Nichts anderes als SSH offen

< Vorheriger Eintrag | Nächster Eintrag >

Montag, 3. Mai 2010

Nichts anderes als SSH offen

Von einem Root-Server-Neukunden:

prima, im Auslieferungszustand nichts anderes als SSH offen, so soll es sein!

Ich frage mich gerade, was "andere" so an Diensten nach einer Installation offen haben?

Geschrieben von Manuel Schmitt in Support um 11:55 | Kommentare (15) | Trackbacks (0)

Trackbacks

Trackback-URL für diesen Eintrag

Keine Trackbacks

Kommentare

Ansicht der Kommentare: (Linear | Verschachtelt)

LAMP (wieso auch immer jemand der das nicht selbst installieren kann einen Rootserver mietet.. sowas fördert nur die potentiellen Spamschleudern) oder direkt ein Confixx/Plesk-versuchtes System...

#1 Adrian am 03.05.2010 12:11 (Antwort)

Sehr toll ist da z.B. Debian, welches jedes installierte Paket mit eigenem rc-script auch sofort starten muss.

Wär ja auch zu viel verlangt, dass ich meine Dienste erstmal konfigurieren kann, bevor die auf einer public IP auf allen interfaces gestartet werden. :-/

#2 Jinks am 03.05.2010 13:32 (Antwort)

Na da lob ich mir doch Gentoo..

Startet Debian nicht sogar Dienste nach einem Update automatisch neu obwohl man evtl etwas in der Config ändern sollte (benutze schon lange kein Debian mehr, also keine Ahnung ob das noch so ist)?

#2.1 Adrian am 03.05.2010 13:43 (Antwort)

Ja, tut es...

#2.1.1 Py am 03.05.2010 13:43 (Antwort)

Ist das nicht eher Pseudo-Kritik? Ich will hier keine Distributionsschlacht auslösen, aber ein paar Dinge sollte man schon richtig stellen:

Grundsätzlich gilt:
Ein Paket sollte sichere Grundeinstellungen mitbringen. Anders gesagt: Wenn die Anwendung startet, sollte sie das System nicht gefährden. Genau das ist bspw. bei einer Apache-Paketinstallation der Fall: Sie gefährdet das System *nicht*.

Dann muss man auch wissen, dass kritische Anwendungen bspw. mit einem eingebauten Stopper in der Konfiguration daher kommen. Erst wenn der Anwender diesen Stopper manuell aus der Konfiguration entfernt hat, startet die Anwendung.

Auch sollte man wissen, dass sehr viele Pakete debconf triggern. D.h. die Installation bittet den Anwender gleich den Dienst zu konfigurieren.

@ Adrian & Py:
Habt ihr wirklich Ahnung von Debian, oder habt ihr Debian irgendwann einmal "nur benutzt"? Wer eine stabile Debian-Version nutzt, wird nie nach einem Update irgendein Paket neu konfigurieren müssen. Gerade deswegen fließen lediglich Fehlerkorrekturen in den Stable-Zweig ein.

Diese Politik führte u.a. dazu, dass ClamAV zu etch-Zeiten Millionen von Debian-Rechnern lahm gelegt hat, OT:

Der ClamAV Hersteller hatte die Update-Routine geändert und die Nutzer aufgefordert zu aktualisieren. Hierzu gewährte man eine Frist.
Die Debian Paketpolitik lies dieses Update aber nicht nicht in die damalige Stable-Version einfließen, da eben nicht nur Fehler korrigiert wurden. Irgendwann war die Frist Seitens ClamAV dann abgelaufen und man verteilte das "Todes-Signatur-Update". Das führte dazu, dass ClamAV auf den Debian-Kisten die CPU gefressen hat. Letzteres hätte übrigens nicht passieren sollen.
In der Folge lief dann aber für knapp 1.5j ClamAV nicht Out-of-the-Box auf einem stabilen Debian, weil die Version nicht mehr mit den ClamAV-Servern kommunizieren konnte

Also bitte:
Wenn Kritik, dann bitte inhaltlich bitte auch korrekt. Wer also behauptet, dass von einem Debian Paket-Update in irgendeiner Form Gefahr ausgeht, sei es, weil man Dienste neu konfigurieren müsste ect., zeigt pures Unwissen.

#2.1.1.1 Igor am 03.05.2010 15:23 (Antwort)

Das ein Update zu Problemen führt, habe ich nicht behauptet. Aber mich stört schon alleine das benannte Apache verhalten oder auch bei der Installation eines E-Mail-Servers, das Ding soll einfach nicht starten, bevor ich es sage.

Aber das ist meine Meinung und man kann sicherlich darüber Diskutieren.

#2.1.1.1.1 Py am 03.05.2010 15:34 (Antwort)

Nach der Grundinstallation gar nichts (Arch Linux ist da ja zum Glück sehr sparsam!). Und auch nach der Installation von entsprechenden Programmen nichts (gut, auf dem Rootserver ist das anders, weil da ja leider kein Arch Linux läuft, sondern Debian).

Nach der vollständigen Installation sieht es so aus:

PORT STATE SERVICE
22/tcp open ssh
25/tcp open smtp
80/tcp open http
443/tcp open https
465/tcp open smtps
993/tcp open imaps
5222/tcp open unknown
5269/tcp open unknown
5280/tcp open unknown

Due unbekannten Ports kommen von ejabberd.

#3 Dirk am 03.05.2010 15:14 (Antwort)

Hast du mal versucht, Arch Linux auf einem Manitu-Server zu installieren? Ich habe momentan noch einen DS3000 mit Arch laufen, würde aber gerne irgendwann zum "Root-Server M" von Manitu wechseln.

#3.1 krisz am 03.05.2010 16:14 (Antwort)

Ja, aber irgendwas ging da nicht, und da extra Geld für bezahlen, um die Online-Konsole zu bekommen, um den Startvorgang zu beobachten, das wollte ich dann doch nicht

#3.1.1 Dirk am 12.05.2010 15:31 (Antwort)

Verbesserungsvorschlag: SSH auf einem anderen Port als 22... seitdem habe ich da keine Angriffsstürme mehr. Dass die Standardinstallation bei 22 ist, finde ich sinnvoll, das gehört aber zu den ersten Dingen, die ich auf einer neuen Maschine anfasse.

Ich finde es übrigens vollkommen in Ordnung, dass Apache auf Debian nach der Installation startet: Es kann ja nichts schlimmes passieren, die Vorkonfiguration ist ordentlich. Bei kritischeren Dingen, bspw. dhcpd, zwingt mich Debian (oft per Variable in /etc/defaults/irgendwas) zur Konfiguration, bevor irgend etwas am Netz hängt.

#3.2 Debe am 03.05.2010 19:23 (Antwort)

Ein Apache ist genauso ein angreifbarer Dienst wie alles andere.. und wenn er nicht laufen muss (bzw vor einem Update gelaufen ist), soll er auch nicht automatisch gestartet werden.
SSH auf einen anderen Port legen ist auch nur marginal sinnvoll... man erspart sich vielleicht die Log-Eintraege der diversen shell-suchenden Scriptkiddies, aber wenn jemand wirklich reinwill, wird er deinen Port finden.

#3.2.1 Woo am 03.05.2010 21:32 (Antwort)

Wenn Apache nicht laufen soll, dann sollte es entweder nicht installiert sein oder der Start blockiert sein (Bei machen Programmen gibt es in /etc/default/programmname einen Eintrag START=yes, der sich schnell ändern lässt - beim Apache anscheinend nicht). Man kann Startscripts einem runlevel zuordnen - ich weiss allerdings nicht, ob der Updater das beachtet, wenn der Daemon im aktuellen Runlevel nicht gestartet werden soll (den Bedarf hatte ich bisher nicht). Wenn der Daemon zwar installiert ist, aber für einige Zeit nicht laufen soll, bietet es sich ja schon aus grundsätzlichen Erwägungen an, das zu konfigurieren, damit bei einem Server-Neustart, der ja auch mal unerwartet kommen kann, nicht das Chaos ausbricht.

Ganz primitiv, aber wirkungsvoll ist der Eintrag von "exit 0" als zweite Zeile im Apache-Initscript

Bezüglich SSH-Port: So sieht man eben nur die Login-Versuche von denen, die es ernst meinen. Ich habe gerade mal recherchiert: Bei mehreren meiner Server kein einziger echter Angriffsversuch, nur zwei Einträge, als ich mich mal beim Passwort vertippt hatte. Das finde ich beruhigend, aber natürlich ist das Geschmackssache, und als einziger Zugangsschutz zu einem Server auch nicht empfehlenswert. Ich bin ein Gegner von security-by-obscurity, solange das der einzige (ernstzunehmende) Schutz ist.

Gruß
Debe

#3.2.1.1 Debe am 04.05.2010 18:52 (Antwort)

Das ist ja der Punkt, nach der Installation wird er automatisch gestartet.

#3.2.1.1.1 Py am 05.05.2010 11:50 (Antwort)

unter http://utcc.utoronto.ca/~cks/space/blog/linux/PackagingStartupScripts?showcomments gibt es grad eine Diskussion zu dem Thema unter Debian.

Anscheinend hilft es bei Debian die S* links unter /etc/rc?.d/ zu löschen (aber nicht die K* links), um sicher zu stellen, dass diese beim update nicht neu angelegt werden. (update-rc.d erstellt/löscht S und K links und ist anscheinend nicht dazu gedacht von admins/usern benutzt zu werden).

#3.2.1.1.1.1 Jinks am 05.05.2010 18:08 (Antwort)

Ich möchte mich auch gegen Debian aussprechen. Die Package-Maintainer wollen dem Admin zuviel abnehmen (das klappt leider nicht immer) und Upstream wird leider häufig sehr stark verbogen.

Für Leute die ihr System langfristig wirklich selber im Griff haben möchten empfehle ich stets Gentoo

#4 Jens am 11.05.2010 17:32 (Antwort)

Kommentar schreiben

Name
E-Mail
Homepage
Antwort zu
Kommentar	Umschließende Sterne heben ein Wort hervor (wort), per _wort_ kann ein Wort unterstrichen werden. Standard-Text Smilies wie :-) und ;-) werden zu Bildern konvertiert. Die angegebene E-Mail-Adresse wird nicht dargestellt, sondern nur für eventuelle Benachrichtigungen verwendet. Um maschinelle und automatische Übertragung von Spamkommentaren zu verhindern, bitte die Zeichenfolge im dargestellten Bild in der Eingabemaske eintragen. Nur wenn die Zeichenfolge richtig eingegeben wurde, kann der Kommentar angenommen werden. Bitte beachten Sie, dass Ihr Browser Cookies unterstützen muss, um dieses Verfahren anzuwenden. Hier die Zeichenfolge der Spamschutz-Grafik eintragen: BBCode-Formatierung erlaubt
	Daten merken? Bei Aktualisierung dieser Kommentare benachrichtigen