tag:forum.selfhtml.org,2005:/self Serversicherheit – SELFHTML-Forum 2009-11-04T12:11:15Z https://forum.selfhtml.org/self/2009/oct/29/serversicherheit/1404275#m1404275 JOhn 2009-10-29T12:18:33Z 2009-10-29T12:18:33Z Serversicherheit <p>Haben Communitys wie meinVZ, facebook usw. eine Firewall installiert?<br> Wie sieht es mit Firewall und Antivirusprogrammen auf Webservern aus?<br> Sind sie ein "Muss"?<br> Wenn ja . könnt ihr mir welche empfehlen, die sicher und nicht behindernt sind?</p> <p>Gruß, John</p> https://forum.selfhtml.org/self/2009/oct/29/serversicherheit/1404288#m1404288 suit suit@rebell.at http://rebell.at/ 2009-10-29T12:33:16Z 2009-10-29T12:33:16Z Serversicherheit <blockquote> <p>Haben Communitys wie meinVZ, facebook usw. eine Firewall installiert?</p> </blockquote> <p>Keine Ahnung. Aber jegliche Sicherheitskonzepte nutzen nichts, wenn <a href="http://www.netzpolitik.org/2009/datenleck-bei-schuelervz-war-groesser-als-bekannt/" rel="nofollow noopener noreferrer">die Software schlecht programmiert ist</a>.</p> <blockquote> <p>Wie sieht es mit Firewall und Antivirusprogrammen auf Webservern aus?<br> Sind sie ein "Muss"?</p> </blockquote> <p>Nein - ein Virenscanner ist idR. nicht verkehrt, eine Firewall hat dort IMHO nicht viel verloren, die gehört schon davor im Rechenzentrum angebracht.</p> <blockquote> <p>Wenn ja . könnt ihr mir welche empfehlen, die sicher und nicht behindernt sind?</p> </blockquote> <p>Wende dich an den Hoster deines Vertrauens.</p> https://forum.selfhtml.org/self/2009/oct/29/serversicherheit/1404276#m1404276 FraFu 2009-10-29T13:41:10Z 2009-10-29T13:41:10Z Serversicherheit <p>Hallo!</p> <blockquote> <p>Haben Communitys wie meinVZ, facebook usw. eine Firewall installiert?<br> Wie sieht es mit Firewall und Antivirusprogrammen auf Webservern aus?<br> Sind sie ein "Muss"?</p> </blockquote> <p>Bei großen Installationen wie facebook oder so hat man im Normalfalls sogar ein mehrstufiges Firewallkonzept.<br> Das könnten u.U. so aussehen:</p> <p>FW - WEBSERVERFARM - FW - DATENBANKSERVER, BACKUPSERVER, usw.</p> <p>Die Firewall dort sieht aber vermutlich anders aus als du dir das vorstellst. Die Firewalls sind vermutlich mehrere physische Maschinen die den IP Verkehr mal entgegen nehmen und dann weiterleiten an die Applikationserver oder ablehnen.</p> <p>Das sind keine Firewallprogramm die mal eben auf einem Rechner installiert werden.</p> <p>Bei so großen Installationen ist die Firewall eher ein Konzept als ein einzelnes Program.</p> <blockquote> <p>Wenn ja . könnt ihr mir welche empfehlen, die sicher und nicht behindernt sind?</p> </blockquote> <p>Was genau willst du machen?</p> <p>mfg<br>   frafu</p> https://forum.selfhtml.org/self/2009/oct/29/serversicherheit/1404277#m1404277 JOhn 2009-10-29T17:11:50Z 2009-10-29T17:11:50Z Serversicherheit <blockquote> <p>Was genau willst du machen?</p> </blockquote> <p>Meine Web 2.0 Plattform (Community) vor Angriffen schützen.</p> https://forum.selfhtml.org/self/2009/oct/29/serversicherheit/1404278#m1404278 FraFu 2009-10-29T18:39:53Z 2009-10-29T18:39:53Z Serversicherheit <p>Hallo!</p> <blockquote> <blockquote> <p>Was genau willst du machen?</p> </blockquote> <p>Meine Web 2.0 Plattform (Community) vor Angriffen schützen.</p> </blockquote> <p>Kommt auf die Architektur an. Ich vermute du hast nur einen Root Server? Nur eine IP? Welches OS? Ich geh mal von Linux aus.<br> Eine eigene Firewall brauchst du da eigentlich nicht.<br> Eine Firewall brauchst du dann, wenn du mehr als einen Server hinter einem Gateway betreibst.<br> Wenn du nur einen Webserver und vielleicht Mail betreibst, dann solltest du auf ein paar Sachen achten:</p> <p>* Nur die Dienste auf der offiziellen IP lauschen lassen die notwendig sind. Zb MySQL nur auf 127.0.0.1 binden.<br> * Unnötige Dienste (ftp?) abschalten.<br> * Sichere Passwörter wählen und sich trotzdem gegen Bruteforceangriffe sichern (zb http://denyhosts.sourceforge.net/) oder SSH auf einen anderen Port legen - ich weiß ist Security by obscurity aber hält zumindest Script Kiddies ab.<br> * Kein Mail Relay erlauben<br> * Das System immer mit den neues Patches am Laufenden halten.<br> * Die Web 2.0 Software immer am Laufenden Stand halten. Wenns von dir selber entwickelt ist, dann natürlich auf die üblichen Fehler achten: XSS, SQL Injection, usw. und vielleicht über eine Web Application Firewall nachdenken.</p> <p>Das sind mal ein paar Sachen dir mir auf die Schnelle einfallen.<br> Wenn du mal so ein großes Aufkommen auf deiner Seite hast, dass du einen Loadbalancer mit mehreren Applicationservern und dedizierten Datenbankservern dahinter brauchst, dann reden wir über eine Firewall. :-)</p> <p>mfg<br>   frafu</p> https://forum.selfhtml.org/self/2009/oct/29/serversicherheit/1404279#m1404279 JOhn 2009-10-30T00:26:34Z 2009-10-30T00:26:34Z Serversicherheit <p>Hi.</p> <blockquote> <p>Kommt auf die Architektur an. Ich vermute du hast nur einen Root Server? Nur eine IP? Welches OS? Ich geh mal von Linux aus.</p> </blockquote> <p>Root. ATM 1 IP. Debian Lenny.</p> <blockquote> <p>Eine eigene Firewall brauchst du da eigentlich nicht.</p> </blockquote> <p>Gut.</p> <blockquote> <p>Eine Firewall brauchst du dann, wenn du mehr als einen Server hinter einem Gateway betreibst.</p> </blockquote> <p>ATM noch nicht.</p> <blockquote> <p>Wenn du nur einen Webserver und vielleicht Mail betreibst,</p> </blockquote> <p>Postfix fungiert als Smarthost. PHP sendet über GoogleMails SMTP E-Mails nach draußen. (Newsletter-System, usw.)</p> <blockquote> <p>* Nur die Dienste auf der offiziellen IP lauschen lassen die notwendig sind. Zb MySQL nur auf 127.0.0.1 binden.</p> </blockquote> <p>Das tut PostgreSQl bei mir :)</p> <blockquote> <p>* Unnötige Dienste (ftp?) abschalten.</p> </blockquote> <p>Aber SFTP ist doch okay oder?</p> <blockquote> <p>* Sichere Passwörter wählen</p> </blockquote> <p>Reichen 8 Stellen a-zA-Z0-9 ?</p> <blockquote> <p>und sich trotzdem gegen Bruteforceangriffe sichern (zb http://denyhosts.sourceforge.net/)</p> </blockquote> <p>Damit werde ich mich mal auseinander setzen. Bringts was?</p> <blockquote> <p>oder SSH auf einen anderen Port legen</p> </blockquote> <p>Von 22 auf xxxx gelegt.</p> <blockquote> <p>* Kein Mail Relay erlauben</p> </blockquote> <p>Kein Mail Relay... hm. wie meinst du das genau? Weil atm s.o. schickt mein PHP die E-Mails über smtp.gmail.com (port 587 (SSL)) raus.</p> <blockquote> <p>* Das System immer mit den neues Patches am Laufenden halten.</p> </blockquote> <p>apt-get update && apt-get upgrade ?</p> <blockquote> <p>* Die Web 2.0 Software immer am Laufenden Stand halten. Wenns von dir selber entwickelt ist, dann natürlich auf die üblichen Fehler achten: XSS, SQL Injection, usw. und vielleicht über eine Web Application Firewall nachdenken.</p> </blockquote> <p>Ist von mir entwickelt. Es wird alles escaped in die DB eingegeben und alles escaped ausgegeben.</p> <p>Danke für deine Hilfe.<br> Wie schütze ich mich denn am besten gegen DOS-Angriffe?</p> <p>Wenn da jemand seine 10.000 Trojaner Vics hat und er sein Botnetz auf mich los lässt - was schützt mich davor?</p> <p>Gruß, JOhn</p> https://forum.selfhtml.org/self/2009/oct/29/serversicherheit/1404280#m1404280 FraFu 2009-10-30T10:54:52Z 2009-10-30T10:54:52Z Serversicherheit <p>Hallo!</p> <blockquote> <blockquote> <p>* Unnötige Dienste (ftp?) abschalten.<br> Aber SFTP ist doch okay oder?</p> </blockquote> </blockquote> <p>Ist kein Unterschied. Brauchst du das? Wenn ja, dann laufen lassen, wenn du den Dienst nicht nutzt, dann abschalten.</p> <blockquote> <blockquote> <p>* Sichere Passwörter wählen</p> </blockquote> <p>Reichen 8 Stellen a-zA-Z0-9 ?</p> </blockquote> <p>Noch ein Sonderzeichen dazu und gut ist's.</p> <blockquote> <blockquote> <p>und sich trotzdem gegen Bruteforceangriffe sichern (zb http://denyhosts.sourceforge.net/)<br> Damit werde ich mich mal auseinander setzen. Bringts was?</p> </blockquote> </blockquote> <p>Ja, Bruteforceloginversuche per ssh hatte ich früher hunderte am Tag. 3 falsche Loginversuche und die IP wird geblockt. Dadurch wird das ganz gut unterbunden.</p> <blockquote> <blockquote> <p>* Kein Mail Relay erlauben<br> Kein Mail Relay... hm. wie meinst du das genau? Weil atm s.o. schickt mein PHP die E-Mails über smtp.gmail.com (port 587 (SSL)) raus.</p> </blockquote> </blockquote> <p>Lauscht auf Port 25 ein SMTP Daemon? Wenn ja, dann darf der nur Mails für die Domain entgegen nehmen die dort gehostet wird. Es darf nicht erlaubt sein über deinen Server zb. Mails an blabla@gmx.net zu schicken. So ein Weiterleiten heißt Relaying und darf maximal nach erfolgreichen Login mit Username/Password oder von Verbindungen von localhost erfolgen.</p> <blockquote> <p>Wie schütze ich mich denn am besten gegen DOS-Angriffe?</p> </blockquote> <p>Bandbreite, Bandbreite, Bandbreite :-) Nein, keine Ahnung, damit hab ich mich noch nicht im Detail beschäftigt. Gegen einfach DOS Angriffe müssten gängige Router oder Intrusion Detection Systeme schützen.</p> <blockquote> <p>Wenn da jemand seine 10.000 Trojaner Vics hat und er sein Botnetz auf mich los lässt - was schützt mich davor?</p> </blockquote> <p>Lösegeld? :-) Das ist dann ein DDos Angriff. Da wirst als Hobby Betreiber keine Chance dagegen haben. Hab mal auf einer Konferenz einen Vortrag über DDos Angriffe auf russische Bankensysteme gehört. Gegen groß angelegte DDos Angriffe bist fast chancenlos. In dem Zusammenhang finde ich den ersten dokumentierten "Information Warfare" interessant. Google mal nach "Information Warfare Estonia" Insbesondere diesen Vortrag von der DefCon kann ich empfehlen:<br> <a href="http://video.google.com/videoplay?docid=-5362349666961901582%23" rel="nofollow noopener noreferrer">http://video.google.com/videoplay?docid=-5362349666961901582%23</a><br> Das war u.A. ein fetter DDos Angriff.</p> <p>mfg<br>   frafu</p> https://forum.selfhtml.org/self/2009/oct/29/serversicherheit/1404281#m1404281 JOhn 2009-10-30T13:24:01Z 2009-10-30T13:24:01Z Serversicherheit <p>hi.</p> <blockquote> <blockquote> <blockquote> <p>* Unnötige Dienste (ftp?) abschalten.<br> Aber SFTP ist doch okay oder?</p> </blockquote> </blockquote> <p>Ist kein Unterschied. Brauchst du das? Wenn ja, dann laufen lassen, wenn du den Dienst nicht nutzt, dann abschalten.</p> </blockquote> <p>hÄ? ich dachte das läuft über SSH2. D.h. ich habs automatisch sobald ich SSh veerwende und das muss ich ja sonst krieg ich Dateien ja nie auf den Server.</p> <blockquote> <p>Ja, Bruteforceloginversuche per ssh hatte ich früher hunderte am Tag. 3 falsche Loginversuche und die IP wird geblockt. Dadurch wird das ganz gut unterbunden.</p> </blockquote> <p>Danke.</p> <blockquote> <blockquote> <blockquote> <p>* Kein Mail Relay erlauben<br> Kein Mail Relay... hm. wie meinst du das genau? Weil atm s.o. schickt mein PHP die E-Mails über smtp.gmail.com (port 587 (SSL)) raus.</p> </blockquote> </blockquote> <p>Lauscht auf Port 25 ein SMTP Daemon? Wenn ja, dann darf der nur Mails für die Domain entgegen nehmen die dort gehostet wird. Es darf nicht erlaubt sein über deinen Server zb. Mails an blabla@gmx.net zu schicken. So ein Weiterleiten heißt Relaying und darf maximal nach erfolgreichen Login mit Username/Password oder von Verbindungen von localhost erfolgen.</p> </blockquote> <p>Wie? Verstehe ich nicht. Also ich habe Postfix als Smarthost eingerichtet.<br> mein PHP Skript verschickt auch an @gmx & co..., allerdings über einen externen SMTP Server(gmail auf port 587). Also dürfte bei mir kein SMTP Server lauschen.</p> <p>Danke dir,</p> <p>JOhn</p> https://forum.selfhtml.org/self/2009/oct/29/serversicherheit/1404283#m1404283 FraFu 2009-10-30T13:51:09Z 2009-10-30T13:51:09Z Serversicherheit <p>Hallo!</p> <blockquote> <blockquote> <blockquote> <blockquote> <p>* Unnötige Dienste (ftp?) abschalten.<br> Aber SFTP ist doch okay oder?</p> </blockquote> </blockquote> <p>Ist kein Unterschied. Brauchst du das? Wenn ja, dann laufen lassen, wenn du den Dienst nicht nutzt, dann abschalten.<br> hÄ? ich dachte das läuft über SSH2. D.h. ich habs automatisch sobald ich SSh veerwende und das muss ich ja sonst krieg ich Dateien ja nie auf den Server.</p> </blockquote> </blockquote> <p>Ich meinte, ein offener Port ist ein offener Port und da ist mal egal was da lauscht. Bei einem Bruteforeangriff ist egal ob es ftp oder sftp ist. Loginversuche kann ich auf beiden durchführen und wenn eine Benutzer/Pwd Kombination erraten wurde ist es egal ob das ftp oder sftp war. Der Unterschied liegt erst in der Übertragung der Daten. sftp Datentransfers kann ich nicht einfach so mitsniffen.</p> <blockquote> <blockquote> <blockquote> <blockquote> <p>* Kein Mail Relay erlauben<br> .........<br> Wie? Verstehe ich nicht. Also ich habe Postfix als Smarthost eingerichtet.<br> mein PHP Skript verschickt auch an @gmx & co..., allerdings über einen externen SMTP Server(gmail auf port 587). Also dürfte bei mir kein SMTP Server lauschen.</p> </blockquote> </blockquote> </blockquote> </blockquote> <p>Das weiß ich nicht. Hab mich mit Smarthost noch nicht beschäftigt. Einfach ausprobieren.</p> <p>mfg<br>   frafu</p> https://forum.selfhtml.org/self/2009/oct/29/serversicherheit/1404282#m1404282 Ulli1956 http://www.y-o.de 2009-10-30T14:00:18Z 2009-10-30T14:00:18Z Serversicherheit <p>Hallo,</p> <blockquote> <blockquote> <p>Lauscht auf Port 25 ein SMTP Daemon? Wenn ja, dann darf der nur Mails für die Domain entgegen nehmen die dort gehostet wird. Es darf nicht erlaubt sein über deinen Server zb. Mails an blabla@gmx.net zu schicken. So ein Weiterleiten heißt Relaying und darf maximal nach erfolgreichen Login mit Username/Password oder von Verbindungen von localhost erfolgen.</p> </blockquote> <p>Wie? Verstehe ich nicht. Also ich habe Postfix als Smarthost eingerichtet.<br> mein PHP Skript verschickt auch an @gmx & co..., allerdings über einen externen SMTP Server(gmail auf port 587). Also dürfte bei mir kein SMTP Server lauschen.</p> </blockquote> <p><a href="http://www.abuse.net/relay.html" rel="nofollow noopener noreferrer">schau mal hier</a>....<br> vielleicht hilft Dir das weiter.</p> <p>==>Relay test result<br> ==>All tests performed, no relays accepted.<br> sollte das Ergebnis sein!</p> <p>Das Problem beim relaying ist das man mit gefaelschten Absender kommen kann und dann sieht der Spam aus als kommt er von Dir!</p> <p>bis dann</p> <p>Ulli</p> https://forum.selfhtml.org/self/2009/oct/29/serversicherheit/1404284#m1404284 JOhn 2009-11-01T13:34:53Z 2009-11-01T13:34:53Z Serversicherheit <p>Hm..</p> <p>Aber wie bekommt man Dateien da hoch?<br> Wenn ich kein FTP und kein SFTP benutzen kann, wie dann??</p> https://forum.selfhtml.org/self/2009/oct/29/serversicherheit/1404285#m1404285 FraFu 2009-11-02T09:38:02Z 2009-11-02T09:38:02Z Serversicherheit <p>Hallo!</p> <blockquote> <p>Aber wie bekommt man Dateien da hoch?<br> Wenn ich kein FTP und kein SFTP benutzen kann, wie dann??</p> </blockquote> <p>Ich hab ja geschrieben, deaktiviere den Dienst, wenn du ihn nicht brauchst. Wenn du ihn brauchst, dann schalt ihn ein, ganz klar.</p> <p>Daten kannst aber zb auch mit ssh transferieren. Ist aber vermutlich eher mühsam, wenn man mit Windows arbeitet.</p> <p>mfg<br>   frafu</p> https://forum.selfhtml.org/self/2009/oct/29/serversicherheit/1404286#m1404286 Sven Rautenberg http://www.rtbg.de 2009-11-03T23:54:38Z 2009-11-03T23:54:38Z Serversicherheit <p>Moin!</p> <blockquote> <p>Daten kannst aber zb auch mit ssh transferieren. Ist aber vermutlich eher mühsam, wenn man mit Windows arbeitet.</p> </blockquote> <p>Ja! Und genau das nutzt dann entweder SCP (Secure Copy) oder SFTP (Secure FTP). SFTP ist ein Unterdienst von SSH. Mit anderen Worten: Du verwirrst JOhn gerade durch deine eigene Unwissenheit bezüglich SFTP...</p> <p>SFTP ist übrigens nicht zu verwechseln mit dem sehr seltenen FTPS (FTP via SSL, analog zu HTTPS = HTTP via SSL).</p> <p>Und für Windows ist der Client "WinSCP" empfehlenswert - der macht SCP, SFTP und notfalls auch unverschlüsseltes FTP.</p> <p>- Sven Rautenberg</p> https://forum.selfhtml.org/self/2009/oct/29/serversicherheit/1404287#m1404287 FraFu 2009-11-04T12:11:15Z 2009-11-04T12:11:15Z Serversicherheit <p>Hallo!</p> <blockquote> <p>Ja! Und genau das nutzt dann entweder SCP (Secure Copy) oder SFTP (Secure FTP). SFTP ist ein Unterdienst von SSH. Mit anderen Worten: Du verwirrst JOhn gerade durch deine eigene Unwissenheit bezüglich SFTP...</p> </blockquote> <p>Sorry, mit SFTP kenn ich mich wirklich nicht aus.</p> <p>mfg<br>   frafu</p> https://forum.selfhtml.org/self/2009/oct/29/serversicherheit/1404289#m1404289 Beat http://www.elcappuccino.ch/ehome-factory/news 2009-10-29T13:44:48Z 2009-10-29T13:44:48Z Serversicherheit <blockquote> <p>Nein - ein Virenscanner ist idR. nicht verkehrt,</p> </blockquote> <p>Nachdem ich die Performanceeinbrüche durch Virenscanner kenne, möchte ich davon im Allgemeinen abraten.<br> Ein Virenscanner, der sich auf das Scannen von Input beschränkt, der nicht von localhost stammt, wäre hingegen eine Überlegung wert.</p> <p>mfg Beat</p> <div class="signature">-- <br> ><o(((°>           ><o(((°><br>    <°)))o><                     ><o(((°>o<br> Der Valigator leibt diese Fische </div>