Debian (NAS / VPN Server) absichern

Debian (NAS / VPN Server) absichern (8 Beiträge, 494 Mal gelesen)

Du bist nicht angemeldet. [ Login/Registrieren ]

Hi!

Hab ein Debian-System (aktueller Net-Install) aufgesetzt.
Dieses Teil wird mir zu Hause als NAS dienen (Time Capsule für das MacBook; share für Bilder und Musik für Frau und mich) und wenn ich unterwegs bin als VPN Server.

Welche Absicherungen würdet ihr vornehmen?
Ein Link zu einem guten guide würde mich schon sehr grlücklich machen.

für nichts die standardports verwenden. das schützt dich schon vor 90% aller script kiddies

...und bringt im fall vom VPN zig Probleme wenn man über öffentliche WLAN Hotspots und Co surft
_________________________________________________________________
There are 10 types of people. Those who understand binary and those who don't

Root login per SSH deaktivieren.
Firewall konfigurieren.
Nach suid Programmen suchen und suid Bit entfernen.
Falls möglich GCC deinstallieren.
Keine Server die nicht benötigt laufen lassen.
Updates zeitnah (automatisiert?) einspielen.

Root login per SSH deaktivieren.

Kann man machen, ja. In der Praxis reicht es aus, PasswordAuthentication (fuer root, oder aber alle User) abzudrehen.

Firewall konfigurieren.

Kann sinnvoll sein, muss es aber nicht. _Idealerweise_ kommt man ohne Paketfilter-Regelsatz aus, weil auch Netfilter potenziell nicht fehlerfrei ist.

Nach suid Programmen suchen und suid Bit entfernen.

GANZ schlechte Idee (wenn auch dank/wegen Capabilities heute nicht mehr so ein Schuss ins eigene Knie wie noch vor einigen Jahren); es sei denn, die kommen nicht aus den Paketen der Distribution und tragen dieses Bit ohne legitimen und triftigen Grund.

Falls möglich GCC deinstallieren.

Voellig unnoetig. Ein (C-)Compiler am System ist nicht sicherheitsrelevant - es gibt genugend interpretierte Sprachen, ohne die man ein GNU/Linux de facto nicht betreiben kann, mit denen man genauso viel (bzw. viel eher wenig) Unheil anrichten kann, wie mit einer C-Toolchain.

Keine Server die nicht benötigt laufen lassen.

Das ist der vielleicht wichtigste und beste Tipp, den man in diesem Kontext geben kann. In Abhaengigkeit davon sollte man auch die Entscheidung pro bzw. contra Firewall faellen.

Updates zeitnah (automatisiert?) einspielen.

... und dieser ist, mit nur sehr knappem Abstand zu dem unmittelbar davor, der imho zweitwichtigste und -beste Tipp!

echo "[q]sa[ln0=aln256%Pln256/snlbx]sb729901041524823122snlbxq"|dc

Keine Server die nicht benötigt laufen lassen.

Erweitert: Grundsätzlich nur Software installieren, die auch wirklich benötigt wird (als Folge eventuell auch den Kernel abspecken).

Hm, vielleicht noch darauf achten, dass Dienste nicht gleich eine komplette Systembeschreibung publik machen (vgl. ServerTokens-Direktive im Apache).

gscheite Authentifizierung bei Diensten einsetzen die nach außen offen sind. Würde da ohnehin ausschließlich VPN machen.
_________________________________________________________________
There are 10 types of people. Those who understand binary and those who don't

Dieses Forum ist eine frei zugängliche Diskussionsplattform.
Der Betreiber übernimmt keine Verantwortung für den Inhalt der Beiträge und behält sich das Recht vor, Beiträge mit rechtswidrigem oder anstößigem Inhalt zu löschen.
Datenschutzerklärung