Nieuws:

Welkom, Gast. Alsjeblieft inloggen of registreren.
Heb je de activerings-mail niet ontvangen?

Auteur Topic: server onderhouden en bijhouden  (gelezen 2076 keer)

Offline evarie

  • Lid
  • Steunpunt: Nee
server onderhouden en bijhouden
« Gepost op: 2011/01/27, 22:53:36 »
Omdat mijn server een aantal poorten open heeft staan, moet ik mijn server beveiliging. Maar ik weet niet hoe je de firewall moet instellen. Bij open poorten doet de router met firewall natuurlijk niks, of niet soms? Dus ik wil graag mijn firewall zo instellen dat alleen Nederland wordt ondersteund, omdat ik mijn server voor lamp doelen gebruik.

Heeft iemand ervaring met apparmor? Want ik heb niet de kracht omdat te bestuderen. En wat betreft knockd, vind ik dit geen goed plan om te gebruiken omdat als telnet misschien af te luisteren is. En dan kan men toch nog de poorten open zetten met knockd.

Mijn server heb ik beveiligd met een lang passwd en veel verschillende karakters. Is dat voldoende om de sshd te beveiligen?

Programmeren is niet mijn vak. Mensen vanaf het internet vinden mij daar ook geen type voor. Toch wil ik graag weten hoe je apt-get het beste kan automatiseren voor het bij houden
van de updates en upgrades. Beter een goed script van jullie dan een slechte script gevonden met google. Jouw hulp mijn dank is groot!


Offline Johan van Dijk

  • Administrator
    • johanvandijk
  • Steunpunt: Nee
Re: server onderhouden en bijhouden
« Reactie #1 Gepost op: 2011/01/27, 23:39:45 »
In principe moet je zelf helemaal geen script maken die dat doet, aangezien de makers van Ubuntu al zoiets gemaakt hebben :)
Je zal de mogelijkheid alleen even aan moeten zetten:
https://help.ubuntu.com/community/AutomaticSecurityUpdates

Maar met alleen de veiligheidsupdates ben je er nog niet. Je zal hoe dan ook moeten leren wat er op je systeem draait en hoe je dat veilig houdt. Je zult je dus ook in moeten lezen over hoe een firewall werkt en hoe je hem moet gebruiken. Met alleen wat hulpmiddelen en "1x iets instellen en het daarna vergeten" kom je er niet, je moet je er mee bezig blijven houden.

Offline karlhungus

  • Lid
  • Steunpunt: Nee
Re: server onderhouden en bijhouden
« Reactie #2 Gepost op: 2011/01/28, 09:00:51 »
Inderdaad. De handson server beheer taken blijf je wel houden.

ubuntu firewall is wel een mooi om mee te beginnen als firewall op een ubuntu server. Verder vind ik zelf fail2ban een mooie tool. Zo houdt je de Brute force passwd crackers buiten de deur. En de w00tw00t scripts dat soort zaken. Ik ben zelf een groot voorstander van SSH poort dichtlaten en alleen openzetten voor je eigen IP(s). En/of public key authenticatie aanzetten.  Nadeel daarvan is natuurlijk wel dat als je ergens anders bent dan je vaste werkplekken je niet bij je server kan. Wel veilig in iedergeval lol. 

Daarbij gebruik ik ook logwatch. Die stuurt me iedere maandag een overzicht van alle servers zo kan ik in 1 oogopslag zien of er gekke dingen zijn gebeurd. Maar buiten alles is het gewoon goed om je te verdiepen in welke services er op je server draaien welke poorten die gebruiken. Overzicht hebben en houden is wat mij betreft altijd het belangrijkst om de beveiliging op peil te houden.

Updaten doe ik in productie omgevingen in iedergeval nogsteeds (semi) met de hand. Die automatic updates zou ik alleen aan beginnen als je echt alles uit de repositorys van ubuntu installeerd anders kan het nog wel is nare gevolgen hebben. Dan sta je om 3 am in het cafe en gaat de heleboel plat na een automatisch update, maar dat is misschien een persoonlijke frustratie.:P

Offline evarie

  • Lid
  • Steunpunt: Nee
Re: server onderhouden en bijhouden
« Reactie #3 Gepost op: 2011/01/31, 03:29:32 »
In principe moet je zelf helemaal geen script maken die dat doet, aangezien de makers van Ubuntu al zoiets gemaakt hebben :)
Je zal de mogelijkheid alleen even aan moeten zetten:
https://help.ubuntu.com/community/AutomaticSecurityUpdates

Maar met alleen de veiligheidsupdates ben je er nog niet. Je zal hoe dan ook moeten leren wat er op je systeem draait en hoe je dat veilig houdt. Je zult je dus ook in moeten lezen over hoe een firewall werkt en hoe je hem moet gebruiken. Met alleen wat hulpmiddelen en "1x iets instellen en het daarna vergeten" kom je er niet, je moet je er mee bezig blijven houden.

De firewall in ubuntu stelt niks voor. Je kan er ip nummers toestaan en ip nummers blokkeren. Maar daar heb je zo weinig aan als je geen lijsten kan vinden voor de firewall in ubuntu.

Offline Johan van Dijk

  • Administrator
    • johanvandijk
  • Steunpunt: Nee
Re: server onderhouden en bijhouden
« Reactie #4 Gepost op: 2011/01/31, 17:04:03 »
Wat bedoel je precies?
Je kan met de firewall van Ubuntu echt van alles blokkeren of juist toestaan, niet alleen IP adressen. Dat zou het nogal onbruikbaar maken.

En waarom zou je een lijst van IP adressen willen hebben? Wil je iedereen van provider X of land Y blokkeren?
Kan je dat niet beter op poortnummer regelen?

Kortom: stel eens een concrete vraag over wat je precies wil. Met zo'n onduidelijke beschuldiging of klacht kunnen we niets. Dan zal je ook vast wel zien dat iptables niet zo slecht is als je nu denkt.

Offline evarie

  • Lid
  • Steunpunt: Nee
Re: server onderhouden en bijhouden
« Reactie #5 Gepost op: 2011/01/31, 21:06:30 »
Beschuldigen is een woord dat je niet hoeft te gebruiken. Want daar doe ik niet aan. Het doel van het forum is duidelijk en daar houd ik me aan.

Natuurlijk wil ik duidelijk zijn. Maar het lukt me niet altijd om boekentaal te gebruiken.

Het gaat nu niet meer om de werking van een firewall. Maar het gaat er nu om dat ik geen ict-ers uit azie of amerika op mijn server wil hebben. Dus dan wil ik dat instellen op mijn firewall in ubuntu server 10.04.
Wat heb ik dan nodig? Heb ik dan een lijst nodig van ip nummers die in bijvoobeeld kazagstan gebruikt worden om deze te blokkeren? Of kan ik beter een paar ip adressen toestaan vanwaar uit ik op mijn server wil?

Hoezo kan ik dat op poort niveua regelen?  -want dat snap ik niet zo goed.

Geef me maar een paar zoekwoorden. Dan zal ik zelf eens gaan zoeken. Dat is voor ons bijde het prettigste, denk ik...
« Laatst bewerkt op: 2011/01/31, 21:23:26 door evarie »

Offline Johan van Dijk

  • Administrator
    • johanvandijk
  • Steunpunt: Nee
Re: server onderhouden en bijhouden
« Reactie #6 Gepost op: 2011/02/01, 00:10:13 »
Wat ik bedoel is dat je zegt dat de firewall niks voorstelt, terwijl je nog niet de helft van alle mogelijkheden kent.
Begin eens op onze wiki: http://wiki.ubuntu-nl.org/community/UbuntuFirewall en bekijk ook eens de andere links die onderaan die pagina staan.

Offline Rachid

  • Vertaalteam
    • rachidbm
    • Mijn blog
  • Steunpunt: Nee
Re: server onderhouden en bijhouden
« Reactie #7 Gepost op: 2011/02/01, 00:20:31 »
Heb ik dan een lijst nodig van ip nummers die in bijvoobeeld kazagstan gebruikt worden om deze te blokkeren? Of kan ik beter een paar ip adressen toestaan vanwaar uit ik op mijn server wil?
In het algemeen kun je beter white-listen dan black-listen.
black-list = bepaalde IP's blokkeren.
white-list = alleen bepaalde IP's toestaan.

Ik weet het zelf niet precies, maar mijn eerste google-poging is deze: http://www.google.com/search?q=ubuntu+firewall+allow+ip+range
De eerste hit (ubuntuforums geeft wat hints).


Ben je ook blij dat Ubuntu zo toegankelijk en gratis is, en wil je graag net als ik iets terugdoen, kijk dan eens rond bij mwanzo, dé poort naar het bijdragen aan Ubuntu en haar gemeenschap!

Offline evarie

  • Lid
  • Steunpunt: Nee
Re: server onderhouden en bijhouden
« Reactie #8 Gepost op: 2011/02/01, 13:12:37 »
Ik weet inderdaad nog niet veel over de firwall in ubuntu. Dus ik heb nog al wat te doen. Bedankt voor de tips.