Nieuws:

Welkom, Gast. Alsjeblieft inloggen of registreren.
Heb je de activerings-mail niet ontvangen?

Auteur Topic: security voor publieke ubuntu server met fixed ip  (gelezen 1601 keer)

faithnomore79

  • Gast
security voor publieke ubuntu server met fixed ip
« Gepost op: 2011/02/03, 13:48:25 »
Hallo,

Wij hebben dit binnekort nodig, maar ik ben geen security expert. Ik heb een aantal vraagjes.

  • Is het veilig genoeg om gewoon rechtstreeks van buiten af met SSH te verbinden ? of hebben we iets extra nodig
  • bestaat er ergens een guide om het ding dicht te timmeren?
  • Ik zou vooral slechts zeer specifieke urls & poorten willen openzetten en dan liefst nog enkel voor bepaalde originating ips

Offline Ward De Ridder

  • Lid
    • http://leerubuntu.org
  • Steunpunt: Nee
Re: security voor publieke ubuntu server met fixed ip
« Reactie #1 Gepost op: 2011/02/03, 20:21:18 »
Dichttimmeren dat kan met iptables, het is de moeite waard om daar wat meer informatie over op te zoeken.
De manual bevat veel informatie(man iptables in de commandline). Misschien zijn er goede tutorials ook over.
Als je tot de server geen fysieke toegang hebt oefen dit dan eerst lokaal, anders kan je jezelf buitensluiten van je server.

In principe is SSH redelijk veilig, er kan niemand meelezen want die verbinding die je opzet is versleuteld. Uiteraard moet je toegangswachtwoord wel goed (lang met speciale tekens) genoeg zijn, anders kunnen ze het nog altijd via brute force achterhalen.
http://leerubuntu.org (ubuntu zonder moeilijke woorden)
VoidWarranties (Hackerspace) Antwerpen
Microsoft isn't evil, they just make really crappy operating systems. - Linus Torvalds

Offline Buzzin

  • Lid
  • Steunpunt: Nee
Re: security voor publieke ubuntu server met fixed ip
« Reactie #2 Gepost op: 2011/02/04, 10:59:33 »
Iets heel simpels om te doen met ssh is het poortnummer veranderen.
Hierdoor zal een simpele sniffer hem niet vinden, en standaard aanvallen komen ook bedrogen uit....scheelt al een hoop.
Je kunt ook autoban ofzo gebruiken, als er te veel verkeerde pogingen van een ip adres komen blokkeert hij die tijdelijk (of permanent)
Football: A battle between two teams of mindless thugs over scraps of coloured cloth. Usually accompanied by the spectacle of 22 overpaid primadonnas kicking a ball on a field.
DebianDevuan, KDE & OperaVivaldi addict, RedHat Engineer

Offline Soul-Sing

  • Lid
  • Steunpunt: Nee
Re: security voor publieke ubuntu server met fixed ip
« Reactie #3 Gepost op: 2011/02/04, 17:17:34 »
ik zou geen wachtwoorden gebruiken. Maar keys.
Er is heel veel informatie, ook in de Nederl. documentatie over server(beveiliging)
"autoban" is denk ik failtoban/fail2ban. Niet slecht om dat goed op te zetten.
« Laatst bewerkt op: 2011/02/04, 17:19:08 door leoquant »

Offline Buzzin

  • Lid
  • Steunpunt: Nee
Re: security voor publieke ubuntu server met fixed ip
« Reactie #4 Gepost op: 2011/02/07, 10:11:36 »
Nadeel van keys blijft dat iemand die snel achter jouw pc kruipt ineens overal toegang toe heeft.
Ik laat meestal beide toe, en pin de keys aan een specifiek ipadres.
Football: A battle between two teams of mindless thugs over scraps of coloured cloth. Usually accompanied by the spectacle of 22 overpaid primadonnas kicking a ball on a field.
DebianDevuan, KDE & OperaVivaldi addict, RedHat Engineer

Offline Johan van Dijk

  • Administrator
    • johanvandijk
  • Steunpunt: Nee
Re: security voor publieke ubuntu server met fixed ip
« Reactie #5 Gepost op: 2011/02/07, 12:47:28 »
Een key met een wachtwoord erop kan dat ook weer oplossen :)
Verder gewoon altijd je computer locken (control-alt-L) als je even weg bent.

Offline hansw2

  • Lid
    • Zomaar maar dan anders
  • Steunpunt: Nee
Re: security voor publieke ubuntu server met fixed ip
« Reactie #6 Gepost op: 2011/02/16, 22:41:40 »
Over keys is al gesproken. Daarnaast zou je kunnen overwegen om geen root toegang te geven aan mensen die via ssh naar binnen komen. Dit is mogelijk door alleen toegang tot bepaalde accounts te configureren in de sshd config.

http://kerneltrap.org/mailarchive/openbsd-misc/2007/3/26/146910

AllowUsers vul je in met een aantal users die het mogen. Daarnaast zijn er nog legio zaken te bedenken zoals:

Draai geen ongepatchte software zoals phpmyadmin en joomla aan de buitenkant. Zeker die eerste is goed te beveiligen via bijvoorbeeld een htaccess.

Succes,

Hans

Offline Buzzin

  • Lid
  • Steunpunt: Nee
Re: security voor publieke ubuntu server met fixed ip
« Reactie #7 Gepost op: 2011/02/17, 09:56:30 »
Root geen toegang geven is makkelijk: in sshd.conf even PermitRootLogin op No zetten :) (En wel zo verstandig)
Football: A battle between two teams of mindless thugs over scraps of coloured cloth. Usually accompanied by the spectacle of 22 overpaid primadonnas kicking a ball on a field.
DebianDevuan, KDE & OperaVivaldi addict, RedHat Engineer

Offline rja

  • Lid
  • Steunpunt: Nee
Re: security voor publieke ubuntu server met fixed ip
« Reactie #8 Gepost op: 2011/02/17, 10:16:59 »
Root geen toegang geven is makkelijk: in sshd.conf even PermitRootLogin op No zetten :) (En wel zo verstandig)
Lijkt me zeer verstandig.

Ik heb een server bij een provider gehad, in de logs kwam voordurend inlog pogingen voor root langs, maar dat was onmogelijk omdat root niet kon inloggen.


Offline hansw2

  • Lid
    • Zomaar maar dan anders
  • Steunpunt: Nee
Re: security voor publieke ubuntu server met fixed ip
« Reactie #9 Gepost op: 2011/02/17, 19:28:35 »
Root geen toegang geven is makkelijk: in sshd.conf even PermitRootLogin op No zetten :) (En wel zo verstandig)

Het is nog beter om alleen bepaalde users toegang te geven, het liefst niemand met de naam Pietje, Jantje of de Engelstalige varianten er van. Zo loop je iig al veel minder risiko op dictionary attacks (als je simpele wachtwoorden gebruikt).

Offline Johan van Dijk

  • Administrator
    • johanvandijk
  • Steunpunt: Nee
Re: security voor publieke ubuntu server met fixed ip
« Reactie #10 Gepost op: 2011/02/17, 19:31:39 »
Je kan ook nog hulpprogramma's als fail2ban of denyhosts gebruiken, zodat IP's die meerdere keren proberen in te loggen geblokkeerd worden.
Dat in combinatie met een "rate limit" instelling op de SSH poort in de firewall maakt het brute-forcen van wachtwoorden bijna onmogelijk.