Debian (NAS / VPN Server) absichern

Re: Debian (NAS / VPN Server) absichern

Desolationrob — Wed, 27 May 2015 09:28:01 GMT

gscheite Authentifizierung bei Diensten einsetzen die nach außen offen sind. Würde da ohnehin ausschließlich VPN machen.

Re(2): Debian (NAS / VPN Server) absichern

Desolationrob — Wed, 27 May 2015 09:27:03 GMT

...und bringt im fall vom VPN zig Probleme wenn man über öffentliche WLAN Hotspots und Co surft

Re: Debian (NAS / VPN Server) absichern

m3t4tr0n — Fri, 22 May 2015 05:10:01 GMT

Hm, vielleicht noch darauf achten, dass Dienste nicht gleich eine komplette Systembeschreibung publik machen (vgl. ServerTokens-Direktive im Apache).

Re(2): Debian (NAS / VPN Server) absichern

m3t4tr0n — Fri, 22 May 2015 05:05:44 GMT

Keine Server die nicht benötigt laufen lassen.

Erweitert: Grundsätzlich nur Software installieren, die auch wirklich benötigt wird (als Folge eventuell auch den Kernel abspecken).

Re(2): Debian (NAS / VPN Server) absichern

colo — Thu, 21 May 2015 18:26:28 GMT

Root login per SSH deaktivieren.

Kann man machen, ja. In der Praxis reicht es aus, PasswordAuthentication (fuer root, oder aber alle User) abzudrehen.

Firewall konfigurieren.

Kann sinnvoll sein, muss es aber nicht. _Idealerweise_ kommt man ohne Paketfilter-Regelsatz aus, weil auch Netfilter potenziell nicht fehlerfrei ist.

Nach suid Programmen suchen und suid Bit entfernen.

GANZ schlechte Idee (wenn auch dank/wegen Capabilities heute nicht mehr so ein Schuss ins eigene Knie wie noch vor einigen Jahren); es sei denn, die kommen nicht aus den Paketen der Distribution und tragen dieses Bit ohne legitimen und triftigen Grund.

Falls möglich GCC deinstallieren.

Voellig unnoetig. Ein (C-)Compiler am System ist nicht sicherheitsrelevant - es gibt genugend interpretierte Sprachen, ohne die man ein GNU/Linux de facto nicht betreiben kann, mit denen man genauso viel (bzw. viel eher wenig) Unheil anrichten kann, wie mit einer C-Toolchain.

Keine Server die nicht benötigt laufen lassen.

Das ist der vielleicht wichtigste und beste Tipp, den man in diesem Kontext geben kann. In Abhaengigkeit davon sollte man auch die Entscheidung pro bzw. contra Firewall faellen.

Updates zeitnah (automatisiert?) einspielen.

... und dieser ist, mit nur sehr knappem Abstand zu dem unmittelbar davor, der imho zweitwichtigste und -beste Tipp!

Re: Debian (NAS / VPN Server) absichern

MG — Mon, 18 May 2015 04:33:38 GMT

Root login per SSH deaktivieren.
Firewall konfigurieren.
Nach suid Programmen suchen und suid Bit entfernen.
Falls möglich GCC deinstallieren.
Keine Server die nicht benötigt laufen lassen.
Updates zeitnah (automatisiert?) einspielen.

Re: Debian (NAS / VPN Server) absichern

zeddicus — Sun, 17 May 2015 12:51:51 GMT

für nichts die standardports verwenden. das schützt dich schon vor 90% aller script kiddies

Debian (NAS / VPN Server) absichern

antiprodukt — Sun, 17 May 2015 10:20:15 GMT

Hi!

Hab ein Debian-System (aktueller Net-Install) aufgesetzt.
Dieses Teil wird mir zu Hause als NAS dienen (Time Capsule für das MacBook; share für Bilder und Musik für Frau und mich) und wenn ich unterwegs bin als VPN Server.

Welche Absicherungen würdet ihr vornehmen?
Ein Link zu einem guten guide würde mich schon sehr grlücklich machen.