Ergebnis 1 bis 10 von 10

Thema: GNU/Linux härten / beste Vorgehensweise bei Multi-User-Systemen

  1. #1
    Mitglied Avatar von phre4k
    Registriert seit
    Mar 2015
    Beiträge
    5.374
    ngb:news Artikel
    4

    GNU/Linux härten / beste Vorgehensweise bei Multi-User-Systemen

    Hallo Leute,

    Ich habe einen Server mit ein paar Accounts, deren Inhaber ich nicht kenne (siehe Signatur). Dort gab es jetzt einen Vorfall mit "bösartiger" Nutzung.

    Habe unter anderem folgendes in der /etc/fstab, damit User die laufenden Prozesse nicht anzeigen können:

    Code:
    proc /proc proc defaults,hidepid=2,gid=admin 0 0
    Ansonsten natürlich das "principle of least privilege". Ich wollte jetzt nicht jeden User mit einer custom shell oder chroot in seinem Homeverzeichnis einsperren.

    Lynis Enterprise habe ich auch schon drüber laufen lassen und einige Empfehlungen umgesetzt.

    Was kann man bei solchen Systemen – wie sie ja auch im wissenschaftlichen Bereich gerne mal eingesetzt werden – generell machen, um die Sicherheit zu erhöhen? Habt ihr vielleicht einen Guide für die Admins von Supercomputern oder sowas ähnliches?
    Für diesen Beitrag bedankt sich electric.larry
    *mit Linux wäre das natürlich nicht passiert™
    Arguing that you don't care about the right to privacy because you have nothing to hide is no different than saying you don't care about free speech because you have nothing to say. – Edward Snowden
    tilde.fun – dein kostenloser Linux-Account in der Cloud | Inoffizielle ngb-Telegram-Gruppe
    GCM/S/TW d s+:- a-----? C++$ UL+++$ P-- L+++ E---- W++++ !N ?K w- M-- !P[A-Z] Y++ PGP R* tv-- b++>++++ DI++\:\( G+ e+>++++ h*

  2. #2
    Defender of Freedom

    Administrator

    Avatar von Metal_Warrior
    Registriert seit
    Aug 2013
    Ort
    /dev/mapper/home
    Beiträge
    3.276
    ngb:news Artikel
    6

    Re: GNU/Linux härten / beste Vorgehensweise bei Multi-User-Systemen

    @phre4k: Supercomputing läuft völlig anders als du dir das hier vorstellst - da arbeiten die User üblicherweise nur auf Login-Knoten, die dann ihrerseits die angestoßenen Berechnungen auf zehn- bis hunderttausende Nodes verteilen. Die Loginknoten selbst haben daher kaum relevante Informationen, und ob die separat trotzdem abgesichert werden, weiß ich ehrlich gesagt nicht. Ich kann aber mal schauen, ob ich den ein oder anderen Admin in so zwei Wochen treffe, dann kann ich da mal fragen. Wenn dir das dann noch reicht.
    Für diesen Beitrag bedankt sich phre4k
    GCM/IT/S/O d-(--) s+:- a? C++(+++) UL+++(++++)$ P L+++>++++ W++ w@$ M--$ PS+(++) PE(-) Y+(++) PGP++(+++) t+ 5(+) R* !tv b+(++++) DI(++) G++ e+>++++ h(--) y?
    Das Ende ist nahe: Dem Harleyschen Kometen folgt der Gammablitz beim Scheißen.

  3. #3
    Mitglied

    (Threadstarter)

    Avatar von phre4k
    Registriert seit
    Mar 2015
    Beiträge
    5.374
    ngb:news Artikel
    4

    Re: GNU/Linux härten / beste Vorgehensweise bei Multi-User-Systemen

    Geht mir jetzt nicht per se um Supercomputing, sondern Systeme mit vielen (>10) Usern, die prinzipiell Hacker sein könnten.
    *mit Linux wäre das natürlich nicht passiert™
    Arguing that you don't care about the right to privacy because you have nothing to hide is no different than saying you don't care about free speech because you have nothing to say. – Edward Snowden
    tilde.fun – dein kostenloser Linux-Account in der Cloud | Inoffizielle ngb-Telegram-Gruppe
    GCM/S/TW d s+:- a-----? C++$ UL+++$ P-- L+++ E---- W++++ !N ?K w- M-- !P[A-Z] Y++ PGP R* tv-- b++>++++ DI++\:\( G+ e+>++++ h*

  4. #4
    Defender of Freedom

    Administrator

    Avatar von Metal_Warrior
    Registriert seit
    Aug 2013
    Ort
    /dev/mapper/home
    Beiträge
    3.276
    ngb:news Artikel
    6

    Re: GNU/Linux härten / beste Vorgehensweise bei Multi-User-Systemen

    @phre4k: Da würde ich dann nicht im Uni-Umfeld fragen... was wir da schon Sicherheitsverstöße gefunden haben, geht auf keine Kuhhaut...
    GCM/IT/S/O d-(--) s+:- a? C++(+++) UL+++(++++)$ P L+++>++++ W++ w@$ M--$ PS+(++) PE(-) Y+(++) PGP++(+++) t+ 5(+) R* !tv b+(++++) DI(++) G++ e+>++++ h(--) y?
    Das Ende ist nahe: Dem Harleyschen Kometen folgt der Gammablitz beim Scheißen.

  5. #5
    \''; DROP TABLE user; --

    Administrator

    Avatar von electric.larry
    Registriert seit
    Dec 2014
    Ort
    Raum 43
    Beiträge
    1.503
    ngb:news Artikel
    80

    Re: GNU/Linux härten / beste Vorgehensweise bei Multi-User-Systemen

    Würde mich auch interessieren. Vor allem in Bezug auf Webhosting mit vielen Usern, die eventuell Ihre CMSs nicht auf dem aktuellen Stand halten. Hatte früher alle Websites als www-data laufen. Sobald sich jemand eine PHP Shell eintritt, konnte der Angreifer auch auf die anderen Sites zugreifen. Bin dann dazu übergegangen PHP/FPM einzusetzen, Webroots zu chailen und PHP unter getrennten Usern laufen zu lassen. Funktioniert, weiss aber nicht, ob das der richtige Weg ist.
    ~❤~

  6. #6
    Mitglied

    (Threadstarter)

    Avatar von phre4k
    Registriert seit
    Mar 2015
    Beiträge
    5.374
    ngb:news Artikel
    4

    Re: GNU/Linux härten / beste Vorgehensweise bei Multi-User-Systemen

    @electric.larry: ist der richtige Weg. Ein Schritt weiter wäre Docker, noch ein Schritt weiter wäre SELinux, was man auch wunderbar mit Docker kombinieren kann.
    *mit Linux wäre das natürlich nicht passiert™
    Arguing that you don't care about the right to privacy because you have nothing to hide is no different than saying you don't care about free speech because you have nothing to say. – Edward Snowden
    tilde.fun – dein kostenloser Linux-Account in der Cloud | Inoffizielle ngb-Telegram-Gruppe
    GCM/S/TW d s+:- a-----? C++$ UL+++$ P-- L+++ E---- W++++ !N ?K w- M-- !P[A-Z] Y++ PGP R* tv-- b++>++++ DI++\:\( G+ e+>++++ h*

  7. #7
    Mitglied
    Registriert seit
    Jul 2013
    Ort
    /dev/null
    Beiträge
    2.290

    Re: GNU/Linux härten / beste Vorgehensweise bei Multi-User-Systemen

    Ohne jetzt Übertreibungen wie chroot, rsh usw. zu verwenden.

    • SELinux verwenden
    • UMask 0077 verwenden (keine Rechte für Gruppen und Others)
    • Als Gruppe eines Nutzers den Usernamen und nicht users verwenden.
    • Quota für Userverzeichnisse einführen.
    • Rechte von Scripten in /usr/local/bin mit 700 versehen, bzw. Gruppen einführen, die bestimmte Sachen dürfen.
    • Nutzung der Gruppe wheel für su (ist/war unter Gentoo Standard).


    Sind so die ersten Sachen, die mir jetzt einfallen.
    Für diesen Beitrag bedankt sich phre4k

  8. #8
    \''; DROP TABLE user; --

    Administrator

    Avatar von electric.larry
    Registriert seit
    Dec 2014
    Ort
    Raum 43
    Beiträge
    1.503
    ngb:news Artikel
    80

    Re: GNU/Linux härten / beste Vorgehensweise bei Multi-User-Systemen

    Danke für eure Hinweise.

    Die Docker Variante haben wir vor kurzem mit einem Kollegen auch besprochen. Der meinte aber, ohne sehr viel Erfahrung mit Docker zu haben, dass er davon ausgeht, dass das viele Ressourcen fressen würde, auf einem Host mit 100+ Sites. Wie seht ihr das?

    Wie würde das konfigurationsmäßig aussehen, wenn jeder Container auf einer anderen IP hört? Kann man Apache wie einen Proxy konfigurieren, oder würde man - wie hier am Board - einen Nginx als Proxy dazwischen hängen?
    ~❤~

  9. #9
    Mitglied

    (Threadstarter)

    Avatar von phre4k
    Registriert seit
    Mar 2015
    Beiträge
    5.374
    ngb:news Artikel
    4

    Re: GNU/Linux härten / beste Vorgehensweise bei Multi-User-Systemen

    Zitat Zitat von electric.larry Beitrag anzeigen
    Die Docker Variante haben wir vor kurzem mit einem Kollegen auch besprochen. Der meinte aber, ohne sehr viel Erfahrung mit Docker zu haben, dass er davon ausgeht, dass das viele Ressourcen fressen würde, auf einem Host mit 100+ Sites. Wie seht ihr das?
    Sehe da kein Problem. Habe ohne Probleme auf einem Server ~40 Docker-Container mit dem php7 Image am Laufen, nebenbei noch einige andere Container mit "fetteren" Images. Und das ist ein 12€ vServer…

    Empfehle euch Alpine Linux als Basis zu nehmen und ein eigenes Image zu erstellen, da kann man dann alle auf einmal optimieren. Falls ihr Knowhow braucht, bin ich über PN erreichbar

    Wie würde das konfigurationsmäßig aussehen, wenn jeder Container auf einer anderen IP hört? Kann man Apache wie einen Proxy konfigurieren, oder würde man - wie hier am Board - einen Nginx als Proxy dazwischen hängen?
    Wenn es alles Webapps sind, ist das sogar noch viel einfacher: dann nimmt man einfach https://traefik.io/. Der zieht dann automatisch für jede Seite ein Zertifikat von Let's Encrypt und puffert Ressourcen. Als kleines Schmankerl kann der sogar noch Load Balancing.
    Für diesen Beitrag bedanken sich saddy, electric.larry
    *mit Linux wäre das natürlich nicht passiert™
    Arguing that you don't care about the right to privacy because you have nothing to hide is no different than saying you don't care about free speech because you have nothing to say. – Edward Snowden
    tilde.fun – dein kostenloser Linux-Account in der Cloud | Inoffizielle ngb-Telegram-Gruppe
    GCM/S/TW d s+:- a-----? C++$ UL+++$ P-- L+++ E---- W++++ !N ?K w- M-- !P[A-Z] Y++ PGP R* tv-- b++>++++ DI++\:\( G+ e+>++++ h*

  10. #10
    \''; DROP TABLE user; --

    Administrator

    Avatar von electric.larry
    Registriert seit
    Dec 2014
    Ort
    Raum 43
    Beiträge
    1.503
    ngb:news Artikel
    80

    Re: GNU/Linux härten / beste Vorgehensweise bei Multi-User-Systemen

    Danke fur die ausführliche Atwort! Ich muss mir das dringend genauer anschauen.
    ~❤~

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein
  •