Montag, 3. Mai 2010, 11:55
Nichts anderes als SSH offen
Von einem Root-Server-Neukunden:
prima, im Auslieferungszustand nichts anderes als SSH offen, so soll es sein!Ich frage mich gerade, was "andere" so an Diensten nach einer Installation offen haben?
Kommentare
Ansicht der Kommentare: Linear | Verschachtelt
Adrian
Jinks
Wär ja auch zu viel verlangt, dass ich meine Dienste erstmal konfigurieren kann, bevor die auf einer public IP auf allen interfaces gestartet werden. :-/
Adrian
Startet Debian nicht sogar Dienste nach einem Update automatisch neu obwohl man evtl etwas in der Config ändern sollte (benutze schon lange kein Debian mehr, also keine Ahnung ob das noch so ist)?
Py
Igor
Grundsätzlich gilt:
Ein Paket sollte sichere Grundeinstellungen mitbringen. Anders gesagt: Wenn die Anwendung startet, sollte sie das System nicht gefährden. Genau das ist bspw. bei einer Apache-Paketinstallation der Fall: Sie gefährdet das System *nicht*.
Dann muss man auch wissen, dass kritische Anwendungen bspw. mit einem eingebauten Stopper in der Konfiguration daher kommen. Erst wenn der Anwender diesen Stopper manuell aus der Konfiguration entfernt hat, startet die Anwendung.
Auch sollte man wissen, dass sehr viele Pakete debconf triggern. D.h. die Installation bittet den Anwender gleich den Dienst zu konfigurieren.
@ Adrian & Py:
Habt ihr wirklich Ahnung von Debian, oder habt ihr Debian irgendwann einmal "nur benutzt"? Wer eine stabile Debian-Version nutzt, wird nie nach einem Update irgendein Paket neu konfigurieren müssen. Gerade deswegen fließen lediglich Fehlerkorrekturen in den Stable-Zweig ein.
Diese Politik führte u.a. dazu, dass ClamAV zu etch-Zeiten Millionen von Debian-Rechnern lahm gelegt hat, OT:
Der ClamAV Hersteller hatte die Update-Routine geändert und die Nutzer aufgefordert zu aktualisieren. Hierzu gewährte man eine Frist.
Die Debian Paketpolitik lies dieses Update aber nicht nicht in die damalige Stable-Version einfließen, da eben nicht nur Fehler korrigiert wurden. Irgendwann war die Frist Seitens ClamAV dann abgelaufen und man verteilte das "Todes-Signatur-Update". Das führte dazu, dass ClamAV auf den Debian-Kisten die CPU gefressen hat. Letzteres hätte übrigens nicht passieren sollen.
In der Folge lief dann aber für knapp 1.5j ClamAV nicht Out-of-the-Box auf einem stabilen Debian, weil die Version nicht mehr mit den ClamAV-Servern kommunizieren konnte
Also bitte:
Wenn Kritik, dann bitte inhaltlich bitte auch korrekt. Wer also behauptet, dass von einem Debian Paket-Update in irgendeiner Form Gefahr ausgeht, sei es, weil man Dienste neu konfigurieren müsste ect., zeigt pures Unwissen.
Py
Aber das ist meine Meinung und man kann sicherlich darüber Diskutieren.
Dirk
Nach der vollständigen Installation sieht es so aus:
PORT STATE SERVICE
22/tcp open ssh
25/tcp open smtp
80/tcp open http
443/tcp open https
465/tcp open smtps
993/tcp open imaps
5222/tcp open unknown
5269/tcp open unknown
5280/tcp open unknown
Due unbekannten Ports kommen von ejabberd.
krisz
Dirk
Debe
Ich finde es übrigens vollkommen in Ordnung, dass Apache auf Debian nach der Installation startet: Es kann ja nichts schlimmes passieren, die Vorkonfiguration ist ordentlich. Bei kritischeren Dingen, bspw. dhcpd, zwingt mich Debian (oft per Variable in /etc/defaults/irgendwas) zur Konfiguration, bevor irgend etwas am Netz hängt.
Woo
SSH auf einen anderen Port legen ist auch nur marginal sinnvoll... man erspart sich vielleicht die Log-Eintraege der diversen shell-suchenden Scriptkiddies, aber wenn jemand wirklich reinwill, wird er deinen Port finden.
Debe
Ganz primitiv, aber wirkungsvoll ist der Eintrag von "exit 0" als zweite Zeile im Apache-Initscript
Bezüglich SSH-Port: So sieht man eben nur die Login-Versuche von denen, die es ernst meinen. Ich habe gerade mal recherchiert: Bei mehreren meiner Server kein einziger echter Angriffsversuch, nur zwei Einträge, als ich mich mal beim Passwort vertippt hatte. Das finde ich beruhigend, aber natürlich ist das Geschmackssache, und als einziger Zugangsschutz zu einem Server auch nicht empfehlenswert. Ich bin ein Gegner von security-by-obscurity, solange das der einzige (ernstzunehmende) Schutz ist.
Gruß
Debe
Py
Jinks
Anscheinend hilft es bei Debian die S* links unter /etc/rc?.d/ zu löschen (aber nicht die K* links), um sicher zu stellen, dass diese beim update nicht neu angelegt werden. (update-rc.d erstellt/löscht S und K links und ist anscheinend nicht dazu gedacht von admins/usern benutzt zu werden).
Jens
Für Leute die ihr System langfristig wirklich selber im Griff haben möchten empfehle ich stets Gentoo