[DE] Zugriff auf Server absichern

[hefee]

ich probier ja auch schon laenger mit mit owncloud rum und wenn ich eins sicher sagen kann: entpacken, kopieren laeuft immer besser als aus $paketverwaltung. ansonsten muss ich unter lighttpd immer das cgi/fastcgi-modul laden, php allein reicht ggf. nicht

lighttpd hat auch keinen eingebauten php support, deswegen brauchst du natürlich noch cgi/fastcgi. Apache ist in diessem speziell, weil es direkt ein mod_php für apache gibt, so das der php direktverarbeiten kann.

[ayla]

So, wiki ist fertig.

Korrekturen von versierteren Leuten sind natürlich gerne gesehen.

Gruß
ayla

[ayla]

Hi,

ich gehe mal davon aus daß ich mit der Authentizierung durch die Client-Certs bereits ein für den (vorerst) angestrebten Zweck -familieninternes Zwischenlager für die unbedingt notwendige schnelle Verbreitung von Enkelfotos etc- relativ hohes Maß an Sicherheit erreicht habe.

Was ich jetzt aber doch noch gerne hätte -vorwiegend interessehalber-, wäre, wenn in einem bestimmten Zeitraum von der gleichen IP eine bestimmte Anzahl von nicht berechtigten Zugriffsversuchen erfolgt, von dieser IP aus dann für einen definierten Zeitraum alle Zugriffsversuche vom Apache ignoriert werden -o.ä..
 
Ich meine ich hätte während meiner Suche nach dem Umgang mit Client-Zertifikaten auch irgenwo was zu dem Thema überflogen, irgendwas mit Auswertung der errorlogs oder so, aber ich find's einfach nicht mehr, google ist manchmal wirklich....

Hat jemand einen Tipp wo ich da -möglichst konkreten- Lesestoff zu finde?

Gruß
ayla

[michaaa62]

apt-cache search fail2ban
fail2ban - Sperrt Rechner, die mehrfach Authentifikationsfehler verursacht haben

Der Tipp stammt aus diesem Artikel von heise
http://www.heise.de/security/artikel/SSH-vor-Brute-Force-Angriffen-schuetzen-270140.html

[ayla]

Jupp, danke michaaa62, genau der war's.

hrmpf: Beim Ansehen des auth.log stelle ich fest daß ich wohl auch meinen ssh-port verlegen muß. Nah, hätt' ich gleich machen sollen....

[cryptosteve]

Nee, fail2ban kriegt das auch super für ssh hin. Bei ssh empfielt es sich im übrigen genauso auf Zertifikate umzusteigen und Passwortlogins gar nicht mehr zuzulassen. Dann können sich die externen "Angreifer" da auch ohne fail2ban locker die Zähne dran ausbeißen.

Und Du musst nicht für jeden Login ein Passwort eingeben

[ayla]

Hi cryptosteve

Ja, hab' ich auch von Anfang an so angelegt. Allerdings muß ich jetzt für das Zertifikat ein Passwort angeben o.s.ä.

Enter passphrase for key '/home/cal/.ssh/id_rsa':

Aber irgendwo hatte ich auch gelesen wie man das ändert....

Das Verlegen des Ports und Begrenzen der login-Versuche soll mir eigentlich einfach diese gefühlten 150000 login Versuche von irgendeiner IP aus China aus den logs raushalten. Sicher fühl ich mich da eigentlich schon.

Gruß
ayla

[cryptosteve]

Ändern der Passphrase ist nicht sonderlich kompliziert, obwohl ich das auch nur sehr selten mache - viel zu selten, wo ich so drüber nachdenke.

http://inhalt.serviert.de/wissen/security/ssh/aendern-einer-ssh-passphrase-change-ssh-key-openssh

Wenn Du Dir richtig sicher bist, dass keine Heimkiste nicht kompromitiert wird, kannst Du das Passwort auch ganz weg lassen. Dann fragt er dich halt überhaupt nicht mehr und connected sofort.

Das ist zwar sehr bequem, aber falls Dir einer Deinen Key abnimmt, steht ihm natürlich alles offen. Überschaubar, wenn man nur auf den Heim-PI zugreift, aber durchaus brisant, wenn man mehrere Netzkisten betreut.

Ansonsten dürfte auch keychain interessant für Dich sein. Damit brauchst Du den Key nur einmal per Passphrase aufschließen und er bleibt dann offen und wird von keychain verwaltet. Unter Ubuntu gehts sogar irgendwie per Anmeldepasswort (pam), aber das hab ich nie versucht unter anderen Systemen nachzubilden.

Und ja, Dein ssh-Log kannst Du sicher durch Änderung des Ports bereinigen.

[agaida]

Ayla: Nur ein Vorschlag zur Güte - nimm nginx für deinen pi, der Indianer ist eventuell leicht überdimensioniert für den armen Kleinen. Da wäre nur noch das Problem mit der Konfiguration und dem Kompilieren. Die Konfiguration kannst Du gerne haben, das kompilieren müsste der Pi tun.

Mal böse ausgedrückt: Da Du eh nicht so tief in Webservern drinsteckst, ist es eigentlich egal, wovon Du anfangs nichts verstehst. Ich persönlich finde aber die Konfiguration von nginx grade für Einsteiger, die nicht von Apache umdenken und umlernen müssen, sehr viel eingängiger und verständlicher.

BTW: Die php-Konfiguration auch.

[ayla]

Hi agaida,

normalerweise folge ich ja gern Deinen Anregungen -sofern ich sie ansatzweise verstehe...  

Und böse ist das nicht, eher sehr freundlich

Mal böse ausgedrückt: Da Du eh nicht so tief in Webservern drinsteckst, ist es eigentlich egal, wovon Du anfangs nichts verstehst.

Was mich davon abhält Deiner Anregung in diesem Fall zu folgen:

apt-cache show owncloud
....
Depends: apache2 | httpd, php5, php5-gd, php-pear, php-xml-parser, php-crypt-blowfish, php-sabredav, php-mdb2, php-mdb2-schema, libphp-phpmailer, php-getid3 (>= 1.9.3-1), php5-curl, owncloud-mysql (= 4.0.8debian-1.5) | owncloud-sqlite (= 4.0.8debian-1.5), libjs-jquery (>= 1.7.2-1), libjs-jquery-ui, libjs-jquery-jplayer

....

Ich würde zwar mal vermuten daß man Owncloud auch mit einem anderen Webserver nutzen kann aber ich bin im Moment einfach  heilfroh daß es erst mal so läuft.
Taktik: Erst mal überhaupt zum Laufen bringen, dann für einigermaßen Sicherheit sorgen und jetzt kommt: Loch für Loch in den Käse fressen bis ich durch bin...

Allerdings, was das Kompilieren betrifft, das hätte mir schon jemand abgenommen:

root@raspberrypi:~# apt-cache policy nginx
nginx:
  Installiert:           (keine)
  Installationskandidat: 1.2.1-2.2
  Versionstabelle:
     1.2.1-2.2 0
        500 http://mirrordirector.raspbian.org/raspbian/ wheezy/main armhf Packages

Gruß
ayla

[rolandx1]

ich brech ne lanze für lighttpd für alle die sich nicht mit der config von nginx ärgern wollen

[ayla]

Wenn ich das Ganze mal soweit habe und etwas besser dabei durchblicke werde ich mir auch mal die weniger massiven Web-Server anschauen um meinen Pi zu entlasten -dann kommt auch KDE wieder runter

Aber im Moment versuche ich mal dort weiter zu kommen wo ich bereits was zum Laufen bekommen habe sonst verzettel ich mich.

Für das Abwehren lästiger Zeitgenossen bin ich gerade dabei mir recent an zu schauen. Klingt nicht schlecht.

Gruß
ayla

[agaida]

ayla: kein Problem - dann hör wenigstens auf RolandX1 und nimm lighty. Und lass diese dösigen debian-Pakete weg. Die sind
a) total veraltet
b) mistig konfiguriert und wild im System verteilt
c) kurz gesagt - einfach über.

Das gilt nicht für den Client, der von hefee betreut wird. Da ist wieder Verstand bei.

Lad Dir den Tarball runter, entpack den in deinem Zielverzeichnis und gut ists gewesen. Apache, Owncloud, mod-php und Pi passen einfach nicht zueinander. Und eine Lösung mit lighty|nginx, php5-fpm|php5-fcgi, und owncloud aus Tarball ist wenigstens logisch nachzuvollziehen und wird der Power eines Pi gerecht.

[ayla]

ok, ich will ja nicht vollkommen beratungsresistent erscheinen...  
Ich schmeiß das jetzt alles runter und probiers einfach mal von vorne mit lighttpd aus....

Code: [Select]

apt-get purge apache2 apache2-mpm-prefork apache2-utils apache2.2-common owncloud
apt-get autoremove
apt-get install lighttpd
...[ok] Starting web server: lighttpd
apt-get install php5-fpm

Jetzt hoff ich nur das Teil lässt sich wenigstens ähnlich wie der Apache einrichten.

[cryptosteve]

Jetzt hoff ich nur das Teil lässt sich wenigstens ähnlich wie der Apache einrichten.

Ja, man muss auch Textdateien editieren.