[Ubuntu] Hoe veilig is het ?

Zolang je de updates blijft volgen en MySQL alleen op localhost laat draaien kan er weinig gebeuren.

Je zou nog wat firewall regels kunnen hanteren die alleen verkeer toestaan op poort 80 (apache) en 22 (SSH).

En zorgen dat je PHP installatie dichtzit (open_basedir, evt safe_mode)... Dan kan er weinig gebeuren.

Bij een goede serverbeveiliging komt wel wat meer kijken waarbij ik denk dat Linux/Unix ervaring heel belangrijk is. Als je voor het eerst een Linux server draait met Apache 2, Mysql, PHP, phpMyAdmin, ClamAV, rkhunter, Webalizer en PureFTPd dan kan ik nu al zeggen dat deze niet goed beveiligd is

Voor de veiligheid van het systeem is het belangrijker hoe je het configureert, wat je installeert komt pas op de 2e plaats.

Zo moet je er voor zorgen dat phpmyadmin en mysql niet van buiten toegankelijk is. Webalizer kan niet veel kwaad, maar wordt wel misbruikt voor SPAM doeleinden. Vaak wordt de referentie of browser naam gespoofed om zo via je site statistics referenties te krijgen naar malafide sites.

Zorg er verder voor dat root access altijd dicht staat van buiten af (ssh en ftp configuratie) en ook niet alle modules van Apache kun je blindelings gebruiken.

Als je zelf een site gaat bouwen met php dan zijn er nog een heleboel andere regels, maar je hebt ook php gebaseerde CMS'en out of the box (SilverStripe, Drupal, etc.). In de documentatie staat dan vaak ook hoe je je PHP veilig installeert.

Zoals MrNGm zegt, is het een heel goed idee om de interne firewall (iptables) te gebruiken. Niet alleen voor ingaand verkaar, maar ook voor uitgaand.

Het is allemaal prima te doen, maar weet waar je aan begint. Linux is niet per definitie veilig.

Verwijderd schreef op maandag 19 oktober 2009 @ 10:36:
Bij een goede serverbeveiliging komt wel wat meer kijken waarbij ik denk dat Linux/Unix ervaring heel belangrijk. Als je voor het eerst een Linux server draait met Apache 2, Mysql, PHP, phpMyAdmin, ClamAV, rkhunter, Webalizer en PureFTPd dan kan ik nu al zeggen dat deze niet goed beveiligd is

Oeh. Volgens mij wordt het de eerste keer dat ik het niet volledig met je eens ben

Ik denk dat de basis van Linux heel aardig is. Vooral de ervaring die je op gaat doen (ik raad je aan om de bak te voorzien van niet kritische websites en keihard op je bek te gaan is goud waard.

Wat ik je wel adviseer is na te denken waarom je deze software neemt? Apache2, MySQL, PHP. Waarom MySQL? Waarom Apache2? PHP is niet echt een alternatief voor, maar goed. phpMyAdmin zet ik defacto op een andere url dan /phpmyadmin.

PureFTPd. Waarom niet rsyncen over scp? FTP is redelijk oud (en ja, ik weet dat PureFTP ook SFTP kan).

That said? Waarom Linux? FreeBSD is ook een OS wat je hiervoor kan gebruiken

Mijn advies: draai regelmatig aptitude update && aptitude -s dist-upgrade (met sudo ervoor, het is ubuntu ), en hang die bak op. Ik zou nog even kort kijken naar zo'n kant en klaar firewall-script.

Als ik je een hele goede firewall mag aanraden: http://www.shorewall.net/

Verander je SSH poort. Dat kan al heel veel schelen.

Standaardpoorten veranderen heeft geen enkele zin. Eén poortscan en je 'beveiliging' is doorgeprikt. Het is beter om een goeie firewall te gebruiken, up-to-date ssl-libraries en ssh geïnstalleerd te hebben en een goede gebruikersnaam en wachtwoord combinatie te gebruiken.

GuitarWeed schreef op maandag 19 oktober 2009 @ 16:31:
Standaardpoorten veranderen heeft geen enkele zin. Eén poortscan en je 'beveiliging' is doorgeprikt.

Je moet het ook niet als enige beveiliging hebben. Feit is dat een niet-standaard SSH-poort het aantal brute-force attacks enorm verminderd. Waarom zou je daar geen gebruik van maken?

Een andere poort dan 22 kiezen voor SSH kan al leiden tot veel minder traffic op je SSh poort m.b.t. scriptkiddies die met een bot standaard op poort 22 scannen.

Maar je hebt gelijk dat het eigenlijk geen securitymeasure is.

[ Voor 10% gewijzigd door Verwijderd op 19-10-2009 16:37 ]

Even wat ervaring van 8 jaar Debian Linux server aan internet.

- Zet root toegang via SSH uit. Kies sterke wachtwoorden voor de overige accounts. Gebruik voor de overige accounts géén standaardnamen (mail, joe, admin, etc). Sta niet verbaast van een flinke aanval op ssh via net genoemde accounts (die ook een aardige load opleverd).
- Firewall... tjah. Als je je server achter een NAT router hebt staan, is een firewall schijnveiligheid. Ervan uitgaande dat je geen 'vage' software gaat starten op je server.
- Laat apache d.m.v. virtualhosts alleen serveren als ze de juiste DNS naam gebruiken. Er vind nogal wat scans plaats o.b.v. IP. Ik serveer puur op mijn IP adres alleen een 'Forbidden'.
- Aansluitend op het vorige: verander phpmyadmin naar een minder voor de hand liggende naam. Er wordt nogal wat aanval gedaan op phpmyadmin / webmin etc interfaces. Weliswaar op oudere installaties, maar ja jouw installatie wordt vanaf nu ook steeds ouder (als je het niet bijwerkt).
- FTP: niet aan beginnen, tenzij je van spanning houd.
- Configureer je apache worker goed, zodat kwaadwillenden niet je server onderuit kunnen halen door apache 10.000 keer aan te roepen (default config laat dat wél toe!)

[ Voor 10% gewijzigd door Arnout op 20-10-2009 15:35 ]

ik zou nog kijken of denyhosts geinstalleerd staat.

Wanneer bots proberen in te loggen via bijv. SSH, en dit dermate vaak proberen, dan plaatst ie het adres in je hosts.deny

Wat Arnout zegt.
Overigens moet je wel je SSH port veranderen. Dat is geen security measure idd (tenzij je graag met simpele logins werkt) maar het bespaart alleen al in bandbreedte en elektriciteit
Je wil niet weten hoeveel ze afvuren op port 22, ik vond er een flinke log file van met allemaal foute logins. Port verandert en niks meer van terug gezien. Die nieuwe port kunnen ze ook wel vinden natuurlijk, maar dat zit niet in het automatische traject waarmee dit soort hacks gedaan worden.

Arnout schreef op dinsdag 20 oktober 2009 @ 15:32:
- Firewall... tjah. Als je je server achter een NAT router hebt staan, is een firewall schijnveiligheid. Ervan uitgaande dat je geen 'vage' software gaat starten op je server.

Hier ben ik het niet mee eens. Het is juist de NAT die de schijnveiligheid biedt. Zeker als je er een server achter hebt staan is het gepast om ook een firewall te draaien. Als je server gehackt zou worden wil je niet dat ze vanuit die server je firewall/gateway overnemen of andere bakken gaan hacken.

- Laat apache d.m.v. virtualhosts alleen serveren als ze de juiste DNS naam gebruiken. Er vind nogal wat scans plaats o.b.v. IP. Ik serveer puur op mijn IP adres alleen een 'Forbidden'.

Goed idee, deze kende ik nog niet. Ga ik zo direct uitvoeren. Het is natuurlijk een vorm van security-through-obscurity, maar daar is niks mis mee (zolang het maar niet je enige beveiliging is).

- Aansluitend op het vorige: verander phpmyadmin naar een minder voor de hand liggende naam. Er wordt nogal wat aanval gedaan op phpmyadmin / webmin etc interfaces. Weliswaar op oudere installaties, maar ja jouw installatie wordt vanaf nu ook steeds ouder (als je het niet bijwerkt).

CAPSLOCK2000 schreef op vrijdag 23 oktober 2009 @ 19:01:
[...]
Goed idee, deze kende ik nog niet. Ga ik zo direct uitvoeren. Het is natuurlijk een vorm van security-through-obscurity, maar daar is niks mis mee (zolang het maar niet je enige beveiliging is).
[...]

Ben ik niet met je eens. Je kán op basis van IP adres niet weten welke andere domeinen er vanaf dat IP worden geserveerd.

Het gaat hier dus om je 'default' apache website ("It works!") die standaard op alle binnenkomende requests wordt geserveerd.

Arnout schreef op zaterdag 24 oktober 2009 @ 10:23:
[...]

Ben ik niet met je eens. Je kán op basis van IP adres niet weten welke andere domeinen er vanaf dat IP worden geserveerd.

Het gaat hier dus om je 'default' apache website ("It works!") die standaard op alle binnenkomende requests wordt geserveerd.

Ik bedoel dat als je alles goed heb ingesteld er toch al niks kwetsbaar zou moeten zijn op die default site. Maar je hebt gelijk dat je hem maar beter preventief af kan sluiten dan nutteloos bereikbaar te laten zijn.

Ubuntu kent overigens ook UFW, een hele simpele firewall, is een aanrader voor een simpele server.

Verder is opzich alles al gezegt, als je gewoon netjes met "sudo" werkt en niet alles onder root doet is er niks mis mee.

Heb je FTP echt nodig? Nee, doe het dan lekker via SSH/SCP!

Opzich is een Ubuntu systeem out of the box veilig, maar het wordt vaak onveilig door de applicaties die je daarna gaat draaien, zoals een website met Joomla en exploits daar in.

Ik denk dat je je vooral daar mee op moet richten dan op de server zelf. 99% van de "hacks" die ik mee maak (5 jaar hosting wereld) zijn lekke websites waar via trojans binnen komen.

Al kunnen die trojans vaak niets, want ze zijn nog steeds geen super-user. Tenzij er een lek in het kernel komt, zoals 1.5 jaar geleden, toen was het echt ineens feest!

@Snow_king, FTP is onveilig ja, alles gaat plain text over het netwerk (heb wel eens m'n eigen gesavede FTP profiel in een client afgeluisterd want ik wist het wachtwoord niet meer ). Maar dan gebruik je het toch gewoon over SSH? dus SFTP. Vind ik wel fijn werken.

Verwijderd schreef op zaterdag 24 oktober 2009 @ 18:25:
Je verandert echt niets aan de beveiliging door SSH op een andere poort te laten luisteren. Als je ook maar enig idee hebt van wat nodig is om een degelijk wachtwoord te bruteforcen, dan lach je je lul uit je broek om die brute force pogingen.

Ja geef ik je gelijk in, maar het is toch zonde dat een 1 of andere server continu zit te proberen? Ik vind dat zonde, en ook zonde van de schijfruimte aangezien ik op mijn servertjes vaak voor het OS niet heel veel heb

Om je wachtwoorden op veiligeid te testen raad ik je de volgende site aan: http://www.passwordmeter.com/

Verwijderd schreef op zondag 25 oktober 2009 @ 00:22:
Om je wachtwoorden op veiligeid te testen raad ik je de volgende site aan: http://www.passwordmeter.com/

aptitude install pwgen

Ik vind het versturen van mijn passwords over internet best eng... ik vertrouw die site niet maar ze krijgen wel mijn passes.

Je kunt dan beter john the ripper gebruiken om de kraakbaarheid van je passwords te testen en met PAM een kwaliteitsniveau van passwords in te stellen.

Voor het testen van een wachtwoord heb je cracklib.

Welke idioot gaat nou een wachtwoord inderdaad plaintext over internet versturen en daarbij verstrekken aan een volslagen onbekende die in elk geval alvast een IP adres van je heeft, en alle informatie die je browser meestuurt?

Verwijderd schreef op zondag 25 oktober 2009 @ 01:29:

aptitude install pwgen

pwsafe is ook fijn

[ Voor 22% gewijzigd door Verwijderd op 25-10-2009 02:28 ]

Inderdaad ja.... en dan ook nog eens een domein geregistreerd via domains by proxy...

Het is nog veiliger om SSH te gebruiken met public/private keys, die natuurlijk wel met een wachtwoord beveiligd worden. Een wachtwoord kan zwak zijn, een private key niet. Je kunt dan authenticatie met wachtwoord uitzetten.

!null schreef op zaterdag 24 oktober 2009 @ 23:07:
Ja geef ik je gelijk in, maar het is toch zonde dat een 1 of andere server continu zit te proberen? Ik vind dat zonde, en ook zonde van de schijfruimte aangezien ik op mijn servertjes vaak voor het OS niet heel veel heb

Dan installeer je iets als fail2ban, zodra iemand 5x foutief op de SSH "inlogt" ban je hem, klaar