Hallo,
mich würde mal interessieren, wie ihr eure Server-Systeme absichert, wie sieht euer iptables aus, warum ist die Konfiguration so, etc.
Wie sichert ihr eure Server ab?
- Jay
- Erledigt
-
Ab sichern der Server ist sehr verschieden. Iptables einfach die Ports offen lassen die wirklich nach außen offen sein müssen. SSH Port von 22 auf einem anderen.
Auch was ich nutze ist z.B. Fail2Ban
-
Bei uns im Forum gab es genau das gleiche Thema,
ich verlinke das ganze gerne mal:Alles anzeigenKein Root Login
SSH Port ändern
Chroot
RSA Keys (Min 8k Bit)
SSH Only Benutzergruppe
Kryptische Benutzernamen
Kernel härten
Bruteforce Detection
Rootkit Schutz
Firewall/IP Table Konfiguration -
Das erste was wir machen, ist den Login nur noch per SSH-Key zu erlauben. Das macht die ganze Geschichte schon erheblich sicherer. Port-Änderungen machen wir grundsätzlich nicht, weil unsere Kunden sich auf manchen Systemen auch einloggen können und hier Abweichungen von den Standard-Ports mistig sind.
Je nach Wichtigkeit des Systems kann man zusätzlich zur Authentifizierung per SSH-Key noch Benutzer-Passwort und/oder ein OTP (Google Authenticator, Yubikey, ...) anfordern. Bei unseren vHosts kommt man auch nur über unser firmeninternes VPN per SSH drauf, hier muss dann auch kein Kunde drauf, weil die KVMs separat laufen.
Natürlich nutzen wir auch Virenscanner und Fail2Ban.
EDIT: Unser Webserver mit Kundendaten ist zudem verschlüsselt. Nach einem Herunterfahren ist damit der Schlüssel aus dem RAM weg. Das hilft auch gegen physische Angriffe.
-
Bei unseren vHosts kommt man auch nur über unser firmeninternes VPN per SSH drauf, hier muss dann auch kein Kunde drauf, weil die KVMs separat laufen.Kann ich so unterschreiben, wir setzen ebenfalls auf diese Lösung.
ich denke aber nicht, dass hier die Firmen angesprochen werden, ich würde auch eher ungerne unsere "Taktik" veröffentlichen.
Denn sonst kommt noch einer auf böse Ideen
-
Also ich selber ändere nur Ports wo ich persönlich Zugriff habe. Andere User bekommen z.B. auf SSH keinen Zugriff und per SSH Key habe ich eine Zeit auch lange gearbeitet und werde dieses auch wieder. Auf Grund von Suche eines neuen Hosters der auch was im Schutz gegen DDoS was aushält.
@sourceWAY.de und @HK-Hosting hier sprecht ihr beiden ja auch eher was an was bei größeren Dingen gemacht wird. Glaube mal eher nicht das die sagen wir Kundenähnlichen Usern eine Interne VPN nutzen für SSH Zugriff.
Aber wirklich typische Absicherungen sind halt SSH Port ändern. IPtables wo nur Ports offen sind nach außen die wirklich nötig sind, Fail2Ban, SSH Key´s und manchen sperren den Rootuser so das man sich nicht per SSH mit dem einloggen kann.
ich denke aber nicht, dass hier die Firmen angesprochen werden, ich würde auch eher ungerne unsere "Taktik" veröffentlichen.
Denn sonst kommt noch einer auf böse Ideen
Wer soll den hier auf Böse Ideen kommen
wie sieht es den aus wenn die KVM´s was machen? Ne Spaß beseite aber man merkt schon jeder hat seine eigenen Methoden und findet das eine oder andere sicher -
Danke für euren Input, ich mach mich mal schlau, vor allem mit iptables
-
Bei mir ist es auch iptables
und Port ändern natürlich. -
Bei mir ist es auch iptables
Wie sieht das denn bei dir aus?
-
Ich muss zum Glück mich nicht mehr um meine Server großartig kümmern
War Glücklich mit Iptables, einem gescheiten Ddos Schutz.
Und da nur ich immer Zugriff darauf hatte, passte es. -
@Enterverse über eine VPN Lösung oder wie hast du das gelöst?
