Sie möchten Ihren virtuellen oder dedizierten Server sichern?
Gerade in der Ferienzeit treten vermehrt Vorfälle von Hackversuchen oder DDoS-Attacken auf. Sie wollen wissen, wie Sie Ihren Server davor schützen?
Sicherung des Apache Webservers
Um den Apache Webserverdienst gegen DDoS-Angriffe zu schützen, bietet sich das Modul mod_evasive
an. Die Installation ist denkbar einfach:
apt-get install libapache2-mod-evasive
Nun muss die Konfiguration vorgenommen werden. Fügen Sie folgenden Code in die /etc/apache2/apache2.conf
ein:
DOSHashTableSize 3097
DOSPageCount 100
DOSSiteCount 100
DOSPageInterval 15
DOSSiteInterval 15
DOSBlockingPeriod 6000
DOSEmailNotify root@localhost
DOSLogDir "/var/lock/mod_evasive"
Anschließend:
/etc/init.d/apache2 force-reload
Sicherung von SSH
Um Brute-Force-Angriffe auf den SSH-Dienst zu verhindern, empfiehlt sich der Einsatz von DenyHosts
.
Installation:
apt-get install denyhosts
Bearbeiten Sie die Konfiguration in /etc/denyhosts.conf
:
BLOCK_SERVICE = sshd
DENY_THRESHOLD_INVALID = 3
DENY_THRESHOLD_VALID = 3
DENY_THRESHOLD_ROOT = 3
Starten Sie DenyHosts:
/etc/init.d/denyhosts restart
Aussperren eines Angreifers
Erstellen Sie das Skript /usr/local/bin/denyiptables.sh
mit folgendem Inhalt:
#!/bin/bash
ROOT_UID=0
E_NOTROOT=67
if [ "$UID" != "$ROOT_UID" ]; then
echo "Must be root to run this script."
exit $E_NOTROOT
fi
iptables -F
for x in `cat /etc/hosts.deny | grep -v ^# | cut -d : -f 2`; do
/usr/local/bin/deny.sh $x
done
exit 0;
Machen Sie die Skripte ausführbar:
chmod +x /usr/local/bin/deny.sh /usr/local/bin/denyiptables.sh
System updaten
Führen Sie regelmäßige Updates durch, um Sicherheitslücken zu schließen:
Debian:
apt-get update
apt-get dist-upgrade
SSH gegen Angriffe absichern
- Root-Login verbieten:
- In
/etc/ssh/sshd_config
ändern:
PermitRootLogin no
- SSH neu starten:
/etc/init.d/ssh restart
- Auf Protokoll 2 umsteigen:
- In
/etc/ssh/sshd_config
ändern:
Protocol 2
Der wichtigste Bestandteil ist allerdings, die Software aktuell zu halten!