Hallo,
ik heb een VPS met Direct Admin en vroeg mij af hoe ik deze het beste kan beveiligen.
indien je kant en klare handleidingen heb dan zie ik die graag verschijnen in mijn topic.
graag in dummietaal zodat het ook begrijpelijk is voor mij :)
- Vps beveiligen
-
15-08-2010, 16:42 #1Particulier
- Berichten
- 1.054
- Lid sinds
- 16 Jaar
Vps beveiligen
-
15-08-2010, 16:44 #2
- Berichten
- 600
- Lid sinds
- 16 Jaar
Wat wil je "beveiligen" ? DirectAdmin zou van zichzelf goed genoeg beveiligd moeten zijn, ook qua PHP settings en dergelijke...
-
15-08-2010, 16:45 #364BitsWebhosting.EU
- Berichten
- 2.092
- Lid sinds
- 17 Jaar
firewall installeren, ssh op andere poort runnen, smtp limiteren, php in cgi mode draaien, elke week je updates checken en afhankelijk van je OS nog de 'google even voor standaard dingen' aanzetten.
Geen services runnen die je niet nodig hebt en altijd zorgen dat je 1 beveiligings nivo hoger dan je buurman zit, zodat eventuele hackers meer interesse in hem dan in jou hebben.
Uiteraard ook je scripts e.d. nalopen van als je daar de mis in gaat, helpt de rest ook niet veel :)
-
15-08-2010, 16:59 #4Particulier
- Berichten
- 1.054
- Lid sinds
- 16 Jaar
@ Ricardo Persoon
ik wil DA niet beveiligen, het gaat mij met name op de VPS beveiliging.
@ John Timmer
besturingssysteem is Cent OS.
Heb je eventueel tutorials wat betreft de punten die jij noemt? als ik op google zoek naar 'vps beveiligen' dan kom ik op verschillende fora maar niet echt een handleiding met dit moet je op die manier installeren etc.
Alvast bedankt!
-
15-08-2010, 17:01 #564BitsWebhosting.EU
- Berichten
- 2.092
- Lid sinds
- 17 Jaar
@ Ricardo Persoon
ik wil DA niet beveiligen, het gaat mij met name op de VPS beveiliging.
@ John Timmer
besturingssysteem is Cent OS.
Heb je eventueel tutorials wat betreft de punten die jij noemt? als ik op google zoek naar 'vps beveiligen' dan kom ik op verschillende fora maar niet echt een handleiding met dit moet je op die manier installeren etc.
Alvast bedankt!
M.a.w. nee, heb geen tuts hiervoor helaas.
Edit: ach, ik had nog 2 seconden tijd: http://www.linux-books.us/centos_0004.php (Niet gechecked overigens)
-
15-08-2010, 19:23 #6Particulier
- Berichten
- 1.054
- Lid sinds
- 16 Jaar
@ John Timmer,
bedankt voor je antwoord waarin je hebt aangegeven wat ik allemaal moet doen en bedankt voor je (voor mij) sarcastische antwoord.
Dit is een forum waar je vragen kunt stellen, en altijd alles voorgekauwd krijgen is natuurlijk niet mijn bedoeling. Maar dit was een eenmalige vraag waarbij ik hoop dat er mensen zijn die gratis linkjes kunnen geven waar alles goed wordt beschreven en dat dit jouw werk is en jij dit niet gratis zou willen doen begrijp ik, maar ik denk dat er nog wel mensen zijn die mij eventueel (gratis) willen helpen.
Nogmaals bedankt en een fijne avond. Indien er mensen zijn die wel gratis linkjes willen geven omdat zij eerder zo'n soortgelijke vraag hebben gehad en het antwoord hebben gevonden via bepalde linkjes etc. dan hoor ik dat graag.
-
15-08-2010, 19:31 #7
- Berichten
- 1.499
- Lid sinds
- 16 Jaar
Als je een aantal tips van John nou eens googled (en vertaalt naar het engels in je zoekterm) dan kom je er vast wel. Een beetje moeite is nooit weg want je kunt vast wel wat vinden.
-
15-08-2010, 20:33 #864BitsWebhosting.EU
- Berichten
- 2.092
- Lid sinds
- 17 Jaar
Heb je er verder geen kennis over, dan ga ik je niet eens aanraden om de helft van wat er te vinden is, ook te doen omdat je dan alleen maar problemen gaat krijgen.
Zomaar een cut&paste tut volgen zonder dat je weet wat je doet geeft je nooit de garantie dat je überhaupt iets beveiligd hebt. I know, it sux, maar zo is het nu eenmaal. De beste firewall helpt je geen zier als je een script hebt dat zo lek is dat je server alsnog geroot kan worden.
-
15-08-2010, 21:47 #9Particulier
- Berichten
- 153
- Lid sinds
- 18 Jaar
firewall installeren, ssh op andere poort runnen, smtp limiteren, php in cgi mode draaien, elke week je updates checken en afhankelijk van je OS nog de 'google even voor standaard dingen' aanzetten.
Geen services runnen die je niet nodig hebt en altijd zorgen dat je 1 beveiligings nivo hoger dan je buurman zit, zodat eventuele hackers meer interesse in hem dan in jou hebben.
Uiteraard ook je scripts e.d. nalopen van als je daar de mis in gaat, helpt de rest ook niet veel :)
-
15-08-2010, 22:09 #10
- Berichten
- 1.106
- Lid sinds
- 18 Jaar
SSH poort wijzigen doe je zo:
edit /etc/ssh/sshd_config
Wijzig
Code:#Port 22
Code:Port XX
Daarna sshd service nog even herstarten:
Code:/sbin/service sshd restart
Installeer ook een firewall, ik raad CSF aan:
cd /root
rm -fv csf.tgz
wget http://www.configserver.com/free/csf.tgz
tar -xzf csf.tgz
cd csf
sh install.shLaatst aangepast door Reshad Bashir : 15-08-2010 om 22:14
-
15-08-2010, 22:13 #11
- Berichten
- 1.499
- Lid sinds
- 16 Jaar
Nja onnodig, zo draait Apache onder z'n eigen user. Persoonlijk ben ik er wel van gecharmeerd. Vergeet ook mod_ruid niet.
-
15-08-2010, 22:17 #1264BitsWebhosting.EU
- Berichten
- 2.092
- Lid sinds
- 17 Jaar
Waarom is php in cgi draaien veiliger? Verder is een firewall eigenlijk altijd al standaard geinstalleerd, alleen zijn er geen rules voor, helpt SSH op andere port enkel tegen scriptkiddies (En die zijn op betere manieren te bestrijden), dus vind beetje vaag wat je zegt.
php in cgimode draaien zorgt ervoor dat je php processen onder een non priviliged user draaien en niet onder de apache user. Zo kun je per user zelfs nog de resources limiteren, sneller vinden wie wat doet/gedaan heeft en privilege escalation een stuk meer voorkomen. Valt een hoop over te lezen... doe voor de gein eens.
Een firewall moet je configureren. Elke idioot kan een firewall installeren en dan alle poorten open zetten waarop http, imap, pop3, ftp etc draait. Soms zijn ze zelfs trots erop dat ze een hoop poorten blokken waarop niet eens een deamon draait, maar dan heb je dus nog net niks... hooguit dat mysql niet voor de hele wereld open staat. Denk aan het aantal connecties limiteren per verbinding, alleen access voor beheerders toestaan, etc... (Edit: china en rusland blokken... ook handig :P )
SSH op een andere poort draaien is wel degelijk een beveiliging al zullen er altijd mensen zijn die anders denken. Maar het zorgt wel dat veel scriptkiddies doorwandelen naar de buren in plaats van je security logs zover vol laten lopen met bruteforces dat je de echte informatie mist. Daarbij kun je de portscans om de echte poort te vinden eenvoudig blokken. ELKE drempel is er eentje, al is dit uiteraard niet de heilige graal uiteraard en is een combinatie met een willekeurig IDS altijd nóg beter.
Ow, en nog eentje, al heb ik geen flauw idee hoe en of dat bij de RH distros mogelijk is, bij freebsd iig wel. Bepaalde files een flag geven zodat alleen root ze kan aanpassen. Bij freebsd kun je zelfs zo ver gaan dat een server eerst in een minder restrictive mode geboot moet worden voordat je bestanden pas kunt aanpassen. Ideaal voor .htaccess bestandjes die nu en dan wel eens leuk worden aangepast door mensen met 'gevonden' wachtwoorden.
En als we dan toch bezig zijn: Als je ssh-access voor de 1 of andere reden aan je users toestaat, pas de rechten op je gcc, cc, cpp, c++, ld, man /usr/games, /usr/bin, /usr/local/bin/, e.d. dan ook even aan. Alles is zinloos als een een user zijn eigen binaries kan knutselen tenslotte :)Laatst aangepast door John Timmer : 15-08-2010 om 22:30
-
15-08-2010, 22:32 #13
- Berichten
- 1.499
- Lid sinds
- 16 Jaar
Volgens mij kan dat onder RH ook, maar daar kan ik me in vergissen. Verder mooie uitleg over PHP_CGI (iets uitgebreider dan de mijne). Csf en lfd is wel een aanradertje ja maar kan tegelijk ook over-protective werken. Zoek eventuele problemen dus snel daar.
Met SSH op een andere poort ontwijk je scriptkiddies die via tooltjes dictionary of hybrid attacks doen. Zeker een beveiliging dus!
@John: Draai jij op FreeBSD?
-
15-08-2010, 22:41 #1464BitsWebhosting.EU
- Berichten
- 2.092
- Lid sinds
- 17 Jaar
Yes.
En idd, je begint aan een hel als je alles gaat beveiligen... met 2 beveiligingen tacklel je 99% van de hacks en is je 'leven' op de server nog steeds aangenaam :)
Je kunt het zo gek maken als je wilt uiteraard en veel zal overkill zijn. Backups en stevige passwords doen al wonderen, maar probeer het de mensen maar eens duidelijk te maken om alleen dat al te doen...
Daarbij kun je er ook nog dingen tegenaan mikken zoals IDS, suphp, suexec, functies in php.ini uitschakelen, dagelijks logs checken, je root user's mail gewoon naar een echt mailadres sturen (en lezen) ipv maar in /dev/nul opslaan e.d. maar het belangrijkste is dat je elke ding gewoon GOED doet, als doe je maar 1 ding, doe het goed :)
-
15-08-2010, 22:46 #15
- Berichten
- 1.499
- Lid sinds
- 16 Jaar
@TS: installeer Logwatch voor een goed inzicht in je logs. Verder gewoon backuppen!!!!!!!!
Plaats een
- + Advertentie
- + Onderwerp
Marktplaats
Webmasterforum
- Websites algemeen
- Sitechecks
- Marketing
- Domeinen algemeen
- Waardebepaling
- CMS
- Wordpress
- Joomla
- Magento
- Google algemeen
- SEO
- Analytics
- Adsense
- Adwords
- HTML / XHTML
- CSS
- Programmeren
- PHP
- Javascript
- JQuery
- MySQL
- Ondernemen algemeen
- Belastingen
- Juridisch
- Grafisch ontwerp
- Hosting Algemeen
- Hardware Info
- Offtopic