Oldmanclan
Zur Startseite Registrierung Registrierung Kalender Mitgliederliste Suche Häufig gestellte Fragen

 
Boardmenü
 
» Portal
» Forum

» Registrieren
» Gästebuch
» Suche
» Statistik
» Mitglieder
» Kalender
» Sponsoren

» F.A.Q
» Datenbank

» Netiquette

 
Unsere Uhr
 


 
Der OMC
 
» Über uns
» OMC-Member
» Member AGB
» Serverregeln
» Impressum

» Serverübersicht

Server Statistiken
» CoD 2 TDM
» CoD 4 TDM
» CoD 4 S&D
» CoD 4 Hardcore TDM
» CoD 4 Train/War
» CoD 4 HC Sabotage
» CoD 4 Gungame
» CoD 5 HC30
» CoD 5 Train/War

 
VWar
 
» Letzte Wars
» Next Äkschn
» Fordere uns
» Memberantrag

 
Nächste Wars
 

 
Oldmanclan » .:: Public ::. » Linux » Suse server-sicherheit » Hallo Gast [Anmelden|Registrieren]
Neue Beiträge seit letzen Login | Letzter Beitrag | Erster ungelesener Beitrag Druckvorschau | An Freund senden | Thema zu Favoriten hinzufügen
Neues Thema erstellen Antwort erstellen
Zum Ende der Seite springen Suse server-sicherheit
Autor
Beitrag « Vorheriges Thema | Nächstes Thema »
Marcel   Zeige Marcel auf Karte Marcel ist männlich
Og


images/avatars/avatar-154.gif
[meine Galerie]


Beiträge: 550

Level: 42 [?]
Erfahrungspunkte: 2.752.669
Nächster Level: 3.025.107

272.438 Erfahrungspunkt(e) für den nächsten Levelanstieg



Auf diesen Beitrag antworten Zitatantwort auf diesen Beitrag erstellen Diesen Beitrag editieren/löschen Diesen Beitrag einem Moderator melden       Zum Anfang der Seite springen
Suse server-sicherheit

Hallo,

ich habe mir einen Suse V-server geholt/bestellt. Damit möchte ich mein Brwserspiel starten.

Da ich weiss das bei vielen Browsergames versucht wird die server zu Hacken.

Da ich von Linux keine bzw kaum erfahrung habe möchte ich wissen wie ich den server Hacksicher bekomme.

Meine Vorstellung eines sicheren systems:

alle Ports geschlossen ausser die die für administration des Servers und die für PHP (80) und dem Mysql-server plus dem SSL bzw SSH zugang über Port 3036 (oder so ähnlich).
Weitere Ports:
-21 FTP
- öhm das wars schon oder?

Der Rest der Ports sollen geschlossen sein.

Wie ich Ports schliesse weiss ich nicht. Da wäre ich froh wenn mir das jemand erklären kann.


Desweiteren möchte ich ab Juni 07 ein Fingerprint-System nutzten (son kleines gerät wo man den Fingerabdruck abgeben muss damit man ins System kommt).

Ich würde gerne wissen wie ich das einrichten kann bzw ob das jemand einrichten kann. Und welche Programme wie FTP und sonstige Programme das Unterstützen, ein Browser wäre auch wichtig da dann nur dadurch zugang gewährt werden soll.

Mfg Marcel







...Marcel sagte noch...
Probleme beim Einrichten oder Installieren von Clansites? Hilfe hier!

Dieser Beitrag wurde 1 mal editiert, zum letzten Mal von Marcel: 26.12.2006 15:55.

26.12.2006 15:55 Marcel ist offline E-Mail an Marcel senden Beiträge von Marcel suchen Nehmen Sie Marcel in Ihre Freundesliste auf Fügen Sie Marcel in Ihre Kontaktliste ein MSN Passport-Profil von Marcel anzeigen
Vain   Zeige Vain auf Karte
König

[meine Galerie]


Beiträge: 837

Level: 44 [?]
Erfahrungspunkte: 4.159.076
Nächster Level: 4.297.834

138.758 Erfahrungspunkt(e) für den nächsten Levelanstieg



Auf diesen Beitrag antworten Zitatantwort auf diesen Beitrag erstellen Diesen Beitrag editieren/löschen Diesen Beitrag einem Moderator melden       Zum Anfang der Seite springen

Ich dachte, dass du den Root von Kobra benutzen darfst und ein VServer nicht die Kapazitäten hätte, die das Spiel bräuchte?

Zum Punkt Sicherheit; mit suse haste dir keinen Gefallen getan, denn Debian ist sicherer und verbraucht zudem auch noch weniger Ressourcen als Suse. Die Ports kannst du im Regelfall über Virtuozzo einsehen und verwalten(SSL-Verschlüsselung ist standard). Der FTP-Port 21 ist auch standard, kannst ihn ja ändern, um ganz sicher zu gehen. "Fingerprint-System", keine Ahnung wie du das machen willst, habe ich noch nirgends gesehen und was soll sowas denn kosten?
Als SSH Programm würde ich dir den SSH Secure Shell Client vorschlagen, da der eine integrierte FTP-Funktion ermöglicht, kann st natürlich auch Putty verwenden (ist kleiner, nutze ich aber nur für Telnetverbindungen).







...Vain sagte noch...
Yippie Ya Yeah, Schweinebacke!
26.12.2006 16:44 Vain ist offline E-Mail an Vain senden Beiträge von Vain suchen Nehmen Sie Vain in Ihre Freundesliste auf
Marcel   Zeige Marcel auf Karte Marcel ist männlich
Og


images/avatars/avatar-154.gif
[meine Galerie]


Beiträge: 550

Level: 42 [?]
Erfahrungspunkte: 2.752.669
Nächster Level: 3.025.107

272.438 Erfahrungspunkt(e) für den nächsten Levelanstieg



Themenstarter Thema begonnen von Marcel


Auf diesen Beitrag antworten Zitatantwort auf diesen Beitrag erstellen Diesen Beitrag editieren/löschen Diesen Beitrag einem Moderator melden       Zum Anfang der Seite springen

Der V-Server hat genug leistung, 3 GHz 2 GB Ram und alles was ich mir wünsche für nur 20€ im Monat. Da dies ein Weihnachtsangebot war habe ich sofort zugeschlagen.

Den server von Kobra durfte ich nutzten, allerdings ,laut kobra, hatte das game Zuviele Prozesse verursacht (was ich mir noch immer nicht vorstellen kann da ich einen fehler nicht finden kann, habe nen server laufen und da ist immernoch keine überlastung und das seit mehr als 48 h). Da hat Kobra den zugang zugemacht. wodurch ich auch keine fehleranalyse machen konnte.

Ich habe linux gewählt da das die einzigste möglichkeit war Debian als Admin-software zu bekommen.

Fingerprint kostet nicht mehr viel. Warum ich das nehmen will? Naja das ist das zweitsicherste was es überhaupt gibt an verschlüsselung. Schließlich ist es dein persönlicher Fingerabdruck, das sicherste was es gibt ist die Iris deines Auges, das soll es laut inoffizellen Informationen auch bald auf dem Markt geben. Da ich verhindern möchte das jemand durch bruteforce an meine Daten kommt möchte ich schon das höchste maß an Sicherheit haben, und das bietet mir das Fingerprint-System.

Aso das ganze läuft nicht auf runlevel 6 (GRafisches interface), von daher wird nch weniger performance verbraucht.

Mfg Marcel







...Marcel sagte noch...
Probleme beim Einrichten oder Installieren von Clansites? Hilfe hier!
26.12.2006 17:54 Marcel ist offline E-Mail an Marcel senden Beiträge von Marcel suchen Nehmen Sie Marcel in Ihre Freundesliste auf Fügen Sie Marcel in Ihre Kontaktliste ein MSN Passport-Profil von Marcel anzeigen
[OMC]Ingo   Zeige [OMC]Ingo auf Karte [OMC]Ingo ist männlich
Super Grobi


images/avatars/avatar-340.gif
[meine Galerie]


Beiträge: 2.158

Level: 50 [?]
Erfahrungspunkte: 11.324.896
Nächster Level: 11.777.899

453.003 Erfahrungspunkt(e) für den nächsten Levelanstieg



Auf diesen Beitrag antworten Zitatantwort auf diesen Beitrag erstellen Diesen Beitrag editieren/löschen Diesen Beitrag einem Moderator melden       Zum Anfang der Seite springen
nur mal so...

Fingerprint ? Was soll das bringen ? Für z.B. FTP brauchste doch ein Passwort....
Mach dir einfach ein 30 Zeichen langes Zufallspasswort mit Groß- kleinschreibung und Sonderzeichen (das kann nicht geknackt werden) und speichere es in einem Passwortmanager.
(Viel anders dürfte das nen Fingerscanner bzw die dazugehörige Software auch nicht machen)
Den Scanner könntest du dann vieleicht benutzen um den Passwortmanager zu öffnen....
(Falls der Hacker dich kennt und somit nen Fingerabdruck von dir hat, ist nen gutes Passwort auf jeden Fall sicherer)


Das PHP ist (glaube ich) die größere Gefahr:

Zitat:
PHP-Sicherheit: Vorsicht vor popen() und proc_open()
Seit einigen Tagen stellen verschiedene Provider einen deutlichen Anstieg gehackter Kundenpräsenzen ("Defacements") und installierter Hintertüren auf vielen Webservern fest.

Die offenbar zielstrebig vorgehenden Angreifer nutzen dabei eine Vielzahl bekannter Sicherheitslücken aus, die zwar größtenteils nicht neu und auf fachkundig administrierten Servern in der Regel auch abgesichert und deaktiviert sind. Dabei ist vor allem vor den Auswirkungen der PHP-Funktionen popen() und proc_open() zu warnen, die bislang ein unbekanntes Schattendasein führten.

In den Angriffen der vergangenen Tage wurden diese Funktionen gezielt ausgenutzt, ermöglichen sie doch ebenfalls den Start lokaler Shell-Kommandos auf dem Server. Sichert eine Webseite die Nutzung dieser Funktionen nicht richtig ab, kann ein Angreifer damit eigene Kommandos ausführen oder gar eigene Hintertüren installieren. Beim Einsatz so genannter Bots verbinden sich diese mit IRC-Servern, um Kommandos des Angreifers entgegenzunehmen. Die so infizierten Server lassen sich damit flexibel zu beliebigen Aktionen missbrauchen.

Zugriffe auf das Dateisystem eines Webservers sind allgemein ein großes Problem und werden fachkundig mittels open_basedir abgesichert. Der Start von Shell-Kommandos in PHP-Scripts ermöglicht es Angreifern, diese Beschränkungen zu umgehen, sodass sie Leserechte auf weite Teile des Dateisystems erhalten: Außer Systemdateien des /etc-Verzeichnisses sind auch temporäre Dateien mit Session-Informationen fremder Nutzer einsehbar. Von anderen Webpräsenzen auf demselben Server sind die Passwörter der .htpasswd-Dateien beziehungsweise MySQL-Zugangsdaten einsehbar.

Pikanterweise sind die Probleme nicht neu. Anders als bei system() und exec() hat das PHP-Team es jedoch in der Vergangenheit versäumt, vor popen() und proc_open() ausreichend zu warnen. Auf den Handbuchseiten der jeweiligen Funktionen finden sich keine Warnungen, auch bei der Besprechung verschiedener Sicherheitsstrategien im Manual des PHP-Projektes werden system(), exec() oder phpinfo() erwähnt – der Verweis auf proc_open() und popen() fehlt aber in aller Regel.

Aufgrund der geringen Bekanntheit haben nur wenige Hobby-Programmierer bislang diese Funktionen benutzt, allerdings kommen sie zum Beispiel bei den weit verbreiteten Projekten mediaWiki und eGroupware zum Einsatz. Nach ersten Tests scheint eine Deaktivierung von popen() allerdings nur geringe Auswirkungen auf die Funktion dieser Programme zu haben, grundsätzlich bleiben sie lauffähig.

Sofern Programmierer saubere Eingabevalidierung betreiben und popen()-Aufrufe nur mit sicheren Parametern benutzen, droht dem Webserver keine Gefahr eines Angriffes von außen. Verarbeiten Programmierer jedoch ungefiltert Nutzereingaben in diesen Funktionsaufrufen, können Angreifer beliebige eigene Kommandos einschleusen, wie jüngst beim CMS open-medium gesche hen. Nicht zuletzt könnten Angreifer gezielt versuchen, sich einen Account bei einem Provider zu besorgen, um eigenen PHP-Code bequem selbst hochzuladen.

Administratoren sollten also versuchen, diese Funktionsaufrufe durch den Eintrag

disable_functions = show_source, system, shell_exec, passthru, exec, phpinfo, popen, proc_open

in der Datei php.ini zu verbieten, müssen dann jedoch kritisch beobachten, ob Funktionsstörungen bei Kundenpräsenzen auftreten.

Das frei verfügbare AppArmor mit dem Apache-Modul mod_changehat könnte eine Lösung sein: Es ermöglicht es, für einzelne Webpräsenzen verschiedene AppArmor-Profile zu übergeben, die den Dateizugriff auch bei externen Programmaufrufen kontrollieren können.



SQL-Injektion und Cross Site Scripting mal googlen...

Zitat:
Beim serverseitigen Cross-Site Scripting wird versucht, Code auf dem Server auszuführen. Dies ist z. B. durch PHPs „include“-Anweisungen möglich. Unter PHP ist es möglich, Dateien von anderen Rechnern einzubinden, also bei unsicheren Scripten auch von einem Rechner eines Angreifers.[1] Etliche Programmiersprachen wie Perl bieten die Möglichkeit, lokal Programme über eine Shell auszuführen. Wird ein lokales Programm mit benutzermanipulierbaren Parametern aufgerufen und die Parameter nicht entsprechend gefiltert, ist es möglich, weitere Programme aufzurufen. So können etwa Dateien geändert oder sensible Daten ausgespäht werden.

Neuerdings werden Webspider, wie der Google Suchroboter, missbraucht, um serverseitige XSS- und SQL-Injection-Attacken auszuführen. Hierzu wird ein präparierter Link auf einer Webseite veröffentlicht. Sobald ein Webspider diesem Link folgt, löst er die Attacke aus. Dadurch taucht die IP-Adresse des Spiders und nicht die des eigentlichen Angreifers in den Protokollen des angegriffenen Systemes auf. Der Angreifer kann somit anonym agieren.


Gruß Ingo

...falls du das alles schon weißt und ich dich langweile... SORRY !







...[OMC]Ingo sagte noch...
28.12.2006 15:19 [OMC]Ingo ist offline E-Mail an [OMC]Ingo senden Homepage von [OMC]Ingo Beiträge von [OMC]Ingo suchen Nehmen Sie [OMC]Ingo in Ihre Freundesliste auf Fügen Sie [OMC]Ingo in Ihre Kontaktliste ein
Marcel   Zeige Marcel auf Karte Marcel ist männlich
Og


images/avatars/avatar-154.gif
[meine Galerie]


Beiträge: 550

Level: 42 [?]
Erfahrungspunkte: 2.752.669
Nächster Level: 3.025.107

272.438 Erfahrungspunkt(e) für den nächsten Levelanstieg



Themenstarter Thema begonnen von Marcel


Auf diesen Beitrag antworten Zitatantwort auf diesen Beitrag erstellen Diesen Beitrag editieren/löschen Diesen Beitrag einem Moderator melden       Zum Anfang der Seite springen

Nein, du hast mir geholfen. Danke dir Ingo.

Mfg marcel







...Marcel sagte noch...
Probleme beim Einrichten oder Installieren von Clansites? Hilfe hier!
28.12.2006 15:49 Marcel ist offline E-Mail an Marcel senden Beiträge von Marcel suchen Nehmen Sie Marcel in Ihre Freundesliste auf Fügen Sie Marcel in Ihre Kontaktliste ein MSN Passport-Profil von Marcel anzeigen
[OMC]Ingo   Zeige [OMC]Ingo auf Karte [OMC]Ingo ist männlich
Super Grobi


images/avatars/avatar-340.gif
[meine Galerie]


Beiträge: 2.158

Level: 50 [?]
Erfahrungspunkte: 11.324.896
Nächster Level: 11.777.899

453.003 Erfahrungspunkt(e) für den nächsten Levelanstieg



Auf diesen Beitrag antworten Zitatantwort auf diesen Beitrag erstellen Diesen Beitrag editieren/löschen Diesen Beitrag einem Moderator melden       Zum Anfang der Seite springen
großes Grinsen ...mal so ins blaue geschossen...

Zitat:
Da ich von Linux keine bzw kaum erfahrung habe möchte ich wissen wie ich den server Hacksicher bekomme.


Sicherheit.... never ending story !

Vorweg: Einen sicheren Server gibt es nicht - es sei denn, du ziehst das Netzwerkkabel raus !

Die konfiguration der Linux-Firewall ist wohl eine der wichtigsten Punkte...

---> Link 1 <---

---> Link 2 <---

---> Link 3 <---

---> Link 4 <---

Lupo ist doch hier der Tux-Flachmann, warum antworte ich überhaupt bei Themen von denen ich gar keine Ahnung habe ?
Naja, wohl Langeweile großes Grinsen

Gruß Ingo







...[OMC]Ingo sagte noch...
28.12.2006 17:25 [OMC]Ingo ist offline E-Mail an [OMC]Ingo senden Homepage von [OMC]Ingo Beiträge von [OMC]Ingo suchen Nehmen Sie [OMC]Ingo in Ihre Freundesliste auf Fügen Sie [OMC]Ingo in Ihre Kontaktliste ein
Baumstruktur | Brettstruktur
Gehe zu:
Neues Thema erstellen Antwort erstellen
Oldmanclan » .:: Public ::. » Linux » Suse server-sicherheit

Views heute: 7.096 | Views gestern: 9.964 | Views gesamt: 24.421.949

Impressum

radiosunlight.de
Board Blocks: 478.480 | Spy-/Malware: 89.049 | Bad Bot: 0 | Flooder: 146.305 | httpbl: 607
CT Security System Premium 9.1.0 © 2006-2010 Frank Leyhe