Sicherheit und mehr

  • Hallo werte Community,


    meine heutige Frage beschäftigt sich mit Server-Security.



    Ein Lamp-Server ist schnell aufgesetzt und mit ein paar Tools, sollte er auch einigermaßen sicher sein. Aber wie sicher ist das ganze?



    Ich habe/hatte schon öfters auf meinem Raspberry einen Lamp-Server laufen, jedoch fehlt mir irgendwie die Gewissheit das er tatsächlich auch sicher ist. Auf diesem Server habe ich meine Owncloud laufen und ein paar andere Sachen. Und dadrauf sollen persönliche Daten drauf, damit ich mit dem "Smart"-Phone von überall zugreifen kann. Aber dadurch das der Raspberry im Heimnetzwerk verbaut ist und ich hier mit Portfreigaben spielen muss, habe ich große Bedenken ob ich nicht Hinz und Kunz Tür und Tor öffne. Sicher sollte er eigentlich bereits sein.


    Da Angriff meistens die beste Verteidigung ist versuche ich mit meinen Beschränkten mitteln (ein paar Tools die in Kali Linux bereits integriert sind) mir Einsicht in das ganze zu geben. Da bei mir die mittel (=User) wirklich sehr beschränkt sind, habe ich natürlich keine Ahnung wie ich das richtig anstelle.


    Jetzt an euch. Tuts wie Absicherung von Servern habe ich eigentlich genug durch, nur vertraue ich mir selber nicht so recht ob ich das wirklich richtig gemacht habe.
    Habt ihr irgendwelche Seiten denen ihr vertraut die einen Server eigenständig auseinander nehmen? Oder ein paar legale Tools mit denen man das selber machen kann mit guter Doku? Vllt hat einer von euch ein Forum parat bei dem man gute Dokus dafür findet?


    Dadurch das der Raspberry im Heimnetz betrieben wird habe ich irgendwie Paranoia da ich schon ein paarmal von Tools gelesen habe die durchgehend auf bestimmte Ports horchen.
    Mir wäre eigentlich alles Recht was Lamp/-Server Security angeht. Nur will ich da Gewissheit haben, dass es auch funktioniert und mein Heimnetz durch den Raspberry nicht für jeden offen steht.


    Ich will auf keinen Fall illegale oder dubiöse Links. Weder hier oder per PM. Da der Angriff auf eigenen Besitz legal ist will ich das auch soweit es geht im legalen Rahmen halten.


    MFG SiBi

  • Keiner ;(


    Je mehr ich selber danach suche, desto mehr komme ich auf komische Seiten die weiter gehen als für mich nötig und sich zu sehr mit dem eindringen in fremde Netzwerke befassen.



    Ich will doch kein Hacker werden geschweige es anschneiden ;( , ich will nur sicher gehen das bei mir alles sicher ist.

  • Hacking auf eigene Computer ist erlaubt, ich glaube es gibt sogar eigene Hacker-Communitys, die sich nur aus Sicherheitstests derartige Programme schreiben!
    Hab aber leider selbst keinen Zugang zu sowas...

  • Hacking ist nicht verboten, es wird sogar aktiv betrieben, und gewisse Hackingkenntnisse sind Voraussetzungen um im Sicherheitsbereich zu arbeiten.
    Sich unerlaubt Zugriff auf fremde Systeme zu sichern (Cracking) ist da wiederum eine ganz andere Geschichte.

  • Dass der Angriff aufs eigene System erlaubt ist, ist mir durchaus bewusst. Habe auch schon diverse Foren durchsucht. Nur werde ich da auf schwachsinniges Aufmerksam wie WPA2 hacken. Und auf Sachen wie: Um in der "Szene" herum zu surfen braucht man einen VPN und einen Socks :höhö: Das einzig interessante was ich bis jetzt gefunden habe ist ein Topic über Lockpicking (Haustürschlösser etc. knacken) :ugly:


    Mir geht es darum meinen Lamp-Server abzusichern. Bis jetzt arbeite ich mit SSL und Iptables.
    Sollte ich noch etwas beachten?


    Gibt es einen Weg selber zu überprüfen ob das ganze sicher ist?

  • Sicher ist gar nichts. Man kann nur den Zugang mit allerlei Zauberpulver erschweren.


    Das tatsächlich löchrige ist vermutlich eher die Software, die auf Basis des Webservers läuft. Dagegen ist kein Kraut gewachsen. Mag zwar sein, dass du deine Maschine halbwegs dicht bekommst, aber das muss nicht bedeuten, dass die öffentlich erreichbaren Dienste keine SQL-Injections oder dergleichen erlauben. Bestes Beispiel ist Wordpress. Das kann auf dem besten und sichersten Hosting laufen - Nützt dir aber trotzdem nichts, weil es zig Schwachstellen in Wordpress gibt, die sogar das Einschleusen von Schadcode per HTTP erlauben. Und sobald der Code des Hackers läuft, hat er kurz darauf FTP- und Datenbankzugang.


    Wie gesagt: Die öffentlich erreichbaren Services in Form von Fremdsoftware sind das Problem.


    Mit "Tools" solltest du aber auch haushalten. Oberste Direktive der Sicherheit ist: Jede Zeile Code erhöht das Risiko auf Lücken. Sprich: Umso mehr Zauberpülverchen da laufen, desto höher ist die Chance auf Lücken im System. Das ging bei irgendwelchr Norton-Sicherheits-Software mal so weit, dass ein System nur deshalb gehackt werden konnte, WEIL diese "Sicherheits"-Software installiert war.



    Meine Instant-Tipps:


    - Für jeden öffentlich erreichbaren Dienst einen eigenen Nutzer anlegen, der nur die minimal notwendigen Rechte auf dem System bekommt. Sprich: Der Nutzer darf sich nur in bestimmten Teilen des Dateisystems bewegen und keinerlei unnötige Operationen auf Dateien ausführen. (Z.B. darf er nur im tmp-Ordner schreiben, sonst nur lesen usw.)


    - Das gleiche gilt für Datenbank-Nutzer.


    - Keine Passwörter doppelt vergeben. Passwörter mit mindestens 12 Zeichen länge. Es ist ein Märchen, dass viele Sonderzeichen helfen. Wichtiger ist, dass das Passwort einfach ausreichend lang ist. Sonderzeichen können aber auch nicht schaden.


    - Kryptische Nutzernamen verwenden.


    - Dem Root-User alle Rechte verwehren und stattdessen einen gleichwertigen User mit den gleichen Privilegien, aber einem kryptischen Nutzernamen anlegen.


    - PHP die Ausführung von Systembefehlen verbieten, wenn das nicht zwingend notwendig ist

    Schönheit ist die Summe der Teile bei deren Anordnung die Notwendigkeit entfällt etwas hinzuzufügen, zu entfernen, oder zu Ändern.