Fileserver & web/mailserver samen - Linux en overige clients

vrijdag 3 februari 2006 01:26

Acties:

^ Me

Topicstarter

Ik heb hier een fileservertje runnen. Waar ik op een raid 5 configuratie oa een hoop persoonlijke en een hoop bestanden die ik niet wil missen heb staan.

Nu zou ik graag op deze server ook een mailserver draaien en misschien een webserver. Een andere server is wegens geld gebrek niet echt een optie.

Ik zit alleen in me hoofd met hoe veilig dit wel niet is. Wat zijn de gevaren, hoe kan ik die het beste indammen.

Om deze server zo veilig mogelijk te maken wil het volgende zowiezo al doen:
- Geen mail verzenden via deze server
- Mail alleen ophalen via imap
- Zo min mogelijk draaien op de server

Ben ik te bezorgt, en is het risico dat ik gehacked evengroot is als de kans dat mijn windows xp sp2 (met up-to-date firewall + virusscan) computer gehacked wordt. Of moet ik toch gaan overwegen om het niet te doen.

Op de server draait op dit moment:
Debian Testing (Etch) AMD64
Proftpd
samba
SWAT - Samba Web Administration Tool
en meer eigenlijk niet, ik heb geprobeerd hem zo veel mogelijk te strippen.

Zijn er nog dingen waar ik op moet letten behalve alles uptodate houden

Ik hoop dat jullie me een beetje kunnen helpen

...

vrijdag 3 februari 2006 01:33

Acties:

Verwijderd

Zolang jij goed patched, goede wachtwoorden gebruik en het ding achter een decent Firewall hangt zie ik geen probleem.

Eventueel allowed hosts instellen van waar je vaak wil connecten ? SSL ?

vrijdag 3 februari 2006 01:35

Acties:

Xe0n

^ Me

Topicstarter

en bedoel je dan alleen mailserver of kan ik zonder problemen ook webserver erbij draaien

...

vrijdag 3 februari 2006 01:39

Acties:

Verwijderd

Xe0n schreef op vrijdag 03 februari 2006 @ 01:35:
en bedoel je dan alleen mailserver of kan ik zonder problemen ook webserver erbij draaien

Webserver zou prima moeten kunnen, zolang je de je tmp en shared memory maar goed beveiligd en alleen de benodigde users aanwezig zijn.

PHP in safe mode runnen natuulijk, en Apache als eigen user.

vrijdag 3 februari 2006 01:41

Acties:

Verwijderd

Grootste kans waarop je gehackt word is:

Lekken in software ( patchen voorkomt dit, kleinschalige exploits kun je niet voorkomen )
zwakke wachtwoorden ( dmv van een bruter te forceren )

vrijdag 3 februari 2006 01:42

Acties:

Thralas

Het al dan niet verzenden van email lijkt me geen invloed te hebben op de veiligheid, tenzij je natuurlijk een open relay draait

Natuurlijk heb je met zo min draaiend minder kans op exploits in specifieke applicaties, aparte users voor Apache etc. (dus geen root), maar een goede Apache/PHP/MySQL config ('webserver') is ook erg belangrijk. PHP config goed doornemen en subscriben op release notifications van bekende software/scripts. Ook in het geval van MySQL users per applicatie aanmaken, usage permissions op de benodigde database, en eventueel functies als LOAD_FILE() en SELECT ... INTO OUTFILE disablen.

Natuurlijk in de firewall ook dat dichtgooien wat je niet nodig hebt.

Verder advies (OS-wise) laat ik aan de rest over, ik ben eigenlijk een beetje verdwaald in NOS

vrijdag 3 februari 2006 01:45

Acties:

Verwijderd

Purechaos schreef op vrijdag 03 februari 2006 @ 01:42:
Verder advies (OS-wise) laat ik aan de rest over, ik ben eigenlijk een beetje verdwaald in NOS

Jij gaat de goede kant op... ik weet ook niet alles, niemand weet dat

vrijdag 3 februari 2006 02:05

Acties:

Vinnienerd

Geen testing draaien helpt ook

vrijdag 3 februari 2006 02:06

Acties:

Xe0n

^ Me

Topicstarter

Uit jullie reacties op te maken maakt het kwa veiligheid niet zoveel uit of je een mail en/of web -server draait

Zijn er kwa software keuze nog dingen waar ik op moet letten?

...

vrijdag 3 februari 2006 02:07

Acties:

Xe0n

^ Me

Topicstarter

Vinnienerd schreef op vrijdag 03 februari 2006 @ 02:05:
Geen testing draaien helpt ook

Dat is de enige die ik (lekker makkelijk) aan de praat kreeg met nforce 4

en debian sarge ondersteund officieel amd64 ook nog niet

...

vrijdag 3 februari 2006 02:08

Acties:

Verwijderd

Xe0n schreef op vrijdag 03 februari 2006 @ 02:07:
[...]

Dat is de enige die ik (lekker makkelijk) aan de praat kreeg met nforce 4

en debian sarge ondersteund officieel amd64 ook nog niet

Testing worden naar mijn mening juist sneller zaken gefixed dan bij Sarge hoor

vrijdag 3 februari 2006 08:59

Acties:

nzyme

terror

true, maar het is niet voor niets testing

de testing tak bestaat gewoon uit software die net uit is. Van die software is nog niet bekend of het al dan niet stabiel zal draaien in iedere omgeving. Als het stabiel blijkt gaat het naar unstable en na een tijdje daar gezeten te hebben komt het in de stable.

verder hoef je niet "achter" een firewall aangzien je iptables lokaal al hebt en het gehackt worden wil alleen als je 1. software gaat draaien met lekken, 2. makkelelijke passes gaat gebruiken voor bijv een openstaande ssh server of 3. zelf unknown software gaat installeren wat een backdoor openzet (iets wat onder linux eigelijk te verwaarlozen is).

Wat jij wil kan dus perfect zolang je bovenstaande (replies) maar niet vergeet

[ Voor 25% gewijzigd door nzyme op 03-02-2006 09:01 ]

| Hardcore - Terror |

vrijdag 3 februari 2006 09:05

Acties:

Obliterator

Als je ook nog in de wondere wereld van SELinux duikt, dan kun je slechte software ook nog een heel stuk ondervangen.

vrijdag 3 februari 2006 09:11

Acties:

Berik

Voor een "simpel" thuis servertje kan je inderdaad makkelijk Testing draaien.
De gebruikers van thuis servertjes willen meestal ook iets meer expirimenteren met nieuwe(re) software versies enzo (zoals bijvoorbeeld php5 en mySQL5) die komen eerder in Testing.

Ik kan me niet echt een reden bedenken dat Testing niet veilig genoeg is. Tenzij het om een professionele productie-server gaat die geen enkele downtime mag hebben en de extra functies van de allernieuwste versies niet nodig heeft.

Maar gezien je posts gaat het hier meer om een thuis-servertje waarbij een klein beetje downtime niet veel uitmaakt. Maak in ieder geval wel backups van je belangrijke data (ben zelf vorige week een paar dagen bezig geweest om alle data van een gestorven HD terug te halen en dat is niet fijn)

vrijdag 3 februari 2006 09:19

Acties:

Berik

Hellraizer schreef op vrijdag 03 februari 2006 @ 08:59:
true, maar het is niet voor niets testing de testing tak bestaat gewoon uit software die net uit is. Van die software is nog niet bekend of het al dan niet stabiel zal draaien in iedere omgeving. Als het stabiel blijkt gaat het naar unstable en na een tijdje daar gezeten te hebben komt het in de stable.

Volgens mij verwissel jij de termen Unstable en Testing.
Debian SID is de standaard naam voor Unstable, hierin komt de allernieuwste software in net uit is.
Vervolgens komt het pakketje in Debian Testing (op dit moment Etch) dit is een tak die stabiel genoeg is voor de meeste doeleinden en hierin komen af en toe nieuwe versies van software pakketjes terrecht.
Eens in de zoveel tijd (bij debian duurt dat helaas best lang) wordt de Testing tak helemaal stabiel en volledig getest verklaard. Als dat het geval is, krijgt die hele release de status "Stable" de huidige/oude Stable wordt dan nog een tijdje ondersteund, maar verdwijnt uiteindelijk.
In de Stable tak komen per definitie geen nieuwe versie van pakketjes, alleen bugfixes komen hiervoor. Deze tak wordt dus constant Stable gehouden.

vrijdag 3 februari 2006 09:24

Acties:

Verwijderd

het is wel zo, hoe meer poortne je open heb staan, hoe meer mogelijkheden je creert voor en hacker om binnen te komen.

maar je moet ook voor jezelf nagaan of je server wel interessant genoeg is om gehackt te worden, en of de informatie die er op staat echt zo gevoelig is dat je er uiterst voozichtig mee om moet gaan.

als jij voor de volle 100% weet wat je doet dan kan je best mail/web/ftp/file in 1 server draaien. maar als er echt belangrijke shit op staat kan je misschien beter splitsen in 1 mail/web server en 1 ftp/file server.

vrijdag 3 februari 2006 09:31

Acties:

Jesse

Hij geeft al aan dat het gewoon een thuissituatie is, en dat een tweede server geen optie is. Een tweede server is ook vrijwel niet zinvol. Als je je systeem goed inricht moet dit perfect kunnen.

Voor zover ik begrepen heb is er verschil tussen een poort die open staat en een poort waarop geluisterd word. Zolang er niets luisterd op een poort kan een hacker er niets mee beginnen. Al je poorten dichtpurren/kitten is meer iets voor als je buggy os/software draait. Overigens ben ik zeker geen expert wat dit betreft.

Toelichting van Debian op hun releases: (wat Berik net uitlegd) http://www.debian.org/releases/

Ik denk dat zorgen dat er een goede backup van de data is het belangrijkst is.

[ Voor 15% gewijzigd door Jesse op 03-02-2006 09:34 ]

vrijdag 3 februari 2006 09:47

Acties:

Verwijderd

Jesse schreef op vrijdag 03 februari 2006 @ 09:31:
Hij geeft al aan dat het gewoon een thuissituatie is, en dat een tweede server geen optie is. Een tweede server is ook vrijwel niet zinvol. Als je je systeem goed inricht moet dit perfect kunnen.
[...]
Voor zover ik begrepen heb is er verschil tussen een poort die open staat en een poort waarop geluisterd word. Zolang er niets luisterd op een poort kan een hacker er niets mee beginnen. Al je poorten dichtpurren/kitten is meer iets voor als je buggy os/software draait. Overigens ben ik zeker geen expert wat dit betreft.

Toelichting van Debian op hun releases: (wat Berik net uitlegd) http://www.debian.org/releases/

Ik denk dat zorgen dat er een goede backup van de data is het belangrijkst is.

hoe minder software je draait hoe midner poorten open staan, op het moment dat jij een webserver draait kan je je port 80 niet meer dicht laten, en is er dus weer een kans voor een potentiele hacker om binnen te komen.

maar voor een thuissituatie is 1 server gewoon voldoende, verdiep je een beetje in beveiliging als je zo angstig bent, dan weet je voor 90% zeker dat je je bak gewoon goed heb beveiligd.

vrijdag 3 februari 2006 10:25

Acties:

Jesse

Verwijderd schreef op vrijdag 03 februari 2006 @ 09:47:
[...]
hoe minder software je draait hoe midner poorten open staan,

Hiertussen bevind zich voor zover ik weet geen verband.

op het moment dat jij een webserver draait kan je je port 80 niet meer dicht laten,

Dat klopt. TS heeft het over web en mail, dat zijn 3 poortjes oid. (Tegen nu geen enkele.)

en is er dus weer een kans voor een potentiele hacker om binnen te komen.

Hoeze kan een hacker door een poort binnenkomen? Alleen als er exploitable software op luistert toch zeker?

maar voor een thuissituatie is 1 server gewoon voldoende, verdiep je een beetje in beveiliging als je zo angstig bent, dan weet je voor 90% zeker dat je je bak gewoon goed heb beveiligd.

vrijdag 3 februari 2006 18:10

Acties:

Xe0n

^ Me

Topicstarter

Heeft het voor veiligheid nog zin om over te stappen naar een andere distro? misschien ubuntu server ofzo (ik zeg maar wat)

en heeft het voor mij nou wel of geen nut om een firewall te draaien?

...

vrijdag 3 februari 2006 19:05

Acties:

Jesse

Xe0n schreef op vrijdag 03 februari 2006 @ 18:10:
Heeft het voor veiligheid nog zin om over te stappen naar een andere distro? misschien ubuntu server ofzo (ik zeg maar wat)

Denk ik niet. Ubuntu heeft op server gebied nog een beetje de naam van een nieuwkomer.
OpenBSD is standaard erg veilig, maar het staat of valt natuurlijk met hoe je de boel vervolgens inricht. Debian Testing is perfect geschikt voor jou.

en heeft het voor mij nou wel of geen nut om een firewall te draaien?

Natuurlijk kan je een firewall gaan draaien, maar dat is in elk geval zeker niet het enige wat je doen moet. Hier een discussie van een tijd geleden over firewalls.

[ Voor 15% gewijzigd door Jesse op 03-02-2006 19:23 ]

Pagina: 1

Reageer