen
 +
* Verschlüsselung der Laufwerke
 +
* Eigenes Root-Passwort setzen, besser SSH durch root nicht zulassen, sondern nur [[sudo]]
 +
* [[SSH]]:
 +
** ssh-copy-id
 +
** Evtl.: Anmelden mit Passwort verbieten, siehe http://www.webhostlist.de/root-server/meine-ersten-5-minuten-auf-jedem-server/
 +
* Evtl. logwatch und fail2ban installieren
 +
* AppArmor
 +
 
  
 
Vgl. zur Serversicherheit
 
Vgl. zur Serversicherheit
 
* https://www.thomas-krenn.com/de/wiki/Absicherung_eines_Debian_Servers
 
* https://www.thomas-krenn.com/de/wiki/Absicherung_eines_Debian_Servers
 
+
* https://www.heise.de/forum/heise-online/Kommentare/Online-Workshop-Linux-Server-sicher-haerten/Beispiel-fuer-eine-Systemhaertung-unter-Debian/posting-36859197/show/
 +
* http://www.webhostlist.de/root-server/meine-ersten-5-minuten-auf-jedem-server/
  
 
== Monitoring ==
 
== Monitoring ==

Version vom 23. Juni 2020, 13:10 Uhr

Siehe


Standardeinrichtung

Als root:

  • neues Passwort einrichten
 passwd
  • Update des Systems
 aptitude update && aptitude upgrade
  • Installation eines Editors
 aptitude install joe
  • Anlegen eines Nutzers
 adduser einbenutzer
  • Keine Anmeldung von root über ssh
 joe /etc/ssh/sshd_config

Sicherheitsüberlegungen

  • Auch bei Sicherheit gilt das KISS-Prinzip: Keep it simply stupid! Daher möglichst nur die Features auf dem Server bereitstellen, die man wirklich benötigt.
  • firejail als restriktive Shell
  • shorewall
  • umask in /etc/login.defs restriktiv setzen
  • Verschlüsselung der Laufwerke
  • Eigenes Root-Passwort setzen, besser SSH durch root nicht zulassen, sondern nur sudo
  • SSH:
  • Evtl. logwatch und fail2ban installieren
  • AppArmor


Vgl. zur Serversicherheit

Monitoring

Beim Monitoring des Servers gibt es mannigfache Möglichkeiten, z.B.