image

10 stappen om een Linux server te beveiligen

donderdag 16 juni 2005, 13:09 door Redactie, 13 reacties

Het internet is een veel gevaarlijkere plaats dan 20 jaar geleden. Vandaag de dag vormt de beveiliging van besturingssysteem en applicatie een integraal onderdeel van de serverconfiguratie. En hoewel firewalls belangrijk zijn, zijn ze niet zaligmakend. Het is dan ook belangrijk om de server zo goed als mogelijk te beveiligen. Dit artikel beschrijft tien stappen voor het beveiligen van een Linux server. Hieronder de punten in het kort:

1. Kies een veelgebruikte Linux distro die security patches op tijd uitbrengt
2. Plan de layout van het filesystem vantevoren
3. Installeer geen onnodige pakketten
4. Verander de standaard wachtwoorden en maak reguliere gebruikers aan
5. Schakel onnodige daemons en network services uit
6. Schakel remote root logins over ssh uit
7. Gebruik en configureer iptables
8. Configureer security gerelateerde kernel parameters
9. Installeer een host based Intrusion Detection System (HIDS)
10. Installeer de laatste updates

Reacties (13)
16-06-2005, 13:40 door wimbo
Afgezien van een aantal linux specifieke zaken (zoals root
access over SSH) kan je dit natuurlijk ook voor een Windows
2003 server doen.
16-06-2005, 13:52 door awesselius
Door wimbo
Afgezien van een aantal linux specifieke zaken (zoals root
access over SSH) kan je dit natuurlijk ook voor een Windows
2003 server doen.

Ja, tuurlijk.

Buiten het feit dat je geen veelgebruikte distro kan kiezen.
Je de layout van het filesystem niet kunt plannen. Je geen
onnodige pakketten kunt deinstalleren (echt tot op het bot).
Je geen onnodige daemons of services kunt deactiveren. Je
niet super flexibel je firewall-rules kunt defineren of met
patches kunt uitbreiden. Je geen security gerelateerde
kernel parameters kunt configureren. Maar ja, je kunt dit
ook prima op een Windows server toepassen.

Enkel passeer je dan de limiet van 10 stappen, terwijl ik
zoals hierboven dus al de helft heb doorgestreept.

Hoezo weer een flame over windows? ;-)

http://www.claimyourrights.eu/
http://www.thinkfree.ca/

- Unomi -
16-06-2005, 13:55 door awesselius
En weer presteer ik het om een comment te wijzigen alvorens
hij gepost is...... Zie comment hierboven.

http://www.claimyourrights.eu/
http://www.thinkfree.ca/

- Unomi -

PS: Ik denk dat de post gebaseerd is op mijn kloktijd en de
comment op de tijd van de database. Consequent hoor.
16-06-2005, 14:19 door Anoniem
Door Unomi
Door wimbo
Afgezien van een aantal linux specifieke zaken (zoals root
access over SSH) kan je dit natuurlijk ook voor een Windows
2003 server doen.

Ja, tuurlijk.

Buiten het feit dat je geen veelgebruikte distro kan kiezen.
Gelukkig niet maar wel de smaak die je wilt.


Je de layout van het filesystem niet kunt plannen.
Tuurlijk wel in zoverre het partities ed betreft. Of wordt er wat anders
bedoeld?


Je geen
onnodige pakketten kunt deinstalleren (echt tot op het bot).
Je geen onnodige daemons of services kunt deactiveren.
Nou je kunt ook overdrijven, je kunt best het een en ander

Je
niet super flexibel je firewall-rules kunt defineren
[/quot]
IPSEC is niet flexibel genoeg? De firewall kan je ook van rules voorzien al
dan niet script, policy based of via de gui als je dat echt wilt


of met
patches kunt uitbreiden.
Neem je dan niet gewoon een uitgebreider produkt als je dergelijke
behoeftes hebt? Je gaat niet de windows firewall eventjes patchen tot ISA
lijkt me.


Je geen security gerelateerde
kernel parameters kunt configureren. Maar ja, je kunt dit
ook prima op een Windows server toepassen.
De punten die in dat artikel staat wijken nou niet echt structureel af van wat
je in windows kunt doen


Enkel passeer je dan de limiet van 10 stappen, terwijl ik
zoals hierboven dus al de helft heb doorgestreept.
Windows heeft een wizard, je hebt weinig stappen nodig.


Hoezo weer een flame over windows? ;-)

- Unomi -
Ik zou het onbegrip willen noemen.
16-06-2005, 15:01 door jkfjkhfdkjhdfkhjdfkjhfdg
Eens met anoniem.

De genoemde punten gelden lang niet alleen voor Linux.
Alleen zit het anders in elkaar.
Maar dat is appels met peren vergelijken.

Windows moet je ook updaten, externe logons uitzetten etc..
16-06-2005, 15:26 door Anoniem
Met alle respect naar alle eerdere anonieme posts, maar aub, als je geen
ervaring met een platform heb, verwijt dit dan ook anderen niet.

Als beheerder van een serverpark met zowel RHES, SLES, W2k en W2003
kan ik absoluut stellen dat Linux een stuk beter (lees gedetailleerder)
parametriseerbaar is dan de Windows bakken.

In Longhorn lijkt dit eindelijk aardig opgepakt te worden (vooral de
modulairiteit van het design), maar dat heeft niets met de huidige situatie
van doen.

Echter hier kleeft een flinke keerzijde aan; je moet dan namelijk wel weten
waar je mee bezig bent.
Bij windows kan idd iedereen met de wizard zijn werk doen, je weet niet
wat er "onder water" gebeurt, maar sommige beheerders (en managers)
schijnt dat niets uit te maken.

Deze post is niet zozeer bedoeld als flame naar een MSCE'er (of iets van
vergelijkbare aard), maar met alle respect, dit zijn feiten (tenzij MS zojuist
ineens een Koning Willem II actie heeft uitgevoerd).

Mij maakt die configurabiliteit wel uit, hoewel ik ook niet zal pretenderen
alle finesses te kennen, vandaar mijn volmondige enthousiasme voor (SE)
Linux.

Hans
16-06-2005, 15:33 door Anoniem
Vertrouwen op een security Wizard is voor thuisgebruikers niet voor IT
professionals.

Het enige dat Windows server 2003 (en vergelijkbaar) enigzins interessant
maakt is AD (Active Directory) maar binnen de OS (open source) community
word hard gewerkt aan een vergelijkbare techniek.

maar voor ultieme veiligheid op server niveau is er maar 1, en dat is
FreeBSD. Op te bouwen en te configureren vanaf scratch en daarom al
jaren de 1e keus voor hackers en security specialisten..........
16-06-2005, 16:23 door SirDice
Door Anoniem
maar voor ultieme veiligheid op server niveau is er maar 1, en dat is FreeBSD. Op te bouwen en te configureren vanaf scratch en daarom al
jaren de 1e keus voor hackers en security specialisten..........
Het is in ieder geval al jaren mijn eerste keus..
Verder kun je dat lijstje, behalve punt 1 en 7, ook gebruiken voor FreeBSD.
Punt 1 is niet relevant en voor punt 7 heeft FBSD verschillende andere firewalls.
16-06-2005, 16:25 door Anoniem
Door J-P
Maar dat is appels met peren vergelijken.
Dat is het altijd zonder argumenten.
Misschien doordat er teveel op debiliserende knipogende
paperclips, kwispelende 'search' hondjes en overige Wizards
of Oz wordt vertrouwd Windowers zo weinig weten :)
16-06-2005, 20:10 door Anoniem
1. Kies een veelgebruikte Linux distro die security patches
op tijd uitbrengt:
Debian (Woody)

2. Plan de layout van het filesystem vantevoren
EXT3

3. Installeer geen onnodige pakketten
Geen XFree86 troep

4. Verander de standaard wachtwoorden en maak reguliere
gebruikers aan
NIET in root werken, random password generator

5. Schakel onnodige daemons en network services uit
Niet installeren is NIET gebruiken

6. Schakel remote root logins over ssh uit
Gooi je Internetverbinding er geheel uit :P

7. Gebruik en configureer iptables
Gebruik en configureer iptables zo 'strak mogelijk' icm
hardware firewall voor extra security

8. Configureer security gerelateerde kernel parameters
Gebruik SElinux

9. Installeer een host based Intrusion Detection System (HIDS)
Glashelder

10. Installeer de laatste updates
Scriptje die zelf updates checked en installeert, tenzij dit
anders is aangegeven bijv. excl. patch blablabla

11. Stap over op UNIX :)
16-06-2005, 20:10 door Anoniem
Door Anoniem
Vertrouwen op een security Wizard is voor thuisgebruikers niet voor IT
professionals.

Die installeren geen windows 2003. Het is bedoeld voor
beheerders/installateurs met niet al te veel opleiding of puut voor gemak
van IT professionals. Het feit dat je professional bent wil nog niet zeggen
dat je alles maar zelf moet gaan regelen als het OS je kan helpen.
16-06-2005, 20:13 door Anoniem
Door Anoniem

Als beheerder van een serverpark met zowel RHES, SLES, W2k en W2003
kan ik absoluut stellen dat Linux een stuk beter (lees gedetailleerder)
parametriseerbaar is dan de Windows bakken.
Dat wil ik best van je geloven, maar wat boeit dat nu daadwerkelijk in de
algemene praktijk. Ik zie dat niet zo.


Echter hier kleeft een flinke keerzijde aan; je moet dan namelijk wel
weten
waar je mee bezig bent.
Bij windows kan idd iedereen met de wizard zijn werk doen, je weet niet
wat er "onder water" gebeurt, maar sommige beheerders (en managers)
schijnt dat niets uit te maken.
Het leuke met windows omgevingen is dat je allebei kunt doen. Sommige
beheerders hoeven wat mij betreft niet te weten wat er precies gebeurd en
managers al helemaal niet. Hierdoor kun je beheerders van verschillend
niveau inschakelen.
18-06-2005, 21:04 door Anoniem
Aangezien uit de meeste onderzoeken blijkt dat linux vaker gehackt wordt
kan het schelen om linux op een virtuele server op windows te draaien.
Misschien is het dan iets veiliger, of je gebruikt gewoon geen linux, maakt
de wereld nog veiliger.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.