• Hallo liebe Userinnen und User,

    nach bereits längeren Planungen und Vorbereitungen sind wir nun von vBulletin auf Xenforo umgestiegen. Die Umstellung musste leider aufgrund der Serverprobleme der letzten Tage notgedrungen vorverlegt werden. Das neue Forum ist soweit voll funktionsfähig, allerdings sind noch nicht alle der gewohnten Funktionen vorhanden. Nach Möglichkeit werden wir sie in den nächsten Wochen nachrüsten. Dafür sollte es nun einige der Probleme lösen, die wir in den letzten Tagen, Wochen und Monaten hatten. Auch der Server ist nun potenter als bei unserem alten Hoster, wodurch wir nun langfristig den Tank mit Bytes vollgetankt haben.

    Anfangs mag die neue Boardsoftware etwas ungewohnt sein, aber man findet sich recht schnell ein. Wir wissen, dass ihr alle Gewohnheitstiere seid, aber gebt dem neuen Board eine Chance.
    Sollte etwas der neuen oder auch gewohnten Funktionen unklar sein, könnt ihr den "Wo issn da der Button zu"-Thread im Feedback nutzen. Bugs meldet ihr bitte im Bugtracker, es wird sicher welche geben die uns noch nicht aufgefallen sind. Ich werde das dann versuchen, halbwegs im Startbeitrag übersichtlich zu halten, was an Arbeit noch aussteht.

    Neu ist, dass die Boardsoftware deutlich besser für Mobiltelefone und diverse Endgeräte geeignet ist und nun auch im mobilen Style alle Funktionen verfügbar sind. Am Desktop findet ihr oben rechts sowohl den Umschalter zwischen hellem und dunklem Style. Am Handy ist der Hell-/Dunkelschalter am Ende der Seite. Damit sollte zukünftig jeder sein Board so konfigurieren können, wie es ihm am liebsten ist.


    Die restlichen Funktionen sollten eigentlich soweit wie gewohnt funktionieren. Einfach mal ein wenig damit spielen oder bei Unklarheiten im Thread nachfragen. Viel Spaß im ngb 2.0.

GNU/Linux härten / beste Vorgehensweise bei Multi-User-Systemen

sia

gesperrt

Registriert
26 März 2015
Beiträge
5.931
Ort
FFM (NSFW)
Hallo Leute,

Ich habe einen Server mit ein paar Accounts, deren Inhaber ich nicht kenne (siehe Signatur). Dort gab es jetzt einen Vorfall mit "bösartiger" Nutzung.

Habe unter anderem folgendes in der [kw]/etc/fstab[/kw], damit User die laufenden Prozesse nicht anzeigen können:

Code:
proc /proc proc defaults,hidepid=2,gid=admin 0 0

Ansonsten natürlich das "principle of least privilege". Ich wollte jetzt nicht jeden User mit einer custom shell oder chroot in seinem Homeverzeichnis einsperren.

Lynis Enterprise habe ich auch schon drüber laufen lassen und einige Empfehlungen umgesetzt.

Was kann man bei solchen Systemen – wie sie ja auch im wissenschaftlichen Bereich gerne mal eingesetzt werden – generell machen, um die Sicherheit zu erhöhen? Habt ihr vielleicht einen Guide für die Admins von Supercomputern oder sowas ähnliches?
 

Metal_Warrior

Defender of Freedom
Teammitglied

Registriert
10 Aug. 2013
Beiträge
6.830
Ort
/dev/mapper/home
@phre4k: Supercomputing läuft völlig anders als du dir das hier vorstellst - da arbeiten die User üblicherweise nur auf Login-Knoten, die dann ihrerseits die angestoßenen Berechnungen auf zehn- bis hunderttausende Nodes verteilen. Die Loginknoten selbst haben daher kaum relevante Informationen, und ob die separat trotzdem abgesichert werden, weiß ich ehrlich gesagt nicht. Ich kann aber mal schauen, ob ich den ein oder anderen Admin in so zwei Wochen treffe, dann kann ich da mal fragen. Wenn dir das dann noch reicht.
 

sia

gesperrt

Registriert
26 März 2015
Beiträge
5.931
Ort
FFM (NSFW)
  • Thread Starter Thread Starter
  • #3
Geht mir jetzt nicht per se um Supercomputing, sondern Systeme mit vielen (>10) Usern, die prinzipiell Hacker sein könnten.
 

electric.larry

\''; DROP TABLE user; --
Teammitglied

Registriert
13 Dez. 2014
Beiträge
4.549
Ort
Raum 43
Würde mich auch interessieren. Vor allem in Bezug auf Webhosting mit vielen Usern, die eventuell Ihre CMSs nicht auf dem aktuellen Stand halten. Hatte früher alle Websites als www-data laufen. Sobald sich jemand eine PHP Shell eintritt, konnte der Angreifer auch auf die anderen Sites zugreifen. Bin dann dazu übergegangen PHP/FPM einzusetzen, Webroots zu chailen und PHP unter getrennten Usern laufen zu lassen. Funktioniert, weiss aber nicht, ob das der richtige Weg ist.
 

sia

gesperrt

Registriert
26 März 2015
Beiträge
5.931
Ort
FFM (NSFW)
  • Thread Starter Thread Starter
  • #6
@electric.larry: ist der richtige Weg. Ein Schritt weiter wäre Docker, noch ein Schritt weiter wäre SELinux, was man auch wunderbar mit Docker kombinieren kann.
 

musv

Bekannter NGBler

Registriert
15 Juli 2013
Beiträge
3.453
Ort
/dev/null
Ohne jetzt Übertreibungen wie chroot, rsh usw. zu verwenden.

  • SELinux verwenden
  • UMask 0077 verwenden (keine Rechte für Gruppen und Others)
  • Als Gruppe eines Nutzers den Usernamen und nicht users verwenden.
  • Quota für Userverzeichnisse einführen.
  • Rechte von Scripten in /usr/local/bin mit 700 versehen, bzw. Gruppen einführen, die bestimmte Sachen dürfen.
  • Nutzung der Gruppe wheel für su (ist/war unter Gentoo Standard).

Sind so die ersten Sachen, die mir jetzt einfallen.
 

electric.larry

\''; DROP TABLE user; --
Teammitglied

Registriert
13 Dez. 2014
Beiträge
4.549
Ort
Raum 43
Danke für eure Hinweise.

Die Docker Variante haben wir vor kurzem mit einem Kollegen auch besprochen. Der meinte aber, ohne sehr viel Erfahrung mit Docker zu haben, dass er davon ausgeht, dass das viele Ressourcen fressen würde, auf einem Host mit 100+ Sites. Wie seht ihr das?

Wie würde das konfigurationsmäßig aussehen, wenn jeder Container auf einer anderen IP hört? Kann man Apache wie einen Proxy konfigurieren, oder würde man - wie hier am Board - einen Nginx als Proxy dazwischen hängen?
 

sia

gesperrt

Registriert
26 März 2015
Beiträge
5.931
Ort
FFM (NSFW)
  • Thread Starter Thread Starter
  • #9
Die Docker Variante haben wir vor kurzem mit einem Kollegen auch besprochen. Der meinte aber, ohne sehr viel Erfahrung mit Docker zu haben, dass er davon ausgeht, dass das viele Ressourcen fressen würde, auf einem Host mit 100+ Sites. Wie seht ihr das?
Sehe da kein Problem. Habe ohne Probleme auf einem Server ~40 Docker-Container mit dem php7 Image am Laufen, nebenbei noch einige andere Container mit "fetteren" Images. Und das ist ein 12€ vServer…

Empfehle euch Alpine Linux als Basis zu nehmen und ein eigenes Image zu erstellen, da kann man dann alle auf einmal optimieren. Falls ihr Knowhow braucht, bin ich über PN erreichbar ;)

Wie würde das konfigurationsmäßig aussehen, wenn jeder Container auf einer anderen IP hört? Kann man Apache wie einen Proxy konfigurieren, oder würde man - wie hier am Board - einen Nginx als Proxy dazwischen hängen?
Wenn es alles Webapps sind, ist das sogar noch viel einfacher: dann nimmt man einfach https://traefik.io/. Der zieht dann automatisch für jede Seite ein Zertifikat von Let's Encrypt und puffert Ressourcen. Als kleines Schmankerl kann der sogar noch Load Balancing.
 
Oben