• Off-topic
  • DEGerman

  • Server-Sicherheit Tipps und Empfehlungen

    German

  • Ssivn

      Moolevel 1
    • Post #1
    • Edited
    • This post is in German

    Hallo Community,

    ich betreibe und nutze jetzt seit einigen Monaten einen Mailcow Server auf einem VPS und liebe es! Seit einigen Jahren arbeite ich nun mit Debian und anderen Linux Distributionen und versuche mich am dem Hosten von einigen Servern. Es ist mir sehr wichtig, dass alle Systeme möglichst sicher sind. Nun ist das Härten eines solchen Systems immer etwas, was nur nach besten Wissen und gewissen durchgeführt werden kann.

    Grundliegende Einstellungen, wie:

    • Ein sicheres Root/Benutzer Kennwort
    • 2FA (libpam-google-authenticator)
    • Login nur via SSH-Schlüssel
    • Sichere SOGo/Benutzer Kennwörter
    • Aktuelle Updates
    • Fail2Ban für SSH (und ggf. anderer Port)
      habe ich soweit beachtet.

    Des Weiteren, habe ich mich einiger Tutorials wie z.B. GitHub Icon How-To-Secure-A-Linux-Server

    GitHub Icon GitHub
    GitHub - imthenachoman/How-To-Secure-A-Linux-Server: An evolving how-to guide for securing a Linux server.
    An evolving how-to guide for securing a Linux server. - imthenachoman/How-To-Secure-A-Linux-Server
    An evolving how-to guide for securing a Linux server. - imthenachoman/How-To-Secure-A-Linux-Server
    bedient.

    Was ich sonst immer umsetze, sind mit Firewall-Regeln die Systeme möglichst abzusichern. Diese Einstellungen werden mir von Docker teilweise abgenommen. Firewall-Regeln werden über iptables automatisch angelegt. Docker sowie das Update-Script werden/sollen mit dem Root-Benutzer ausgeführt werden. Soweit ich das überblicken kann, werden die Zugriffsrechte ohnehin in Docker verwaltet.

    Konkret habe ich also folgendes Anliegen an die erfahrenen Administratoren:

    1. Welche Sicherheitseinstellungen habt ihr auf euren Server zusätzlich aktiv?
    2. Lasst ihr eure Container über die standard Docker-Engine laufen oder nutzt ihr Docker Rootless und macht das überhaupt sinn (Ein Ausbruch aus einem Container ist nicht so einfach)?
    3. Habt ihr zusätzliche Literatur oder Tipps um einen Server weiter abzusichern?
    4. Nutzt ihr eine erweiterte Firewall-Konfiguration (ufw etc.) oder habt ihr eine Firewall (SOPHOS, pfSense etc.) vor dem Server geschaltet/ bzw. eine Art Geo-Blocking?

    Ich freue mich über jede Antwort und hoffe, dass ihr einige Anregungen habt.

    Vielen Dank für Eure tolle Software
    sivn

    • MAGIC

      • Forum Staff
      • volunteer
      Moolevel 48
    • Post #2
    • This post is in German

    Hallo,

    Ich habe bei meinem Hauptserver eine OPNSense als Firewall vor allen VMs eingerichtet - hauptsächlich weil ich nicht tausende IPs kaufen muss/will \o/
    Da kommt halt schon default mäßig nix rein und da muss ich mir auch keine Gedanken in Sachen ufw/IPtables auf den einzelnen VMs machen - was mit Docker schon Krämpfe bereitet, wenn man nicht seine Regeln nicht in die DOCKER-USER chain packt.
    Auf die VMs komme ich nur via VPN und SSH Schlüssel.

    Auf kleineren VPS habe ich eigentlich nur password login disabled und benutze meinen SSH Schlüssel zum Einloggen, kein SSH Port verändert noch weitere Einstellungen vorgenommen.

    Updates spiele ich händisch ca. alle 2-3 Tage auf allen Systemen ein. Mailinglisten von Ubuntu/Debian für Security-Annoucements sind abonniert und IT News Seiten werden auch täglich gelesen, da bekommst du immer schnell etwas über Security Issues von Software mit.

    Vielleicht fällt mir später noch mehr ein, was ich schreiben kann.

    • sivn replied to this.

      Have something to say?

      Join the community by quickly registering to participate in this discussion. We'd like to see you joining our great moo-community!

      • Ssivn

          Moolevel 1
        • Post #3
        • This post is in German

        MAGIC Bisher habe ich im privaten Umfeld nur VPS Systeme gehostet bei Contabo mit den standard Firewall-Regeln der Mailcow-Installation. Der Versuch, eine UFW-Firewall auf besagtem VPS einzurichten hat leider keinen Erfolg gebracht und ich habe Zugriff auf das interne Docker Netzwerk geöffnet. Mit OpenVAS und NMAP habe ich meinen Mailcow Server schon mal getestet und dieser konnte keine Probleme feststellen. Auch waren nur die Ports offen, von denen ich das auch wollte.

        Danke für deinen Input!

          • PPete

              Moolevel 3
            • Post #4
            • This post is in German

            Neben dem vernageln von Ports und deaktivieren von nicht genutzten Diensten (z.B. POP3) kann ich nur empfehlen sich seine SSL-Implementation genauer anzuschauen. Ich nutze dafür gerne immer den SSLtest von Qualys SSL Labs. Alles unter Endergebnis A ist für mich persönlich nicht akzeptabel. Mir bringt das beste hardening des Systems herzlich wenig, wenn ich in meiner SSL-suite einen schwachen Cypher drin hab und dadrüber jemand seelenruhig alles abgreifen kann, was er will.
            Des weiteren macht es auch durchaus Sinn noch weitere Tests gg. den Mailserver zu fahren, wie z.B. Prüfung der SPF-records, open-relay usw. Auch wenn das meiste durch die Grundkonfiguration von Mailcow mit sauber implementiert ist, ich finde es ist immer ein gutes Gefühl, das selber verifiziert zu haben. Dafür gibt es online auch genug Anbieter, die entsprechende online-multi-tools anbieten, ich sprech hier keine Empfehlung aus, eine kurze google-Suche sollte da jedem genug Alternativen ausspucken, bei denen man überlgen kann, ob man die nutzen will oder nicht.

            6 months later
            No one is typing