Diese Präsentation wurde erfolgreich gemeldet.
Wir verwenden Ihre LinkedIn Profilangaben und Informationen zu Ihren Aktivitäten, um Anzeigen zu personalisieren und Ihnen relevantere Inhalte anzuzeigen. Sie können Ihre Anzeigeneinstellungen jederzeit ändern.
Sicheres Root-Server HostingLinux, Firewall, Apache, MySQL, PHP and more                        © Markus Markert, CHECK24 ...
Agenda – Sicheres Root-Server Hosting1. VORWORT2. INFRASTRUKTUR3. LINUX SERVER4. FIREWALL5. DIENSTE / PROGRAMME6. UPDATES ...
Agenda – Sicheres Root-Server Hosting1. VORWORT2. INFRASTRUKTUR3. LINUX SERVER4. FIREWALL5. DIENSTE / PROGRAMME6. UPDATES ...
Vorwort Linux Kenntnisse erforderlich Zugriff auf den Server per SSH Standard Einstellungen ändern Fingerprints suchen...
Agenda – Sicheres Root-Server Hosting1. VORWORT2. INFRASTRUKTUR3. LINUX SERVER4. FIREWALL5. DIENSTE / PROGRAMME6. UPDATES ...
Infrastruktur Webserver (Apache, MySQL) + Firewall (IP-Tables) Backupserver Externer Mailserver 3 IP-Adressen  2 IPs ...
Infrastruktur    Legende                                  ADMIN     HTTP / HTTPS     SSH / FTPS / DNS…     SSH / FTPS     ...
Agenda – Sicheres Root-Server Hosting1. VORWORT2. INFRASTRUKTUR3. LINUX SERVER4. FIREWALL5. DIENSTE / PROGRAMME6. UPDATES ...
Linux Server Warum Linux  Freiheit (Open Source)  Riesige Softwareauswahl  Gratis  Sicherheit  Stabilität  Vielseit...
Linux Server Linux Server finden  Strato, Hetzner, Server4you, … -> Plain Images Ubuntu   LTS (Long Term Support) Conne...
Linux Server Linux Befehle  Man [Programm], cd [Verzeichnis], mv [Datei1] [Datei2], mkdir,   rmdir, ls, vim, apt-get, ne...
Linux Server Linux updaten# apt-get update && apt-get upgrade Installation von Tasksel# apt-get install tasksel Tasksel...
Agenda – Sicheres Root-Server Hosting1. VORWORT2. INFRASTRUKTUR3. LINUX SERVER4. FIREWALL5. DIENSTE / PROGRAMME6. UPDATES ...
Firewall           © Markus Markert, CHECK24 2013
Firewall Angriffsfläche für Hacker verringern   Von möglichen   65.535 Ports werden wir ca. 99,9% schließen   Nichtbenö...
Firewall Ports der Dienste                                                SSH - -11222                                   ...
Firewall Sammeln für die Firewall: # ifconfig (IPs - inet Adresse und Maske rausschreiben) # cat /etc/resolv.conf (Namese...
Firewall Sammeln für die Firewall:  # vim /etc/apt/sources.list (Domains Updateserver)   de.archive.ubuntu.com   security...
Firewall Wir sollten folgende IPs gesammelt haben!WAS                                                   IP             NE...
Firewall Virtual Box (PC Emulator)                                   1.   Download & Installation Virtual Box            ...
Firewall Der Firewall Builder# apt-get install fwbuilder# fwbuilder                        © Markus Markert, CHECK24 2013
Firewall – Firewall Builder Regeln des Firewall Builders      9 Regeln um den Server sicherer zu machen!                 ...
Firewall Firewall-Skript hochladen /root/ Dateirechte ändern! # chown root:root firewall.sh # chmod 700 firewall.sh     ...
Firewall Firewall-Rettungsanker (vor dem aussperren ;-)   /root/flush-firewall.sh# crontab –e#M S       TMW           Use...
Agenda – Sicheres Root-Server Hosting1. VORWORT2. INFRASTRUKTUR3. LINUX SERVER4. FIREWALL5. DIENSTE / PROGRAMME6. UPDATES ...
Dienste / Programme Unnötige Dienste entfernen # netstat -lpn # apt-get remove cups        ACHTUNG: Aufpassen was ihr dei...
Dienste / Programme Aufgeräumte Dienste # netstat -lpn        Je weniger Dienste laufen oder installiert sind,        ums...
Dienste / Programme SSH  Standard Port ändern, Protokol auf Version 2 zurren,   Root-Logins abschalten, auf die Manageme...
Dienste / Programme Apache Konfiguration                                                                   Aua!/etc/apach...
Dienste / Programme Apache Konfiguration /etc/apache2/apache2.conf                             © Markus Markert, CHECK24 ...
Dienste / Programme Apache Sicherheitsmodule  Mod_security & Mod_evasive (Application-Level-Firewall – HTTP analysieren)...
Dienste / Programme PHP                                             Works, but…..            © Markus Markert, CHECK24 2013
Dienste / Programme   PHPUuuuh                                                            Schön     /etc/php5/apache2/ph...
Dienste / Programme PHP /etc/php5/apache2/php.ini Max_execution_time = 10 Max_input_time = 10 Memory_limit = 128M Display...
Dienste / Programme PHP Modul Suhosin # apt-get install php5-suhosin # cd /etc/php5/conf.d/ # ln –s ../mods-available/suh...
Dienste / Programme MySQL  Nur lokal, nicht extern  Einlesen von Dateien verbieten  Root Benutzer umbenennen  Ausgela...
Dienste / Programme Erweiterter Schutz mit fail2ban                          Apache Sicherheitsmodule      Webserver     ...
Dienste / Programme Erweiterter Schutz mit fail2ban             Konfigurationsdatei fail2ban  fail2ban                   ...
Dienste / Programme Erweiterter Schutz mit fail2ban             Konfigurationsdatei fail2ban  fail2ban                   ...
Dienste / Programme ClamAV (Antivirus)# apt-get install clamav clamav-freshclamClamAV updaten# freshclamClamAV Skript  ...
Dienste / Programme RootKit-Hunters# apt-get install rkhunter                      # apt-get install chkrootkit# rkhunter...
Agenda – Sicheres Root-Server Hosting1. VORWORT2. INFRASTRUKTUR3. LINUX SERVER4. FIREWALL5. DIENSTE / PROGRAMME6. UPDATES ...
Updates Mit apticron BESCHEID wissen# apt-get install apticron && dpkg-reconfigure apticron(E-Mail Adresse wird Abfrage),...
Backup 1 paar Zeilen Code für ruhigeres schlafenPublic Key Authentifizierung - https://help.ubuntu.com/community/SSH/Open...
Agenda – Sicheres Root-Server Hosting1. VORWORT2. INFRASTRUKTUR3. LINUX SERVER4. FIREWALL5. DIENSTE / PROGRAMME6. UPDATES ...
Checks      NUR DIE SICHERHEIT DER EIGENEN SYSTEME PRÜFEN!!! Backbox Linux  http://www.backbox.org/ -> ISO Image, Virtua...
Checks            NUR DIE SICHERHEIT DER EIGENEN SYSTEME PRÜFEN!!!# wpscan –url www.xxx.de                                ...
Checks            NUR DIE SICHERHEIT DER EIGENEN SYSTEME PRÜFEN!!!# wpscan –url www.xxx.de                                ...
Checks      NMAP     # nmap domain.de –sS –p1-1024Zuviele Ports offen (FTP really bad)Gut (SMTP schließen wäre Top)      ...
Agenda – Sicheres Root-Server Hosting1. VORWORT2. INFRASTRUKTUR3. LINUX SERVER4. FIREWALL5. DIENSTE / PROGRAMME6. UPDATES ...
Schlusswort              © Markus Markert, CHECK24 2013
KontaktMarkus MarkertOnline Marketing ManagerCHECK24 Media GmbHErika-Mann-Str. 66         Tel. +49 89 2000 47 125580636 Mü...
Nächste SlideShare
Wird geladen in …5
×

Sicheres Root-Server Hosting mit Linux

4.518 Aufrufe

Veröffentlicht am

In diesem Workshop zeige ich Euch, wie ihr einen eigenen und sichereren Root-Server für Eure Websites betreibt. Dabei gehe ich auf verschiedenste Konfigurationsparameter der nötigen Dienste (Apache, MySQL, PHP) und auf die Server-Sicherheit (Firewall, IP-Autoblocking, Ports, Updates, Backups) ein.

  • http://www.sendspace.com/file/8kn03w
       Antworten 
    Sind Sie sicher, dass Sie …  Ja  Nein
    Ihre Nachricht erscheint hier

Sicheres Root-Server Hosting mit Linux

  1. 1. Sicheres Root-Server HostingLinux, Firewall, Apache, MySQL, PHP and more © Markus Markert, CHECK24 2013
  2. 2. Agenda – Sicheres Root-Server Hosting1. VORWORT2. INFRASTRUKTUR3. LINUX SERVER4. FIREWALL5. DIENSTE / PROGRAMME6. UPDATES / BACKUP7. CHECKS8. SCHLUSSWORT © Markus Markert, CHECK24 2013
  3. 3. Agenda – Sicheres Root-Server Hosting1. VORWORT2. INFRASTRUKTUR3. LINUX SERVER4. FIREWALL5. DIENSTE / PROGRAMME6. UPDATES / BACKUP7. CHECKS8. SCHLUSSWORT © Markus Markert, CHECK24 2013
  4. 4. Vorwort Linux Kenntnisse erforderlich Zugriff auf den Server per SSH Standard Einstellungen ändern Fingerprints suchen und abstellen 100%igen Schutz gibt es nicht Vielfältige Maßnahmen © Markus Markert, CHECK24 2013
  5. 5. Agenda – Sicheres Root-Server Hosting1. VORWORT2. INFRASTRUKTUR3. LINUX SERVER4. FIREWALL5. DIENSTE / PROGRAMME6. UPDATES / BACKUP7. CHECKS8. SCHLUSSWORT © Markus Markert, CHECK24 2013
  6. 6. Infrastruktur Webserver (Apache, MySQL) + Firewall (IP-Tables) Backupserver Externer Mailserver 3 IP-Adressen  2 IPs Hosting  1 IP Management © Markus Markert, CHECK24 2013
  7. 7. Infrastruktur Legende ADMIN HTTP / HTTPS SSH / FTPS / DNS… SSH / FTPS IP5 BESUCHER Domain 1 Internet DNS Server IP8 IP1Webserver Update Server IP2 IP7 IP3 IP6 IP4 Mailserver Backupserver © Markus Markert, CHECK24 2013
  8. 8. Agenda – Sicheres Root-Server Hosting1. VORWORT2. INFRASTRUKTUR3. LINUX SERVER4. FIREWALL5. DIENSTE / PROGRAMME6. UPDATES / BACKUP7. CHECKS8. SCHLUSSWORT © Markus Markert, CHECK24 2013
  9. 9. Linux Server Warum Linux  Freiheit (Open Source)  Riesige Softwareauswahl  Gratis  Sicherheit  Stabilität  Vielseitig  Immer auf dem neuesten Stand  Wer braucht eine Grafische Oberfläche bei einem Server?  Abenteuer / Neues Entdecken © Markus Markert, CHECK24 2013
  10. 10. Linux Server Linux Server finden  Strato, Hetzner, Server4you, … -> Plain Images Ubuntu LTS (Long Term Support) Connect auf Server mit Putty / Konsole © Markus Markert, CHECK24 2013
  11. 11. Linux Server Linux Befehle  Man [Programm], cd [Verzeichnis], mv [Datei1] [Datei2], mkdir, rmdir, ls, vim, apt-get, netstat –lpn, ps –aux  http://www.pc-erfahrung.de/linux/linux-befehle.html Linux Dateirechte © Markus Markert, CHECK24 2013
  12. 12. Linux Server Linux updaten# apt-get update && apt-get upgrade Installation von Tasksel# apt-get install tasksel Tasksel starten# tasksel LAMP & OpenSSH(Passwörter aufschreiben! ;) © Markus Markert, CHECK24 2013
  13. 13. Agenda – Sicheres Root-Server Hosting1. VORWORT2. INFRASTRUKTUR3. LINUX SERVER4. FIREWALL5. DIENSTE / PROGRAMME6. UPDATES / BACKUP7. CHECKS8. SCHLUSSWORT © Markus Markert, CHECK24 2013
  14. 14. Firewall © Markus Markert, CHECK24 2013
  15. 15. Firewall Angriffsfläche für Hacker verringern Von möglichen 65.535 Ports werden wir ca. 99,9% schließen   Nichtbenötigte Verbindungen sperren Von quasi möglichen Verbindungen werden wir auf ein Minimum reduzieren  FW von Hand mit IP-Tables erstellen (Harte Kost) Mit dem Firewall Builder unter Linux ist es kein Hexenwerk mehr. Technisches Verständnis natürlich vorausgesetzt ;) © Markus Markert, CHECK24 2013
  16. 16. Firewall Ports der Dienste SSH - -11222 SSH 11222 HTTP ––80 HTTP 80 HTTPS - -443 DNS - -53 DNS 53 HTTPS 443 HTTP ––80 HTTP 80 FTP - -21 FTP 21 SSH ––11222 SSH - -11222 SSH 11222 SSH 11222 SMTP - -25 SMTP 25 DNS ––53 DNS 53 HTTP ––80 HTTP 80 FTP ––21 FTP 21 SMTP - -25 SMTP 25 © Markus Markert, CHECK24 2013
  17. 17. Firewall Sammeln für die Firewall: # ifconfig (IPs - inet Adresse und Maske rausschreiben) # cat /etc/resolv.conf (Nameserver IPs rausschreiben) © Markus Markert, CHECK24 2013
  18. 18. Firewall Sammeln für die Firewall: # vim /etc/apt/sources.list (Domains Updateserver) de.archive.ubuntu.com security.ubuntu.com … # host domain.de (Ips herausfinden) © Markus Markert, CHECK24 2013
  19. 19. Firewall Wir sollten folgende IPs gesammelt haben!WAS IP NETZMASKEWebserver IP1 (Hosting) 1.2.3.4 255.255.225.0Webserver IP2 (Hosting) 1.2.3.5 255.255.225.0Webserver IP3 (Management) 1.2.3.6 255.255.225.0Backupserver IP4 (Backup) 1.2.3.7 255.255.225.0Admin IP5 (Remote Zugriff) Ip oder Domain -Mailserver IP6 (Mailversand) 1.2.3.6 255.255.225.0Update Server IP7(oder mehrere) 1.2.3.7 255.255.225.0DNS Server IP8 (oder mehrere) 1.2.3.8 255.255.225.0 © Markus Markert, CHECK24 2013
  20. 20. Firewall Virtual Box (PC Emulator) 1. Download & Installation Virtual Box 2. Ubuntu LTS ISO herunterladen 3. Virtuelle Linux Maschine erzeugen 4. Linux ISO als Laufwerk einbinden 5. Ubuntu installieren © Markus Markert, CHECK24 2013
  21. 21. Firewall Der Firewall Builder# apt-get install fwbuilder# fwbuilder © Markus Markert, CHECK24 2013
  22. 22. Firewall – Firewall Builder Regeln des Firewall Builders 9 Regeln um den Server sicherer zu machen! © Markus Markert, CHECK24 2013
  23. 23. Firewall Firewall-Skript hochladen /root/ Dateirechte ändern! # chown root:root firewall.sh # chmod 700 firewall.sh © Markus Markert, CHECK24 2013
  24. 24. Firewall Firewall-Rettungsanker (vor dem aussperren ;-) /root/flush-firewall.sh# crontab –e#M S TMW User Befehl*/5 * *** root /root/flush-firewall.sh Firewall ausführen# ./firewall.sh Test der Dienste, Ausgesperrt? 5 Min warten  Firewall ändern. © Markus Markert, CHECK24 2013
  25. 25. Agenda – Sicheres Root-Server Hosting1. VORWORT2. INFRASTRUKTUR3. LINUX SERVER4. FIREWALL5. DIENSTE / PROGRAMME6. UPDATES / BACKUP7. CHECKS8. SCHLUSSWORT © Markus Markert, CHECK24 2013
  26. 26. Dienste / Programme Unnötige Dienste entfernen # netstat -lpn # apt-get remove cups ACHTUNG: Aufpassen was ihr deinstalliert ;-) © Markus Markert, CHECK24 2013
  27. 27. Dienste / Programme Aufgeräumte Dienste # netstat -lpn Je weniger Dienste laufen oder installiert sind, umso weniger Fehler / Bugs können auftreten! © Markus Markert, CHECK24 2013
  28. 28. Dienste / Programme SSH  Standard Port ändern, Protokol auf Version 2 zurren, Root-Logins abschalten, auf die Management-IP zurren /etc/ssh/sshd_config # /etc/init.d/ssh restart ACHTUNG: Ab jetzt funktionieren Logins nicht mehr auf dem Port 22! Neue Verbindung erst testen bevor bestehende geschlossen wird.vorhernachher © Markus Markert, CHECK24 2013
  29. 29. Dienste / Programme Apache Konfiguration Aua!/etc/apache2/conf.d/security besser © Markus Markert, CHECK24 2013
  30. 30. Dienste / Programme Apache Konfiguration /etc/apache2/apache2.conf © Markus Markert, CHECK24 2013
  31. 31. Dienste / Programme Apache Sicherheitsmodule  Mod_security & Mod_evasive (Application-Level-Firewall – HTTP analysieren)  Mod_geoip (Komplette Länder sperren -> Fein :)  Mod_spamhaus (Spammer / Server sperren) © Markus Markert, CHECK24 2013
  32. 32. Dienste / Programme PHP Works, but….. © Markus Markert, CHECK24 2013
  33. 33. Dienste / Programme  PHPUuuuh Schön  /etc/php5/apache2/php.ini © Markus Markert, CHECK24 2013
  34. 34. Dienste / Programme PHP /etc/php5/apache2/php.ini Max_execution_time = 10 Max_input_time = 10 Memory_limit = 128M Display_errors = off Log_errors = On File_uploads = Off Allow_url_open = Off Allow_url_include = Off Post_max_size = 1k + © Markus Markert, CHECK24 2013
  35. 35. Dienste / Programme PHP Modul Suhosin # apt-get install php5-suhosin # cd /etc/php5/conf.d/ # ln –s ../mods-available/suhosin.ini . # vim suhosin.ini # /etc/init.d/apache restart © Markus Markert, CHECK24 2013
  36. 36. Dienste / Programme MySQL  Nur lokal, nicht extern  Einlesen von Dateien verbieten  Root Benutzer umbenennen  Ausgelaufene Accounts löschen  Userrechte verwalten /etc/mysql/my.cnf skip-networking bind-address=127.0.0.1 set-variable=local-infile=0 © Markus Markert, CHECK24 2013
  37. 37. Dienste / Programme Erweiterter Schutz mit fail2ban Apache Sicherheitsmodule Webserver Firewall HTTP(S), SSH HTTP(S), SSH Apache Apache Log-Dateien SSH SSH Überwachungtool Log-Dateien fail2ban fail2ban Schreibt dynamisch IP-Table Block Listen © Markus Markert, CHECK24 2013
  38. 38. Dienste / Programme Erweiterter Schutz mit fail2ban Konfigurationsdatei fail2ban fail2ban SSH SSH /etc/fail2ban/jail.conf Log-Dateien Log-Datei /var/log/auth.log © Markus Markert, CHECK24 2013
  39. 39. Dienste / Programme Erweiterter Schutz mit fail2ban Konfigurationsdatei fail2ban fail2ban Apache Apache /etc/fail2ban/jail.conf Log-Dateien Log-Dateien /var/vhosts/*/logs/error.log & /var/log/apache*/*.error.log © Markus Markert, CHECK24 2013
  40. 40. Dienste / Programme ClamAV (Antivirus)# apt-get install clamav clamav-freshclamClamAV updaten# freshclamClamAV Skript #!/bin/bash clamscan -ri --exclude-dir=^/sys|^/proc|^/dev / | mail -s "ClamAV Scan Results for `date +%D`" xxx@xxx.de /root/clamscan.sh# crontab –e#M S T M W U Befehl15 0 * * * root /root/clamscan.sh 2>&1 © Markus Markert, CHECK24 2013
  41. 41. Dienste / Programme RootKit-Hunters# apt-get install rkhunter # apt-get install chkrootkit# rkhunter --propupd --update # chkrootkit# rkhunter –c Cronjob einrichtenCronjob einrichten # crontab –e# crontab –e #M S T M W U Befehl#M S T M W U Befehl 30 0 * * * root /usr/sbin/chkrootkit 2>&1 | mail -s "chkrootkit output" xxx@xxx.xxx)15 0 * * * root /usr/bin/rkhunter –cronjob2>&1 /etc/rkhunter.conf © Markus Markert, CHECK24 2013
  42. 42. Agenda – Sicheres Root-Server Hosting1. VORWORT2. INFRASTRUKTUR3. LINUX SERVER4. FIREWALL5. DIENSTE / PROGRAMME6. UPDATES / BACKUP7. CHECKS8. SCHLUSSWORT © Markus Markert, CHECK24 2013
  43. 43. Updates Mit apticron BESCHEID wissen# apt-get install apticron && dpkg-reconfigure apticron(E-Mail Adresse wird Abfrage), manuell einmal starten zum testen# apticronErfolgreich? -> Cronjob einrichten# crontab –e#M S TMW Befehl00 *** /usr/sbin/apticron Updates durchführen# apt-get update && apt-get upgrade © Markus Markert, CHECK24 2013
  44. 44. Backup 1 paar Zeilen Code für ruhigeres schlafenPublic Key Authentifizierung - https://help.ubuntu.com/community/SSH/OpenSSH/Keys/root/backup.sh#!/bin/bashcd /root/backup# Mysql Backup erstellenMysqldump –u nur_lese_benutzer –p yoursecret –all-databases –result-file=backup.sqltar cfz backup_mysql_`date +%Y%m%d`.tar.gz rootbackup.sql#Vhosts Backup erstellenTar cfz backup_vhosts _`date +%Y%m%d`.tar.gz /var/www/#Kopieren der Backups auf den Backupserverscp -P 11222 backup_* backupuser@backupserver.de:~#Verschieben der Backups in das Archivmv backup_* archive/ Dateirechte setzen + Crontab Eintrag © Markus Markert, CHECK24 2013
  45. 45. Agenda – Sicheres Root-Server Hosting1. VORWORT2. INFRASTRUKTUR3. LINUX SERVER4. FIREWALL5. DIENSTE / PROGRAMME6. UPDATES / BACKUP7. CHECKS8. SCHLUSSWORT © Markus Markert, CHECK24 2013
  46. 46. Checks NUR DIE SICHERHEIT DER EIGENEN SYSTEME PRÜFEN!!! Backbox Linux  http://www.backbox.org/ -> ISO Image, Virtual Box  WPScan © Markus Markert, CHECK24 2013
  47. 47. Checks NUR DIE SICHERHEIT DER EIGENEN SYSTEME PRÜFEN!!!# wpscan –url www.xxx.de WordPress Version 3.5.1Danke für die Infos © Markus Markert, CHECK24 2013
  48. 48. Checks NUR DIE SICHERHEIT DER EIGENEN SYSTEME PRÜFEN!!!# wpscan –url www.xxx.de Verbesserungswürdig, sonst Top © Markus Markert, CHECK24 2013
  49. 49. Checks  NMAP # nmap domain.de –sS –p1-1024Zuviele Ports offen (FTP really bad)Gut (SMTP schließen wäre Top) © Markus Markert, CHECK24 2013
  50. 50. Agenda – Sicheres Root-Server Hosting1. VORWORT2. INFRASTRUKTUR3. LINUX SERVER4. FIREWALL5. DIENSTE / PROGRAMME6. UPDATES / BACKUP7. CHECKS8. SCHLUSSWORT © Markus Markert, CHECK24 2013
  51. 51. Schlusswort © Markus Markert, CHECK24 2013
  52. 52. KontaktMarkus MarkertOnline Marketing ManagerCHECK24 Media GmbHErika-Mann-Str. 66 Tel. +49 89 2000 47 125580636 München Fax +49 89 2000 47 1011www.check24.de markus.markert@check24.de © Markus Markert, CHECK24 2013

×