Trädvy Permalänk
Medlem
Registrerad
Jun 2007

Smart privatserver lösning?

Funderar på att göra något mer vettigt med min burk som bara står som ircbox.
Hade tänkt ftp och http med, fast privat. Hur gör jag den säkraste lösningen för att få det så bra som möjligt? Spawnade lite på att användaren skulle vara tvungen att gå in via ssh för att tillåta det dåvarande ip:t i httpd och ftpd (kalla mig paranoid), men kom på att man inte har tillgång till ssh överallt.

Vill helst inte att det ska vara publikt på något sätt, då jag sett hur många som försöker hacka sig in på ssh som jag just nu kör helt öppet på port 22.

Har hört lite om ett program som heter fail2ban. Är det något som bannar användaren om den misslyckas att logga in på visst antal försök eller vad är det? Har inte orkat kolla upp det .:P

Vad har ni för tips och lösningar?
Skulle gärna vilja ha tips på någon bra ftpd också, gärna något enkelt och säkert.

Burken ifråga är en PIII på 700mhz med 384mb ram

Glömde att nämna att jag kör Gentoo på burken om det gör någon nytta

Trädvy Permalänk
Medlem
Plats
Svedala
Registrerad
Apr 2002

Du skulle ju kunna titta på någon variant av portknackning, dvs. att man ska ansluta till ett antal utvalda portar i följd först för att man ska få tillgång till ssh/ftp/http/whatever sedan.

http://en.wikipedia.org/wiki/Port_knocking

Trädvy Permalänk
Medlem
Plats
Malmö
Registrerad
Jul 2001

Denna är rätt bra för SSH, tilllåter bara 3 försök/5min

# protect SSH from bruteforces iptables -A INPUT -i eth1 -p tcp -m state --state NEW --dport 22 -m recent --update --seconds 300 --hitcount 3 --rttl -j FIREWALL iptables -A INPUT -i eth1 -p tcp -m state --state NEW --dport 22 -m recent --set -j ACCEPT

Trädvy Permalänk
Medlem
Registrerad
Jun 2007

Typiskt att gentoo-wiki.com är nere >.<, är inte så jätte haj på allt
nillon: Verkar bra, men inte riktigt så paranoid är jag inte (än)

Kom på att på http räcker det om jag lägger in .htaccess med login. Antar att det är ganska säkert? men kan jag göra så att användaren endast har ett visst antal försök här med?
Det är framför allt ftp som jag villl ha tips på vad jag ska använda och köra för att det ska vara säkert.

maDa: Har inte iptables och jag vet inte riktigt hur det funkar, får väl vänta med att installera allt tills gentoo-wiki är uppe

Men fler förslag?

Trädvy Permalänk
Medlem
Plats
Stockholm
Registrerad
Mar 2004

Är ingen expert men rent på rak arm så skulle jag först och främst lägga ftp:n på någon annan port än just 21. Sen så kör min kompis sFTP kryptering vilket verkar fungera bra.

| i5 6500 | asus z170-k | asus 970 strix | 16gb ddr4 | asus mg279Q | FD Define r4

Trädvy Permalänk
Medlem
Plats
/bin/bash
Registrerad
Mar 2002

Att byta port gör det inte mer säkert. Portscan som visar vilken tjänst som kör på respektive port kommer ändå avslöja eventuell ftp tjänst.

Använd vsftpd för ft. Det där fail2ban var rätt enkelt att ställa in men hade också stora valmöjligheter vad gäller att kustomisera vad och hur den ska hantera diverse intrångsförsök. Vad gäller att säkra apache så ska du göra det ordentligt är det inge htaccess filer och sånt du ska göra utan du ska chroot'a apachen och lära dig vad som ska vara in confen och inte. en just guide är http://www.securityfocus.com/infocus/1786

Cisco - Linux - VMWare
-- Citera mig om ni vill få återkoppling --

Trädvy Permalänk
Medlem
Plats
V-ås - är jag inte söt?
Registrerad
Jul 2001

Använd SFTP istället för FTP i största möjliga mån. De flesta moderna FTP-klienter har stöd för SFTP.

Coola låtar i massor!
http://revolvermen.com

Trädvy Permalänk
Medlem
Plats
Malmö
Registrerad
Jul 2001

Men SFTP (SCP/SSH) är tämligen dumt då det oftast ger access till hela systemet, ibland vill man bara dela ut något speciellt, och ha egna konto för det (som t.ex glftpd/chroots/jails)

Trädvy Permalänk
Medlem
Plats
V-ås - är jag inte söt?
Registrerad
Jul 2001
Citat:

Ursprungligen inskrivet av maDa
Men SFTP (SCP/SSH) är tämligen dumt då det oftast ger access till hela systemet, ibland vill man bara dela ut något speciellt, och ha egna konto för det (som t.ex glftpd/chroots/jails)

Det går utmärkt att köra SFTP med chroot och utan shell.

Coola låtar i massor!
http://revolvermen.com

Trädvy Permalänk
Medlem
Registrerad
Jun 2007

Bara en snabb fråga angående klienter med stöd för SFTP: Har ie stöd för det? antar att det inte har det...
För det skulle vara bra om jag kunde komma åt ftp från skolan där det endast finne internet explorer.

Trädvy Permalänk
Medlem
Plats
/bin/bash
Registrerad
Mar 2002

Det är helt klart en värdig lösning det med. vsftpd +tls/ssl eller scp, lite mer jobb att chroota en ssh user än en ftp user men om man ändå ska chroota apache'n kan man lika gärna sätta sig in i det. regardless så vill OP ha kontroll så finns det inga apt-get-ubuntu-lösningar, du får fixa själv.

Cisco - Linux - VMWare
-- Citera mig om ni vill få återkoppling --

Trädvy Permalänk
Medlem
Plats
Stockholm
Registrerad
Mar 2004

min kompis som kör Sftp nu gör det av en enkel anledning. Han testade att sätta upp en paket skanner mot sin gamla Ftp server.. lösenorden skickades okrypterade.. Så vill du köra säkert så kör inte vanlig ftp.

| i5 6500 | asus z170-k | asus 970 strix | 16gb ddr4 | asus mg279Q | FD Define r4

Trädvy Permalänk
Medlem
Plats
Göteborg
Registrerad
Nov 2005

Re: Smart privatserver lösning?

Citat:

Ursprungligen inskrivet av Lonsas
Hade tänkt ftp och http med, fast privat. Hur gör jag den säkraste lösningen för att få det så bra som möjligt? Spawnade lite på att användaren skulle vara tvungen att gå in via ssh för att tillåta det dåvarande ip:t i httpd och ftpd (kalla mig paranoid), men kom på att man inte har tillgång till ssh överallt.

Skulle gärna vilja ha tips på någon bra ftpd också, gärna något enkelt och säkert.

Om jag läser igenom det som avhandlats hittills låter det nästan som om glftpd+TSL samt ett vettigt regelverk i brandväggen är det du söker. :^)

Iofs ryker möjligheten att köra IE native såvida du inte sätter upp ett konto i FTP'n som *inte* måste använda kryptering, men det lämnar ju dig tillbaka på startpunkten; okrypterad trafik! Nej, skall du köra kryptering så var konsekvent - ingen kryptering = ingen anslutning. Börjar du göra undantag faller konceptet på eget grepp. :-/

WS: ASUS P7P55D/i5-750, Hydro H50, XFX6950/2GB, Intel X25-V/2Tb lagring, Corsair VX-550
Server: ASUS, AMD Athlon64 X2 6000+ Scyte Ninja, NVidia GS8400Silent, 2Gb ram, ~4Tb SATA, 500W, CM Stileo500 (tyst)
"-Sometimes all that is needed is a high five. In the face. With a chair!"

Trädvy Permalänk
Medlem
Plats
Värmland
Registrerad
Aug 2006
Citat:

Ursprungligen inskrivet av deegan
[B]Att byta port gör det inte mer säkert. Portscan som visar vilken tjänst som kör på respektive port kommer ändå avslöja eventuell ftp tjänst.

Sanning med modifikation. Byter du port slipper du undan det mesta av allt random bruteforcande som sker av olika former av bottar. Men om någon skulle få för sig att göra en riktad attack mot just din dator så lär det väll hjälpa föga. Kör min ssh server på en icke standard port nu och jag har inga som hellt problem med random brutforcande.

En bra standard för en ssh server är:

  • Inte tillåta att root loggar in (mycket viktigt)
    Köra servern på en udda port.
    Använda certifikat för att logga in (kanske till och med förbjuda någon utan certifikat att logga in).
    Använda blockhosts/fail2ban för att försvåra bruteforceattacker.

Citera mig gärna om du vill ha svar!