[LinuxOB] Gentoo Server im Netzwerk absichern.

[Michael Gisbers]

Am Tuesday, 27. September 2005 14:45 schrieb Thomas Bolewski:
> Thema: Server absichern.
>
> Tach!
>
> Ich stehe ja auf die totale Kontrolle und würde gerne immer wissen, was
> denn gerade auf meinem Server zu Hause denn so passiert. Vor allem, wenn es
> den Anschein hat, dass super viele Daten über den Server gehen ohne dass
> ich das weiss.

Das Eigenleben der Server ;-)

> Vorgeschicht:
>
> Gestern abend so gegen 23:45 Uhr sehe ich an meinem Router dass super viel
> Traffic über die Leitung gehen muss. Da ich aber nichts großartig auf dem
> Server anbiete und schon gar nicht zum downloaden, kann ich mir den
> permanenten Traffic leider nicht erklären. So habe ich dann auch sofort den
> Server heruntergefahren und erst am nächsten Tag wieder eingeschaltet.

Hast Du vor dem Abschalten mal mit 'netstat', 'ps' etc. nachgeschaut was auf 
dem Server so los ist?

> Ich nutze meinen Server nicht nur als reinen Webserver, sondern auch im
> lokalen Netzwerk als Samba Server. Also sind auch etliche Dateien drauf.

Und wahrscheinlich auch so interessante, daß sich andere dafür interessieren 
könnten, oder?

> Und hier ist auch schon direkt mal meine Frage: Wie kann ich kontrollieren,
> wer dann auf dem Server gewesen ist. Gibt es da eine Alarmfunktion oder
> ähnliches?

Alarmfunktionen kannst Du einbauen, wirst Du aber wahrscheinlich bisher noch 
nicht aktiviert gehabt haben, oder?

> In der access.log vom apachen2 kann ich zwar schon sehen, ob jemand auf
> meinen Seiten war, das ist aber ok, denn dafür ist der Apache ja
> eingerichtet worde.

Sind denn noch andere Ports außer denen vom Apache von draußen 
freigeschaltet??? Wenn ja, welche?

> Gibt es denn eine Server-Log-Datei irgendwo?

Es gibt die Logdateien der Services, die Du eingerichtet hast, wenn Du die 
Logfiles nicht abgeschaltet hast.

> Die die Zugriffe auf den Server protokolliert?

Nur zur Sicherheit: Der 'Server' ist ein Rechner und Rechner protokollieren 
keine Zugriffe. Die Zugriffe kann nur ein Programm protokollieren auf das 
zugegriffen wird. Damit sind die Logs Angelegenheit der Programme / 
Applikationen.

> Als vorübergehende Lösung werde ich jetzt zunächst eine GateProtect
> Hardware Firewall vorschalten.
> Damit kann ich sehen, welche Angriffe woher kamen und ob diese erfolgreich
> abgewehr wurden. Somit kann ich den server in einer DMZ betreiben und den
> Server etwas mehr schützen.

Wenn Du die gleichen Ports über die Firewall freigibst wie auch über den 
Router ist die ganze Angelegenheit eigentlich eine Totgeburt. Denn eine 
Firewall macht nichts anderes als die Zugriffe auf definierten Ports 
freizugeben und die anderen zu blocken. In dem Sinne arbeitet auch der Router 
schon als Firewall wenn er nur die Daten von außen auf den Ports weiterleitet 
die auch freigegeben sind. Zwei hintereinander zu schalten wäre in dem Sinn 
sinnlos.

> Hat jemand eine Idee, worauf ich zu achten habe, wenn ich den Server so
> direkt am Netz betreibe? Sicherlich habe ich einen Router vorgeschaltet und
> eigentlich auch gesichert.....aber was könnte ich denn noch tun?

Die oben aufgetretenen Fragen beantworten und dann auf weitere Nachfragen 
warten ;-)

> mails bitte an thomas at bolewski.com

-- 
 Michael Gisbers
 http://www.lugor.de

[---- Printed on recycled electrons ----]
-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname   : nicht verfügbar
Dateityp    : application/pgp-signature
Dateigröße  : 190 bytes
Beschreibung: nicht verfügbar
URL         : <http://mailman.mylinuxtime.de/pipermail/linux/attachments/20050927/c504467d/attachment.asc>