Wie sicher sind die Std.Configs von einem LAMP-Server?

[Iaa_1]

Hey,
wie sicher sind die Standard-Einstellungen bei einem LAMP-Server?

[Asmo]

Was heist bei dir sicher Iaa_1?

Es kompt auf das System und die eingesetzte Software an.
Danach richtet sich meineserachtens die Sicherheit eines solchen Systems
und natürlich dem Wissen das man selber hat!

[Iaa_1]

Sicher ist bei mir, dass niemand einfach so z.B. Root-Rechte erhält, Dateien down- und uploaden kann, die Datenbank einsehen kann, oder andere Dateien außerhalb dem /www/ Ordner.

System:
Debian Lenny
LAMP (Linux Apache2 Mysql5 Php5)
SSH geschützt
Und das Skript darauf wäre ein Forum (sollte keine Lücken aufweisen - also das Forenskript an sich)

[J0hn.X3r]

Wieso hauste auf Linux ueberhaupt nen Lamp server, wenn du apache, php & mysql auch direkt installieren kannst?

[moppelito]

So löchrig wie ein schweizer Käse, kaum etwas ist passwort geschützt, kannst leicht zugreifen usw...!

[Asmo]

hmm ich kanns dir absichern oder du befolgst einfach folgendes:

ERSTMAL KOMPT DER DRECK RUNTER UND WÜRD VON HAND GESCHEIT INSTALLIERT!

Aber hir nen algemeiner leidfaden den du ev dir mal ankucken kanst is nit perfeckt aber
mir gerad so aus der hand entwichen.

SSH:
.- SSH Port Verschieben auf was möglichst hohes!
.- SSH Nur via Cert Auth usen
.- Root login deaktivieren via SSH
.- host.allow und host.denny usen
.- PortNoking Usen für den SSH Port
.- PAM etc richtich configen
.- Logrotation etc richtich setzen *Bei eventuellen Angriffen aber eher unwahrscheinlich drotzdm kann es nicht schaden

MySQL:
.- MySQL In ne Jail Setzen
.- MySQL nur Local lauschen lassen
.- Sicherres Root PW für SQL wählen
.- GreenSQL als SQL-Firewall einsetzen (Optionel wenn man sich durch die Doku lesen will etc

Apache or Alg. Webserver:
.- In ner Jail Laufen lassen
.- Webserver user von www-data auf nen anderen ändern
.- Webserver user login verbieten durch /bin/nologin oder /bin/false bsp
.- Webserver zum Schweigen bringen *Bsp Apache xyz durch HTPP Ersetzen geht aber nur durch anpassungen im QuellCode zu 100%!

FTP:
.- Auf FTP verzichten und auf SCP / sFTP setzen! Is am sichersten soweit wenn man den Server alleine used bsp aber auch bei mehreren Usern aufem Server bsp Webspace vermietung kann es sin machen!

PHP:
.- PHP.ini Absichern gegen gängige sachen wie LFI / RFI etc
.- PHP Error MessageAusgabe Deaktivieren
.- suhosin einsetzen und kritische funktionen wie bsp system() deaktiveren etc
.- fcgi benutzen und php prozess mit nem eigennen startscript starten somit hat dein forum nen anderen user als der webserver macht vorallem sin bei mehreren usern aber auch bei nem Einzellenen User einfach um die Sicherheit des Servers noch zu verbessern!
.- Configs etc mit richtigen rechten versehen und nit sowas alla chmod 777
.- gibt noch mehr möglichkeiten aber die sind mal so grob!

Spizell Apache:
.- ModSecurty einrichten und richtich Configen (Software Basierrende Firewall für Apache)
.- ModEvensiv Installieren und mit Fail2ban Koppeln bsp bei nem http flood nen iptables bassierendes aussperren der floodenden ip

Packetfilter:
.- Nicht standarisierte Packete ignorieren bez verwärfen
.- Alle nicht benötigten Ports Closen
.- Wende magst Rückmeldung bei nem Ping verhindern (ICMP Einschränken)
.- Asien etc bekante Netze von dennen Autonome Angriffe ausgehen sperren.
.- Traffic Controll
.- etc


DDoS Entgegenwirken:
.- DDoS-Deflate installiern und bsp nach max. 15 kleichzeitigen Connectens ip sperren.

.- sysctl settings anpassen


System Selber:
.- Updates sehr penibel pflegen
.- BufferOverFlow Protectens verwänden
.- Kernel Härten
.- möglichst auf Webbassierrrende Admintools verzichten
.- Systemkritische Anwendungen in Jails bedreiben
.- den zugriff auf perl / python / gcc / wget etc verhindern von usern die nicht root sind bez uid 0 haben
.- Chrootkit Scanner Installieren und regelmässich scannen lassen
.- ev ClamAV Installieren bez überhaupt AV und files checken
.- prüfsummen von Systemfiles Anlegen und diese dan regelmässich verkleichen,
bei manipulation ne mail raussenden
.- Unnötige Dienste Deaktivieren

So das is jetzt mal ausem stehgreif es gibt bestimpt noch 1000 weitere möglichkeiten aber das solte aufjedenfall schonmal nen anfang sein.

[Iaa_1]

Das ist eine Antwort wie aus dem Bilderbuch...
Danke Asmo, dann weiß ich ja nun was vor mir liegt.

[Asmo]

Wie gesargt nur ein bruchteil von dem möglichen!