Ubuntu 12.04 server LAMP

[AJenbo]

Du skal bare trykke på V ud for det indlæg du mener løste problemet.

Hvis du har problemer med en installation kan du fjerne programmet med apt-get purge <pakke>, så vil konfigurationerne også blive fjernet sammen med programet og næste installation vil være ren.

[DICKHILL]

Jeg har selv haft rigtig dårlige oplevelser med webmin og så er det synd at sige det er pænt. Der skulle også være problemer med sikkerheden i Webmin som er grunden til at Debian/Ubuntu ikke har valgt at inkludere det i deres software arkiv. Så jeg vil nok forslå at se på noget som zentyal som kan installeres direkte fra Ubuntu.

Jeg faldt tilfældigvis over dette link og kom i tanke om at vi tidligere havde haft 'Webmin' og dets sikkerhed på tale
http://www.insecuresystem.org/2010/03/securing-webmin.html

Det begrænser selvfølgelig adgangen, men spørgsmålet er så bare om det er "godt nok" ?

[zob]

For resten vil jeg stærkt anbefale at man sætter fail2ban op hvis man har adgang udefra via ssh:
https://help.ubuntu.com/community/Fail2ban

For os blokerer fail2ban i gennemsnit 6-7 ip-adresser om dagen (oftest efter de har forsøgt at logge ind gennem ssh som root) på vores ikke særligt eksponerede hjemmeside.

[DICKHILL]

"Pudsigt" at du nævner det.. Jeg sad nemlig så sent som igår aftes og kiggede på det.. Hehe..
Netop grundet flere login forsøg som jeg oplevede på min server for et par år tilbage..
Pt. har jeg dog kun ændret SSH porten..

Jeg tænker også IP-bestemt adgang til ens webinterfaces, hvis man selvfølgelig ikke sidder på mange forskellige..
Ellers... Hvor sikker er htaccess egentlig?

Jeg skal alligevel selv have noget proxy eller VPN kørende, så kunne jo godt blokere alt andet end LAN IP'er?
(Tilegnet adgang fra min laptop, når jeg er ude... Eller fra min mobil..)


Men hvor vigtigt er det egentlig med noget firewall, når ens server alligevel står bag en router der forhåbentlig skulle blokere de porte der ikke er åbnet?

Og hvad er der ellers af gode muligheder for at gøre serveren endnu mere sikker?
... Uden at skulle hive netkablet ud! (o:

[AJenbo]

Firewall er godt at have på det interne netværk hvis en af de andre maskiner på netværket skulle blive hacket så angrebet ikke spreder sig.

En anden ting der kan gøres ssh mere sikker er kun at tillade folk med ssh-nøgle at logge ind. Det kræver man har sin nøgle på den maskine man vil logge ind fra, men tilgengæld skal man ikke skrive en adgangskode.

[DICKHILL]

Ohh, sådan har jeg selvfølgelig ikke lige tænkt på det..
Men er de virkelig så "åbne" på LAN?

Det eneste jeg kender til, er Samba, som jo bare er til at den kan genkendes på Windows-netværk.
Men der kræver de jo normalt login..
Jeg ændrer min smb.conf hver gang, så den er mindre og så sættes "security = user"..


Kun at tillade forudlavet SSH-nøgler, er da helt klart noget jeg tager til mig!
For den kan jo så ligge på ens telefon eller USB-nøgle, som så lige må tilsluttes PC'en man vil connecte fra..
Er det bare at følge denne, eller ligger der mere i det?
https://help.ubuntu.com/community/SSH/OpenSSH/Keys

[AJenbo]

som standart er der ikke åbnet for flere porte end der bliver brugt på ubuntu så måske ikke så nødvendigt.

Ja den guide burde kunne gøre det.

[DICKHILL]

Fail2ban er smidt på, men det er mere til gene end til gavn... :P
Det er kun mig selv der bliver banned.. Haha..

Så hvordan kunne et godt setup se ud?
Egentlig er det kun 'apache-noscript' jeg ikke kan enes med, da jeg bliver banned bare ved at logge ind på Squirrelmail..
Bare når den "idler" efter login, så får jeg mail om IP er banned..
Har forsøgt med 1, 3 og 6 i retry...

Måske den bare skal deaktiveres?


Mit setup pt.:

Kode: Vælg alt

[DEFAULT]
# "ignoreip" can be an IP address, a CIDR mask or a DNS host
ignoreip = 127.0.0.1/8 XXX.XXX.XXX.XXX XXX.XXX.XXX.XXX (Selvfølgelig skjult)
bantime  = 600
maxretry = 3

[ssh]
enabled  = true
port     = ssh
filter   = sshd
logpath  = /var/log/auth.log
maxretry = 2 #6
### Ændres nok senere, da jeg alligevel skal køre med keys, som vi tidligere skrev om..

[ssh-ddos]
enabled = true #false
port     = ssh
filter   = sshd-ddos
logpath  = /var/log/auth.log
maxretry = 3 #6

[apache]
enabled  = true #false
port     = http,https
filter   = apache-auth
logpath  = /var/log/apache*/*error.log
maxretry = 3 #6

# default action is now multiport, so apache-multiport jail was left
# for compatibility with previous (<0.7.6-2) releases
[apache-multiport]
enabled = true #false
port      = http,https
filter    = apache-auth
logpath   = /var/log/apache*/*error.log
maxretry  = 3 #6

[apache-noscript]
enabled = true #false
port     = http,https
filter   = apache-noscript
logpath  = /var/log/apache*/*error.log
maxretry = 6 #6

[apache-overflows]
enabled = true #false
port     = http,https
filter   = apache-overflows
logpath  = /var/log/apache*/*error.log
maxretry = 1 #2

#
# Source: https://github.com/miniwark/miniwark-howtos/wiki/Fail2Ban-setup-for-Apache
#

[apache-clientdenied]
# ban clients who try to access to forbidden places
enabled  = true
port     = http,https
filter   = apache-clientdenied
logpath  = /var/log/apache*/*error.log
maxretry = 3

[apache-nokiddies]
# ban script kiddies
enabled  = true
port     = http,https
filter   = apache-nokiddies
logpath  = /var/log/apache*/*access.log
maxretry = 1

[apache-nokiddies-2]
# ban some more script kiddies
enabled  = true
port     = http,https
filter   = apache-nokiddies-2
logpath  = /var/log/apache*/*error.log
maxretry = 1

Grunden til "enabled = true #false" og "maxretry 2 #3" er for at jeg ved hvordan det originalt var og har det at gå efter, da det er under tilpasning! (:

[DICKHILL]

Til dem der bruger SSH RSA nøgler til login på server og Windows på "client maskinen"...

Hvad bruger I egentlig af program(mer)??
Jeg har altid brugt PuTTY, men hver gang jeg genstarter maskinen nu, så skal jeg loade min RSA nøgle selvom 'PAGEANT.exe' starter med Windows...
Absolut IKKE FEDT og er noget der gør at jeg kraftigt overvejer at slå 'PasswordAuthentication' til igen!

Jeg går ud fra at det nok bare er en ekstra sikkerhedsfeature, da man jo skal skrive Passphrase når man tilføjer nøglen...
Men nu kommer der ikke andre i nærheden af mine maskiner og er derfor en feature jeg IKKE behøver eller ønsker..