Hoe veilig een eigen server hosten?

Ik heb als kleinschalig studieprojectje een eigen webservertje gemaakt, om zo een beetje te stoeien met PHP. Omdat ik deze server extern (vanaf internet dus) bereikbaar maak/ga maken, wil ik de beveiliging eens nalopen, en wil graag van jullie weten of ik belangrijke dingen vergeet.

De opstelling is nu zo opgebouwd:

Internet
Ziggo KabelModem
Netgear WNDR3700 Router
Thinkpad laptop met kapotte accu (zuinigere servers zijn er niet )
Windows 7 Enterprise met Norton Internet Security 2011 als beveiliging
VMware Server 2
(Virtueel) Ubuntu 10.04 LTS Server edition met L.A.M.P. geinstalleerd

- Op het Windows gedeelte van deze 'server' draai ik puur de PS3 Media Server, Bittorrent en Norton, die laatste is min of meer een set deal omdat ik de keys daarvan altijd via mijn Symantec contacten krijg.

- Het ding ligt puur aan stroom en gigabit onder de kast, is niet wireless aangemeld en als ik hem moet bedienen doe ik dat via Remote Desktop, gebruik maken van de Admin login, vanaf mijn eigen laptop.

- De wireless verbinding is beveiligd met een WPA2-PSK key. Er is geen guest netwerk o.i.d. aanwezig, en mijn Router laat alle wireless verbindingen zien, ook wat 'verborgen' zou moeten zijn.

- De router heeft niet het standaard 'admin' wachtwoord dat de fabrikant hem mee gaf.

- De Linux Webserver die virtueel draait, benader ik zowel intern als extern via een Putty SSH tunnel.
Hiertoe is op de router een portforward gemaakt vanaf mijn extern IP naar de virtuele machine, welke een fixed DHCP adres heeft vanuit de router.

- Op de router heb ik UPNP uitgezet, Ik heb geen statische adressen, maar onze eigen machines (laptops, NAS schijf etc) hebben allemaal een Fixed DHCP adres. Remote management op de router staat uit, er zijn geen port forwards of triggers ingesteld behalve poort 22 naar de Linux VM in verband met SSH.

- Ik gebruik Ubuntu Server in plaats van Desktop edition omdat dit veiliger zou zijn is mij verteld.

Wellicht belangrijk: ik ben voornemens een DyNDNS service te gebruiken om mijn extern IP aan een domeinnaam te koppelen, eventueel (indien mogelijk) met de mogelijkheid om mijn Linux server via zijn eigen mail deamon notificaties aan mij te sturen bij bepaalde triggers. Bovendien zal mijn website in deze vorm niet voor 'het grote publiek' opengesteld worden, hoogstens aan wat vrienden en familie. Als de website lukt en ik ga er serieus me aan de slag, overweeg ik denk ik wel externe hosting .


* Ben ik nu nog zaken vergeten, of kan ik sommige dingen beter aanpakken?
* Moet ik behalve poort 22 misschien ook poort 80 en anderen doorverwijzen naar de Linux VM?
* Is het 'veilig' om ook externe RDP sessies naar de Thinkpad (onderliggend Win7 OS) toe te staan, om ook VMware op afstand te kunnen beheren?

Niemand heeft verder iets aan te merken op mijn beveiligingsbeleid so far?

Verwijderd schreef op vrijdag 25 maart 2011 @ 10:04:
> Ik gebruik Ubuntu Server in plaats van Desktop edition omdat dit veiliger zou zijn is mij verteld.
Bullshit, op de een zit een GUI de ander niet verder heb je net zoveel mogelijkheden.

Ok, het is dus niet zo dat de firewall, of keuze van pakketten die standaard meekomen zo is ingericht dat er minder risico's zijn?

> Ben ik nu nog zaken vergeten, of kan ik sommige dingen beter aanpakken?
Ssh , root login uit zetten en met key authenticatie werken. ( /etc/ssh/sshd_config )

Mijn Root login staat inderdaad uit, ik gebruik SUDO op mijn eigen useraccount voor dat soort zaken.
Ik neem aan dat de key authenticatie die je noemt iets te maken heeft met die melding die Putty gaf wanneer ik voor de eerste keer verbinding maakte met de server, iets over een key toestaan?

> Is het 'veilig' om ook externe RDP sessies naar de Thinkpad (onderliggend Win7 OS) toe te staan
Tuurlijk als je beveiliging van je windows goed is is dat echt geen probleem hoor.

Ps voor veiligheid ff je rkhunter en chkrootkit op je webservertje kan ook geen kwaad.

Draaien die als deamon/service mee en waarschuwen mij wanneer nodig, of moet ik daar actief iets mee doen na installatie?

Alle tips ter harte nemend, heb ik nu de volgende wijzigingen in petto:

Er komt een nieuw laptopje (sneller model, vandaag gekregen)
Daarop komt VMware ESXi te draaien al 'host OS'
2 Virtuele machines voorlopig: Eentje met Win7 als Mediaserver en eentje voor Ubuntu Server

SSH op een andere poort gooien is misschien wijs, maar ik hou zaken waar ik nog niet heel veel verstand van heb nog even standaard, zodat het makkelijker is naar hulp te vragen/googlen.

De updates in de webserveromgeving van Ubuntu heb ik na lang twijfelen voorlopig nog even op 'automatisch' gezet.

De Windows VM krijgt geen remote RDP toegang, alleen vanaf het interne netwerk.

Toegang tot het Vmware Host OS is in deze setup alleen mogelijk vanaf het interne netwerk, aangezien de Windows VM geen externe RDP toegang krijgt en de Ubuntu Server VM alleen CLI draait en dus geen grafische browser heeft (wat nodig is voor ESXi).

Alexxxxxxxxxx schreef op donderdag 31 maart 2011 @ 20:25:
Kost dat VMWare Server 2 (hoofd OS) niet veel meer RAM + CPU kracht?
Zo nee, is dit gratis?

VMware Server 2 draai je als applicatie bovenop een bestaand besturingssysteem. Het is gratis, en je verliest ergens tussen de 10% en 20% aan performance.

VMware ESXi is een hypervisor die direct op de hardware draait, zonder OS ertussen. Hier verlies je tussen de 2% en 5% performance

Beiden zijn een manier om virtuele machines te maken en te draaien, maar VM Server vereist minder ingrijpende veranderingen, zo draai je het gewoon op je pc 'erbij'. ESXi vereist een machine die van de grond af als ESX host is ingericht en is dus niet als gewone pc in te zetten.

- edit -

Download van ESXi 4.1 Update 1 is bezig in ISO formaat.

De 'Server' draait al - Een oude HP NX9420 met 2gb ram, 500gb SATA schijf en een Dualcore 2.0ghz CPU. Accu is verdwenen, samen met de 'V' toets, maar die heb ik toch niet nodig. Misschien dat ik ooit nog een versleten accu kan vinden, meer dan 15 minuten stroom hoeft er niet in te zitten. Handig als ingebouwde UPS

[ Voor 41% gewijzigd door HTT-Thalan op 31-03-2011 23:03 ]

De .vmx die ik met Vmware Server 2 heb gemaakt kon ik super-eenvoudig migreren naar een ESXi file, hij heeft hem automatisch naar de ESX host geupload en geconverteerd. Echt te gek dat VMware dit soort technologie gratis ter beschikking stelt

Alexxxxxxxxxx schreef op vrijdag 01 april 2011 @ 23:22:
Dus als ik het goed begrijp is VMware Server een soort Virtualbox dat je installeert op je OS als applicatie, en dan draait die weer Virtuele PC's (guests), zoals bij de desktop, alleen dan (zoals nu) bij de server.

VMware Server is inderdaad net zoiets als virtualbox, maar je kunt VMware Server ook vanaf het netwerk bedienen op het IP adres van de Host.

ESXi is een hypervisor die direct op de hardware van de host draait, en kan dus alleen maar vanaf een andere machine beheerd worden. Als je het scherm van de host zelf bekijkt, zie je alleen maar wat tekst en een ip adres je moet vanaf een andere machine in het netwerk, gebruik makend van de vSphere client, verbinding met dat IP maken om de machines te beheren.

Plus dat ik die vraag al eerder in dit topic heb beantwoord

Wel, ik ben tevreden. Gek genoeg wilde Windows 7 Enterprise totaal niet presteren op een VM, dus daar heb ik nu een Ubuntu Mediacenter voor in de plaats gemaakt. Er draaien dus nu 2 Ubuntu VM's, en beiden presteren vlekkeloos. Zo heb ik 2 machines voor de hardware van eentje, en aangezien de host een oude notebook is ben ik stroomtechnisch een stuk goedkoper uit dan met een 'echte' server, niet in de laatste plaats omdat ESXi throttling toepast - verbruikt de VM minder resources, dan worden de Host resources naar beneden geschaald, iets wat een notebook sowieso al efficient doet.

Het geweldigste is nog dat het hele project precies € 0,- euro heeft gekost. Afgedankte notebook + oude hardware die ik nog had liggen + OpenSource/Freeware software erop. Zelfs de DNS is gratis .