security voor publieke ubuntu server met fixed ip

[faithnomore79]

Hallo,

Wij hebben dit binnekort nodig, maar ik ben geen security expert. Ik heb een aantal vraagjes.

• Is het veilig genoeg om gewoon rechtstreeks van buiten af met SSH te verbinden ? of hebben we iets extra nodig
• bestaat er ergens een guide om het ding dicht te timmeren?
• Ik zou vooral slechts zeer specifieke urls & poorten willen openzetten en dan liefst nog enkel voor bepaalde originating ips

[Ward De Ridder]

Dichttimmeren dat kan met iptables, het is de moeite waard om daar wat meer informatie over op te zoeken.
De manual bevat veel informatie(man iptables in de commandline). Misschien zijn er goede tutorials ook over.
Als je tot de server geen fysieke toegang hebt oefen dit dan eerst lokaal, anders kan je jezelf buitensluiten van je server.

In principe is SSH redelijk veilig, er kan niemand meelezen want die verbinding die je opzet is versleuteld. Uiteraard moet je toegangswachtwoord wel goed (lang met speciale tekens) genoeg zijn, anders kunnen ze het nog altijd via brute force achterhalen.

[Soul-Sing]

ik zou geen wachtwoorden gebruiken. Maar keys.
Er is heel veel informatie, ook in de Nederl. documentatie over server(beveiliging)
"autoban" is denk ik failtoban/fail2ban. Niet slecht om dat goed op te zetten.

[Johan van Dijk]

Een key met een wachtwoord erop kan dat ook weer oplossen
Verder gewoon altijd je computer locken (control-alt-L) als je even weg bent.

[hansw2]

Over keys is al gesproken. Daarnaast zou je kunnen overwegen om geen root toegang te geven aan mensen die via ssh naar binnen komen. Dit is mogelijk door alleen toegang tot bepaalde accounts te configureren in de sshd config.

http://kerneltrap.org/mailarchive/openbsd-misc/2007/3/26/146910

AllowUsers vul je in met een aantal users die het mogen. Daarnaast zijn er nog legio zaken te bedenken zoals:

Draai geen ongepatchte software zoals phpmyadmin en joomla aan de buitenkant. Zeker die eerste is goed te beveiligen via bijvoorbeeld een htaccess.

Succes,

Hans

[rja]

Root geen toegang geven is makkelijk: in sshd.conf even PermitRootLogin op No zetten (En wel zo verstandig)

Lijkt me zeer verstandig.

Ik heb een server bij een provider gehad, in de logs kwam voordurend inlog pogingen voor root langs, maar dat was onmogelijk omdat root niet kon inloggen.

[hansw2]

Root geen toegang geven is makkelijk: in sshd.conf even PermitRootLogin op No zetten (En wel zo verstandig)

Het is nog beter om alleen bepaalde users toegang te geven, het liefst niemand met de naam Pietje, Jantje of de Engelstalige varianten er van. Zo loop je iig al veel minder risiko op dictionary attacks (als je simpele wachtwoorden gebruikt).

[Johan van Dijk]

Je kan ook nog hulpprogramma's als fail2ban of denyhosts gebruiken, zodat IP's die meerdere keren proberen in te loggen geblokkeerd worden.
Dat in combinatie met een "rate limit" instelling op de SSH poort in de firewall maakt het brute-forcen van wachtwoorden bijna onmogelijk.