[HOWTO] een beetje beveiligen na 'hack' of 'semihack'

Is spijtig genoeg niet de enige. Je moet zorgen dat alles zowat toe zit getimmerd (elke service, elke port) en alles mooi up to date. Niet enkel kernel. Want in een kernel kun je niet zomaar komen, want die is niet voor de buitenwereld beschikbaar, dit gaat altijd via een andere service waar toegang tot is. Users SSH rechten geven etc is niet altijd zomaar even van klik klik ok, maar moet je over na denken en kijken wat die wenst te doen en hoe belangrijk die zelf wachtwoorden en security etc vind.

Tegenwoordig zijn er ook trojans etc in de omloop welke gewoon langs de client side even loggers installeren. Dit kom je vaak tegen met FTP wachtwoorden, maar gaat spijtig genoeg ook verder...

Server kwijt? Niet zulke enge dingen zeggen.

Gelukkig rsync ik vrijwel alles met andere servers. (Beetje data rondpompen van datacenter naar datacenter )

Hele howto gevolgd, maar helaas draaide er NIKS op dat ip Morphie.
Is er geen mogelijkheid dat mijn ip "gekaapt" was? Omdat een andere klant ook zijn server kwijt was met MIJN FailOver ip ?

VPS is in middels verwijderd, maar ik kon NIKS vinden...
IPTables stond ook goed ingesteld.

Klopt of die map niet executable maken help ook een beetje. Je hebt toels chkrootkit, rkhunter welke je elke xx minuten kan laten testen in een cron. Uiteraard is dit niet 100% zoals je zelf ook al zal denken maar het is toch weer dat meer....

Zolang niemand op je andere users kan zit je veilig, uiteraard via proftpd of http (directadmin vaak standaard met de home directory's) kunnen ze gewoon gokken en zo een response krijgen of een user bestaat of niet, en via die weg hebben ze dan ook meer zekerheid. Dus alles moet een beetje goed en veilig opgesteld worden. Het is zeker geen speelgoed...

Redelijk belangrijk zelfs, laatst te maken gehad met wunderbar emporium daarmee kan je root rechten krijgen als user zijnde. Kwam achter dit tooltje op een niet zo fijne manier om het maar zachtjes te zeggen. (ja in de /tmp dir).

Heb het getest op mijn beta server en het lukte niet gelukkig

(zijn wel eerrggg veel servers vulnerable met deze tool!)

Zit er aan te denken om een scriptje te maken die de hele tijd (cron) de /tmp directory monitort en vreemde activiteiten direct mailt/sms't

Kijk zeker voglend mappen eens na:
/tmp
/var/tmp
files zoals scripts etc horen daar niet thuis...let op sommige verbregen zelfs de files onder " ." of " .." let op de spatie ... als naam dus \ . als je die wilt verwijderen...

kijk of er geen rare CGI/perl/python scripts draaien
ps aux | grep .cgi
ps aux | grep .pl
ps aux | grep .py
ps aux | grep .sh
ps aux | grep perl
ps aux | grep python
... (moet je enige 'vaardigheid' in hebben)

indien het een hosting server is zeker je cgi-mappen van de users nakijken (laatste tijd worden veel FTP wachtwoorden gestolen en via de server dan met cgi scripts smap uitgestuurd of scannen)

Goede iptables rules doen wonderen of csf (http://www.configserver.com/) of apf (http://www.rfxn.com/projects/advanced-policy-firewall/) of ... Zo kan je dus uitgaande dingen volledig dicht zetten, dus als er dan wat draait komt die dan niet het netwerk op.

Zorg ook even dat je kernel de laatste nieuwe is (netboot) zijn overlaatst wat updates ook binnen gekomen welke mooi zijn om even door te voeren. Wachtwoorden goed sterk houden.

De logs in ieder geval ook eens nalezen en kijken of er geen users met root toegang zijn aangemaakt (/etc/passwd ...)


tipjes waar ik snel dus aan denk om het te voorkomen:
* noexec mounten van de /tmp is ook altijd goed, echter heb je in 2 sec opgelost: http://www.debian-administration.org/articles/57
* mod_php (cli) nog in apache (default vaak!) zet die om naar suPHP of mod_ruid
* zet CGI uit voor users op een shared hosting server ! (enkel op aanvraag); open_basedir, disabled_functions (http://www.netadmintools.com/art411.html), etc etc
* up to date houden van alles (kernel kan ook geen kwaad!)
* csf of apf installeren en alles dicht timmeren (of via iptables) let op vergeet niet als je IPv6 aan zet dat gedeelte ook toe te zetten !
* noatime mouten van file system in /etc/fstab (een tip voor OVH om dit default te doen! geeft de disken meer performantie en langere levensduur... why? dat zal elke linux kenner wel weten... en heeft niet eens echt nadeel op het gebruik... uitleg nodig, vraag ernaar)
* ssh keys inplaats van root login
* rechten van users en limiteren en ssh login zoveel mogelijk beperken
* http://www.security.nl & http://www.milw0rm.com/ & etc volgen (zooals de bekende roundcube, phpmyadmin ook 'overlaatst'...)
* en nog een hele hoop...



Mochten mensen nog meer ideeen hebben omtrent het beveiligen van je systeem? laat het dan zeker hier horen. Als er meer onderwerpen bijkomen dan zal ik deze ook bij deze post bij proberen te houden.