-

Webserverinstallation: Absicherung

Damit Unbefugte keinen allzu leichten Zugriff auf das System bekommen, müssen einige Einstellungen vorgenommen und Zusatztools installiert und konfiguriert werden.

  1. fail2ban Installieren
    apt-get install fail2ban
  2. fail2ban konfigurieren
    • Öffen der Jail-Konfigurationsdatei
      nano /etc/fail2ban/jail.conf
    • ssh Einstellungen
      suche nach [sshd] unterhalb von JAILS
      • Aktivieren
        enabled = true
      • Port
        port = ssh
      • Filter
        filter = sshd
      • Log Pfad
        logpath = %(sshd_log)s
      • backend = %(sshd_backend)s
      • Max. Versuche für das Einloggen bevor die IP-Adresse gesperrt wird
        maxretry = 4
      • Wie lange wird die IP-Adresse gesperrt in Sekunden
        bantime = 172800
    • fail2ban neustarten
      service fail2ban restart
  3. Firewall UFW installieren
    apt-get install ufw
  4. Firewall konfigurieren
    • Überprüfe den Status, UFW sollte deaktiviert sein
      ufw status verbose
    • Standard Richlinien setzten
      • Alle eingehenden Anfragen blocken
        ufw default deny incoming
      • Alle ausgehenen Anfragen erlauben
        ufw default allow outgoing
    • SSH erlauben
      ufw allow ssh
      • optional kann auch der Port angegeben werden
        ufw allow 22
    • Erlaube Webseiten
      • Unverschlüssel
        ufw allow http
      • Verschlüssel
        ufw allow https
    • MySQL, falls von einem anderen Server der Zugriff benötigt wird
      • Ganzes Netzwerk
        ufw allow from 10.1.55.0/24 to any port 3306
      • Bestimmter Server
        ufw allow from 10.1.55.34 to any port 3306
    • Firewall aktivieren
      ufw enable und mit y bestätigen
    • Firewall status nochmal prüfen

      ufw status verbose
  5. rkhunter installieren
    apt-get install rkhunter
  6. known-bad-Hash-Datenbank herunterladen
    rkhunter --update
  7. E-Mail beim Login versenden
    • Zusatztool finger installieren
      apt-get install finger
    • Script ssh-login-mail.sh erstellen
      #!/bin/bash
      echo "Login auf $(hostname) am $(date +%Y-%m-%d) um $(date +%H:%M)"
      echo "Benutzer: $USER"
      echo
      finger
    • Datei ausführbar machen
      chmod 755 /opt/ssh-login-mail.sh
    • Profile anpassen
      • öffnen nano /etc/profile
      • am Ende der Datei folgenden hinzufügen
        /opt/ssh-login-mail.sh | mail -s "SSH Login auf SERVERNAME" E-MAIL-ADRESSE
        E-Mail Login
  8. SSH-Einstellungen ändern: z.B. no root login

<< Zur vorigen Seite