Skip navigation

Category Archives: linux

so schritt 1 steht an, ein frischer debian server ist aufgesetzt.
zuerst sicherheitshalber alles auf den neusten stand bringen:

apt-get update
apt-get upgrade

weil es ja gerade eher groessere probleme mit unsicheren ssh keys gegeben hat sollte man – falls das noch nicht automatisch passiert die – zumindest bei mir ausgelassenen pakete fuer openssh installieren:

apt-get install openssh-client openssh-server

weiter geht’s jetzt muessen wir erstmal iptables dicht bekommen
mit iptables-save > ipt.config kann man sich die derzeitige konfiguration in eine datei ausgeben lassen. diese koennt ihr mit dem editor eurer wahl oeffnen.
im block *filter sollte man dann ein paar regeln ergaenzen:

#default chains
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
#akzeptiert input auf dem virtuellen loopback device
-A INPUT -i lo -j ACCEPT
#erlaubt pings. ich mag pings, wenn euch das stoert, koennt ihr die zeile weglassen
-A INPUT -p icmp –icmp-type any -j ACCEPT
#sorgt dafuer, dass antworten auf ausgehende anfragen durchkommen
#ansonsten geht z.b. kein wget oder apt-get mehr…
-A INPUT -m state –state ESTABLISHED,RELATED -j ACCEPT
#erlaubt kommunikation of port 22 – dem default SSH port
-A INPUT -m state –state NEW -m tcp -p tcp –dport 22 -j ACCEPT
#alles andere wird abgelehnt
-A INPUT -j REJECT –reject-with icmp-host-prohibited

mit iptables-restore < ipt.config kann man dann die regeln einspielen.

man will ja nicht immer als root arbeiten – also mit

adduser USERNAME

einen user hinzufuegen, ausser dem passwort muesst ihr nix angeben, wenn ihr der einzige user
auf dem system seid koennt ihr euch ja vielleicht den namen noch merken 🙂

bei der gelegenheit kann man vielleicht auch mal das vom provider gesetzte root-passwort mit passwd aendern.

jetzt noch schnell ssh dicht machen in /etc/ssh/sshd_config sollte man ein paar sachen aendern bzw ergaenzen:

Port 22

der default port fuer ssh ist 22. wenn man sein system fuer aussenstehende etwas verwirrender machen moechte kannn man diesen aendern. bevor ihr den sshd neustartet solltet ihr dann allerdings eine weitere zeile mit dem neuen port analog zur bisherigen zeile fuer port 22 in iptables hinzufuegen, sonst sperrt ihr euch aus. wenn ihr euch nach gelugenem neustart einloggen koennt solltet ihr die port-22 regel aus iptables entfernen.

die anderen sachen sind etwas uebersichtlicher:

[…]
#es gibt keinen grund, warum sich root direkt einloggen sollte
#wenn man sich als user angelegt hat kann man ja su benutzen…
PermitRootLogin no
[…]
#nur die user in der folgenden liste duerfen sich einloggen.
#reduziert die chance, das irgendwer ueber generische oder geratene usernamen
#ins system kommt
AllowUsers USERNAMEN_MIT_LEERZEICHEN_GETRENNT

Jetzt noch schnell per /etc/init.d/ssh restart den ssh daemon neustarten und das system ist schonmal recht dicht

demnaechst mehr…

ich habe mir vor kurzem einen vSever zugelegt. leider musste ich feststellen, dass es zwar viele Hinweise gibt, aber vieles eher unuebersichtlich ist 🙂

damit ich – und vielleicht auch andere – da etwas system reinbekommen werde ich versuche mal zu posten, was ich mache um den server dicht zu bekommen – und dann dazu das zu tun, was ich gerne von ihm moechte…

Los geht’s – einer kleiner vServer unter Debian 4.0 auf einem openvz-virtualisierungsserver ist was ich hab. ziel fuer mich:
– ein openvpn server mit verschluesselung, damit ich, wenn ich mich z.B. auf reise ueber unverschluesseltes wlan verbinden muss eine gewisse absicherung habe
– ein https server mit einem eigenen webmail interface
– ein imap mailserver inkl eigener domain
– ein server, evtl ldap basiert, mit dem ich meine kontakt und termine zwischen verschiedenen clients synchronisieren kann… mal schauen, was mit sonst noch einfaellt – wenn ihr noch gute ideen habt – schreibt was 🙂