Ny server, vad kan man tänka på säkerhetsmässigt?

[Pinky]

Hej!

För de som missat det, så har jag nyligen skaffat mig ett domännamn och kopplat till min server. Servern är kopplad rakt ut mot internet, och inte via någon router. Så nu börjar frågorna ploppa upp:

1. Först och främst undrar jag om det finns något bra sätt att logga tex anslutningsförsök mot olika portar och sådant (även de som jag inte "lyssnar" på idag), så man får koll på om det är något mysko på gång?

2. Går det att ställa in apt så att servern uppdateras automatiskt när nya uppdateringar kommer, så att man har de senaste fixarna? Eventuellt även att om omstart krävs så ska den göra det tex klockan 5 på morgonen.

3. Änsålänge så har jag bara ssh och apache på servern, och jag har bytt port på ssh. Är det något annat jag bör tänka på såhär i början?

Mvh
Pinky

[danno]

Även om du bytt port på ssh, är det inte säkert att det stoppar allt...
Jag brukar installera fail2ban på mina servrar, och ställa in så att man bannas i runt 15 minuter efter 2 felaktiga inloggningsförsök.
Du kan även stänga av inloggning med lösenord i ssh, så att man måste ha din ssh-nyckel för att ta sig in.

Det går även i iptables ange att ssh-inloggningar endast får ske från specifika ip-adresser,
dock känns det lite onödigt om du kör fail2ban

Anslutningar/försök loggas i /var/log/auth.log
bara att läsa den dagligen :)

Behöver väl kanske inte påpekas, men:
Se till att ha så få användarkonton som möjligt.
Säkra lösenord

Till mina servrar har man bland annat försökt logga in med
root
admin
sales
staff
aaaa
test
guest
fluffy

Nu vet jag ju inte vad du ska ha för sorts sidor på din webbserver,
men om du ska köra med MySQL är grundtipset att ha flera databaskonton, och använda ett med så lite rättigheter som möjligt.
Tillexempel bör man inte kunna köra UPDATE eller INSERT vid en inloggning på webbsidan...

Har du forum eller liknande med användare som ska logga in,
se till att deras lösenord är krypterade och med salt...

Som sagt det beror mycket på vad du har på webben, och det finns massor att läsa.

[danno]

Även om du bytt port på ssh, är det inte säkert att det stoppar allt...
Jag brukar installera fail2ban på mina servrar, och ställa in så att man bannas i runt 15 minuter efter 2 felaktiga inloggningsförsök.
Du kan även stänga av inloggning med lösenord i ssh, så att man måste ha din ssh-nyckel för att ta sig in.

Det går även i iptables ange att ssh-inloggningar endast får ske från specifika ip-adresser,
dock känns det lite onödigt om du kör fail2ban

Anslutningar/försök loggas i /var/log/auth.log
bara att läsa den dagligen :)

Behöver väl kanske inte påpekas, men:
Se till att ha så få användarkonton som möjligt.
Säkra lösenord

Till mina servrar har man bland annat försökt logga in med
root
admin
sales
staff
aaaa
test
guest
fluffy

Nu vet jag ju inte vad du ska ha för sorts sidor på din webbserver,
men om du ska köra med MySQL är grundtipset att ha flera databaskonton, och använda ett med så lite rättigheter som möjligt.
Tillexempel bör man inte kunna köra UPDATE eller INSERT vid en inloggning på webbsidan...

Har du forum eller liknande med användare som ska logga in,
se till att deras lösenord är krypterade och med salt...

Som sagt det beror mycket på vad du har på webben, och det finns massor att läsa.

Fråga #2 har jag tyvärr inget svar på

Fråga #3: beror helt på vad du vill ha på din server, och vilka säkerhetsfrågor som följer med det...
Naturligtvis ska du ha så lite som möjligt installerat.

Självklart bör man även ha en genomtänkt backuprutin.
Personligen nöjer jag mig med ett enkelt script som kopierar de viktiga filerna till en annan server, på annan plats...
Detta görs mitt i natten med hjälp av crontab

[danno]

Hmmm... intressant att det blev dubbelpostning när jag tryckte på redigera...
Och nu kan jag inte ta bort det första?

Nåja, hoppas du förstår i alla fall :)

[Pinky]

fail2ban låter som en riktigt bra idé Det ska jag slänga in ikväll om jag får tid.
Lösonerd har jag långa och svåra, och väldigt begränsat med användarkonton. Att köra med certifikat är för mig väldigt bökigt eftersom jag ofta kopplar upp mig från olika platser och datorer.

För tillfället kör ajg som sagt bara apache, men ampache är tänkt att läggas in, samt mailserver och ftp.

[webaake]

#2 Kan man köra unattended-upgrades, vilket jag tycker är kanon!

== Setup ==

The unattended-upgrades package will *not* act unless it is enabled
explicitly. To activate this script you need to ensure that the apt
configuration contains the following lines:

APT::Periodic::Update-Package-Lists "1";
APT::Periodic::Unattended-Upgrade "1";

This means that it will check for upates every day and install them
(if that is possible). If you have update-notifier installed, it will
setup /etc/apt/apt.conf.d/10periodic. Just edit this file then to fit
your needs. If you do not have this file, just create it or
create/edit /etc/apt/apt.conf - you can check your configuration by
running "apt-config dump".


Så här konfigurerar men den;

/etc/apt/apt.conf.d/50unattended-upgrades :

// Automaticall upgrade packages from these (origin, archive) pairs
Unattended-Upgrade::Allowed-Origins {
"Ubuntu hardy-security";
"Ubuntu hardy-updates";
"Ubuntu hardy-backports";
};

// List of packages to not update
Unattended-Upgrade::Package-Blacklist {
// "vim";
// "libc6";
// "libc6-dev";
// "libc6-i686";
};

// Send email to this address for problems or packages upgrades
// If empty or unset then no email is sent, make sure that you
// have a working mail setup on your system. The package 'mailx'
// must be installed or anything that provides /usr/bin/mail.
Unattended-Upgrade::Mail "din_epost@mail.com";

Byt ut Hardy mot vad dy nu kör och skirv in din mailadress, så mailas resultat till dig om du har tex postfix installerat och rätt konfigurerat.

En tråd här på fourmet som kanske förklarar bättre;

http://ubuntu-se.org/phpBB3/viewtopic.p ... unattended

Man kan ha mycket kul med server - kör hårt !

[Pinky]

Toppen!

Kunde inte vänta tills ikväll, så jag sshade hem och körde in fail2ban samt unattended-upgrades. Hur smidiga som helst. Tack för tipsen!