Säkra en webserver

Trädvy Permalänk
Medlem
Plats
Rymden
Registrerad
Dec 2010

Säkra en webserver

Tjenare har ett par frågor om hemma hostad webserver. Tänkte driva min egna hemsida på den.
Jag använder mig utav Linux Ubuntu Server.
Hur gör jag för att säkra mig emot intrång och annat folk vill leta reda på?
Hur döljer jag information om klienter anslutna till mig egna nätverk? Så att dom inter ser alla datorer jag har hemma?
Kan jag på något sätt dölja min IP eller liknande? Så att mitt hemnätverk är så skyddat som möjligt, de ska endast kunna komma åt webservern.

Vad kan jag göra?
Alla tips är tacksamma

(Om jag skulle vilja ha något annat än en hemida, vad skulle jag kunna ha då? )

//Skum-tomte

Trädvy Permalänk
Medlem
Registrerad
Apr 2002
Trädvy Permalänk
Medlem
Plats
Finland
Registrerad
Nov 2002

Se till att du inte har onödiga portar öppna på server. Kör med så få servicar som möjligt (minierar chansen till en bugg som möjlig gör exploatering). Kör https sida så att det är svårare att avläsa trafiken till/från servern. Om du användare php sidor, se till att koden till räckligt ofta kollar efter rättigheter så att man inte kan injicera data som behandlas utan att kolla efter användarrättigheter. Lägg inte till din server i googles register, samt sätt in meta data för att meddela sökmotorer att inte lista dina sidor.
Du kan inte gömma ip-adressen mera än att du ser till att den inte svara på annat än html förfrågningar. Dvs du skall droppa ping paket t.ex. Du kan även flytta porten som du kommer åt din webserver till någon annan än 80 eller 443.
Många av dessa förslag är mest för att minska chansen att någon med små kunskaper inom hacking inte skall lika lätt komma åt. Det är så gott som omöjligt att hålla data tillgängligt på internet samtidigt som man vill vara 100% säker på att ingen annan kan komma åt det. Men ju flere lager av säkerhet du bygger upp, destor jobbigare blir det.

Hp Workstation Z800, DUAL Xeon X5570, 24GB RAM, Asus GTX660, 2 x 128GB SSD + 150GB Velociraptor
Server: AthlonII X4, 4GB DDR1333, GF 7200GS, 2,5" 500GB 5,4krpm för OS.

Trädvy Permalänk
Medlem
Plats
Rymden
Registrerad
Dec 2010
Skrivet av warzo:

Se till att du inte har onödiga portar öppna på server. Kör med så få servicar som möjligt (minierar chansen till en bugg som möjlig gör exploatering). Kör https sida så att det är svårare att avläsa trafiken till/från servern. Om du användare php sidor, se till att koden till räckligt ofta kollar efter rättigheter så att man inte kan injicera data som behandlas utan att kolla efter användarrättigheter. Lägg inte till din server i googles register, samt sätt in meta data för att meddela sökmotorer att inte lista dina sidor.
Du kan inte gömma ip-adressen mera än att du ser till att den inte svara på annat än html förfrågningar. Dvs du skall droppa ping paket t.ex. Du kan även flytta porten som du kommer åt din webserver till någon annan än 80 eller 443.
Många av dessa förslag är mest för att minska chansen att någon med små kunskaper inom hacking inte skall lika lätt komma åt. Det är så gott som omöjligt att hålla data tillgängligt på internet samtidigt som man vill vara 100% säker på att ingen annan kan komma åt det. Men ju flere lager av säkerhet du bygger upp, destor jobbigare blir det.

Räcker det med ubuntu server, har den redan en inbyggt brandvägg?

Ska jag koppla in server direkt till uttaget eller via routern eller en separat router?

Hur blockerar jag så att det bara går att ansluta via http som du nämnde?

Skickades från m.sweclockers.com

Trädvy Permalänk
Medlem
Plats
Stenungsund
Registrerad
Okt 2007

Du skall koppla in servern bakom din router, med portforwarding på port 80, samt eventuellt även port 443 (för https), till serverns interna ip-adress.
Vill du kunna ansluta med ssh utifrån, måste du även forwarda porten för ssh (default port 22).

Ubuntu kommer med UFW - Uncomplicated Firewall som standard.
Guide finns - Här

Ditt hemmanätverk, som också ligger bakom routern, är just av denna anledning inte synligt utifrån.

i7 2600K - ASRock P67 Extreme 6 - 8GB Vengeance - GTX 560ti OC - Vertex 3 120
-> http://lamslagen.com
-> Telia Smart - Inte så smart

Trädvy Permalänk
Medlem
Plats
Finland
Registrerad
Nov 2002
Skrivet av Skum-tomte:

Räcker det med ubuntu server, har den redan en inbyggt brandvägg?

Ska jag koppla in server direkt till uttaget eller via routern eller en separat router?

Hur blockerar jag så att det bara går att ansluta via http som du nämnde?

Skickades från m.sweclockers.com

Jag kommer tyvärr att ge ett svar som du knappast tycker om, men läs på. Din server blir enbart så säker som du har kunskaper om att göra den. Utan kunskaper kan du inte göra den säker, det är tyvärr så. Var beredd på att lägga ner tid, och var inte rädd för att experimentera och försöka.

Ubuntu server kan du gott använda, jag vet inte om den har inbyggd brandvägg, använder inte ubuntu själv. Om du vill lägga den före eller efter nätverkets router är upp till dig. Bakom nuvarande router ger dig "ett lager till av skydd" om du kör med nat, eftersom enbart de portar du forwardar är de som sänder trafik vidare till din server.
Brandväggen är den som blockera portar, eller egentligen aggerar enligt lista på inkommande/utgående paket.

En viktigt fråga du måste fråga dig själv är också hur enormt viktigt det är att verkligen skydda det du har. Är det värt att lägga 100 tals timmar på att lära sig, eller räcker det med att se till att amatör hackers inte direkt får åtkomst. Har du verkligen något som hackare är intresserade av att komma åt och kommer att jobba för att nå?

PS: Se till att även uppdatera din servers program, speciellt säkerhets uppdateringar och främst för de programmen som är synliga till nätet, eftersom de gör största risken för intrång om en känd bugg finns i den version du använder.

Hp Workstation Z800, DUAL Xeon X5570, 24GB RAM, Asus GTX660, 2 x 128GB SSD + 150GB Velociraptor
Server: AthlonII X4, 4GB DDR1333, GF 7200GS, 2,5" 500GB 5,4krpm för OS.

Trädvy Permalänk
Medlem
Plats
Rymden
Registrerad
Dec 2010

Tackar för svaren.
Hur gör jag för att sätta servern innan routern? Vad behöver jag? Jag har bara ett uttag.

Det är ju onödigt att dom kanske vill försöka förstöra hemsidan eller annat.

och om min domän är kopplad till min IP så kan dom ju lätt kunna ddosa och mitt internet försvinner.

Finns det möjlighet att kunna begränsa hur mycket internet servern ska kunna få ta?
Tex om jag har 10/10mbit så kanske jag vill att servern ska kunna få 1/1 och det som är kopplat till routern ska kunna få 9/9?

Mvh

Skickades från m.sweclockers.com

Trädvy Permalänk
Medlem
Plats
Hudiksvall
Registrerad
Okt 2004

vad du också kan göra är att sätta upp olika subnät, ett för din webserver och resten för ditt Lan. men vet inte hur det går att ordna med en vanlig hemmarouter utan opensource firmware.

//Tobias

..:: Workstation ::.. ..:: Asus P8Z77-v LX ::.. ..:: MSI GTX1060 6GB ::.. ..:: i5 3450 Ivy Bridge /w Antec KÜHLER H2O 620 Sluten Vattenkylning ::.. ..:: Corsair 16GB DDR3 600MHz/CL9/VENG ::.. ..:: NoName 650W ::.. ..:: Dell 24" 2408WFP ::.. ..:: Server ::.. ..:: AMD ..:: FX-8320 ::.. ..:: 16GB ::.. ..:: XFX HD6450 ::.. ..::250GB SSD Samsung 840 EVO::.. ..:: 3x 2TB wd black ::.. ..:: VCP6-DCV ::.. ..:: vmware esxi 6.5 ::..

Trädvy Permalänk
Medlem
Plats
Mälardalen
Registrerad
Okt 2009
Skrivet av Skum-tomte:

Tackar för svaren.
Hur gör jag för att sätta servern innan routern? Vad behöver jag? Jag har bara ett uttag.

Det skulle jag avråda från. Dels för att det blir besvärligare att sprida Internet till övriga datorer på nätverket, dels för att du exponerar serven mer. Sätt den bakom routern.

Citat:

Det är ju onödigt att dom kanske vill försöka förstöra hemsidan eller annat.

Helt rätt, därför bör man ha någon form av skydd.

Citat:

och om min domän är kopplad till min IP så kan dom ju lätt kunna ddosa och mitt internet försvinner.

Skulle inte säga att risken blir så där hemskt mycket större. Inte så att du ska behöva bryta ryggen av dig för att implementera något extra skydd.

Citat:

Finns det möjlighet att kunna begränsa hur mycket internet servern ska kunna få ta?
Tex om jag har 10/10mbit så kanske jag vill att servern ska kunna få 1/1 och det som är kopplat till routern ska kunna få 9/9?

Du skulle kunna använda QoS på routern. Tyvärr har jag aldrig fått det att fungera som jag vill men jag har å andra sidan inte försökt så mycket. Ett annat alternativ är att göra det direkt på servern med t ex Netlimiter.

Det du behöver göra är följande:
- Fundera på vad du vill uppnå och hur du vill att det ska se ut när du är klar
- Tänk till på en övergripande lösning och gör en skiss
- Kolla vad du har för prylar och vad du kanske behöver köpa till
- Leta efter lämpliga programvaror och testa dem. Se till att läsa noga om kända buggar eller säkerhetshål

Ne nos sequere nobis secede

Trädvy Permalänk
Medlem
Plats
Rymden
Registrerad
Dec 2010

Det gav ju ett extra skydd sa ju en kille i tråden.
Hur menas det?

Om det är fel så kan nu gärna visa med en bild hur det sak se ut.

Trädvy Permalänk
Medlem
Plats
Mälardalen
Registrerad
Okt 2009
Skrivet av Skum-tomte:

Det gav ju ett extra skydd sa ju en kille i tråden.
Hur menas det?
http://i.imgur.com/3kmxn.png

Om det är fel så kan nu gärna visa med en bild hur det sak se ut.

Vem sa vad gav extra skydd? Hänger tyvärr inte alls med på vad du menar.

Ne nos sequere nobis secede

Trädvy Permalänk
Medlem
Plats
Rymden
Registrerad
Dec 2010
Skrivet av Wolfclaw:

Vem sa vad gav extra skydd? Hänger tyvärr inte alls med på vad du menar.

Skrivet av aztekk:

Du skall koppla in servern bakom din router, med portforwarding på port 80, samt eventuellt även port 443 (för https), till serverns interna ip-adress.
Vill du kunna ansluta med ssh utifrån, måste du även forwarda porten för ssh (default port 22).

Ubuntu kommer med UFW - Uncomplicated Firewall som standard.
Guide finns - Här

Ditt hemmanätverk, som också ligger bakom routern, är just av denna anledning inte synligt utifrån.

Precis som den här nämner menar jag.

Trädvy Permalänk
Medlem
Plats
Bålsta
Registrerad
Nov 2010
Skrivet av Skum-tomte:

Tackar för svaren.
Hur gör jag för att sätta servern innan routern? Vad behöver jag? Jag har bara ett uttag.

Det är ju onödigt att dom kanske vill försöka förstöra hemsidan eller annat.

och om min domän är kopplad till min IP så kan dom ju lätt kunna ddosa och mitt internet försvinner.

Finns det möjlighet att kunna begränsa hur mycket internet servern ska kunna få ta?
Tex om jag har 10/10mbit så kanske jag vill att servern ska kunna få 1/1 och det som är kopplat till routern ska kunna få 9/9?

Mvh

hmm, vad ska du hosta på din server? 1/1Mbit blir 200kbyte/s. Om du har en bild på 2mb så tar det 10sekunder att ladda med fullt sprut.

tror du att din egna server kommer bli så uppmärksammad att du måste strypa tillgången? Starta upp och prov kör ett tag - märker du att det inte funkar så kan du återkomma för hjälp

att bli ddosad betyder att all din datortrafik blir pingad och din server kan varken skicka eller ta emot data.

Skickades från m.sweclockers.com

~. Citera så jag hittar tillbaka .~

Trädvy Permalänk
Medlem
Plats
Rymden
Registrerad
Dec 2010
Skrivet av KeVVa:

hmm, vad ska du hosta på din server? 1/1Mbit blir 200kbyte/s. Om du har en bild på 2mb så tar det 10sekunder att ladda med fullt sprut.

tror du att din egna server kommer bli så uppmärksammad att du måste strypa tillgången? Starta upp och prov kör ett tag - märker du att det inte funkar så kan du återkomma för hjälp

att bli ddosad betyder att all din datortrafik blir pingad och din server kan varken skicka eller ta emot data.

Skickades från m.sweclockers.com

Jag har inte 10/10 Mbit det var bara ett exempel.

Trädvy Permalänk
Medlem
Plats
Mälardalen
Registrerad
Okt 2009
Skrivet av Skum-tomte:

Precis som den här nämner menar jag.

Fast han skriver ju bakom routern och du talar om framför den. Din skiss har också placerat servern framför routern, helt exponerad mot Internet.

Ne nos sequere nobis secede

Trädvy Permalänk
Medlem
Plats
Rymden
Registrerad
Dec 2010

Okej, kan ni rita upp hur han menar att jag ska koppla ihop allt?

Skickades från m.sweclockers.com

Trädvy Permalänk
Medlem
Plats
Mälardalen
Registrerad
Okt 2009
Skrivet av Skum-tomte:

Okej, kan ni rita upp hur han menar att jag ska koppla ihop allt?

Kan skicka ett förslag på enklaste möjliga kopplingen, utan någon extra hårdvarubrandvägg.

Detta är bara ett exempel på hur det skulle kunna se ut. Du måste bestämma hur du själv vill ha det i slutändan, vad du vill uppnå och hur du vill skydda det.

Ne nos sequere nobis secede

Trädvy Permalänk
Medlem
Plats
Rymden
Registrerad
Dec 2010
Skrivet av Wolfclaw:

Kan skicka ett förslag på enklaste möjliga kopplingen, utan någon extra hårdvarubrandvägg.

http://img542.imageshack.us/img542/113/exempelv.jpg

Detta är bara ett exempel på hur det skulle kunna se ut. Du måste bestämma hur du själv vill ha det i slutändan, vad du vill uppnå och hur du vill skydda det.

Som jag nämnde tidigare i tråden är att dom inte ska kunna se något i mitt nätverk utan dom ska bara kunna se min webserver.
Just nu är den kopplad till routern.

Trädvy Permalänk
Medlem
Plats
Mälardalen
Registrerad
Okt 2009
Skrivet av Skum-tomte:

Som jag nämnde tidigare i tråden är att dom inte ska kunna se något i mitt nätverk utan dom ska bara kunna se min webserver.
Just nu är den kopplad till routern.

Ja, och det är en bra början. Sen får du dirigera trafiken genom routern så att det som ska till webbservern hamnar där.

Ne nos sequere nobis secede

Trädvy Permalänk
Medlem
Plats
Rymden
Registrerad
Dec 2010
Skrivet av Wolfclaw:

Ja, och det är en bra början. Sen får du dirigera trafiken genom routern så att det som ska till webbservern hamnar där.

Hur gör jag det då? Har aldrig gjort något sådant innan.

Trädvy Permalänk
Medlem
Registrerad
Sep 2006

Snygg bild, i vad har du skapat den?

Trädvy Permalänk
Medlem
Plats
Mälardalen
Registrerad
Okt 2009
Skrivet av zodiakonline:

Snygg bild, i vad har du skapat den?

Visio 2010

Ne nos sequere nobis secede

Trädvy Permalänk
Medlem
Plats
Mälardalen
Registrerad
Okt 2009
Skrivet av Skum-tomte:

Hur gör jag det då? Har aldrig gjort något sådant innan.

Du vill alltså sätta upp en webbserver men har ingen aning om hur nätverk och servrar fungerar? Ledsen men jag tror du behöver läsa på lite om det. Vi kan inte berätta i detalj exakt alla handgrepp och inställningar du behöver göra. Vi kan ge dig en knuff i rätt riktning eller komma med förlag om du kör fast men själva grovjobbet måste du göra själv.

Men för att svara på din fråga kan du köra portforward i din router. Exakta inställningar beror på din modell, men du sätter port 80 att peka mot den IP-adress som din webbserver har.

Ne nos sequere nobis secede

Trädvy Permalänk
Medlem
Plats
Rymden
Registrerad
Dec 2010

Jag ber inte att ni ska göra det åt mig?
Jag frågade bara hur jag gjorde.
Jag har installerat allt på min server helt själv, men jag undrade om jag behöver fixa något mera och isåfall vad och hur jag gör det.

Skickades från m.sweclockers.com

Trädvy Permalänk
Medlem
Plats
Mälardalen
Registrerad
Okt 2009
Skrivet av Skum-tomte:

Jag ber inte att ni ska göra det åt mig?
Jag frågade bara hur jag gjorde.
Jag har installerat allt på min server helt själv, men jag undrade om jag behöver fixa något mera och isåfall vad och hur jag gör det.

Ok, då hoppas jag du är nöjd med svaren du fått.

Ne nos sequere nobis secede