NetVision-Technik

Zur?ck   NetVision-Technik > Forum > Server > Webserver

Webserver Fragen zum Apache, MySQL-Einrichtung und was sonst noch mit WebServern zu tun hat

Antwort
 
Themen-Optionen Ansicht
Alt 16.03.2013, 12:48   #1
pat
Profi
Punkte: 23.622, Level: 94 Punkte: 23.622, Level: 94 Punkte: 23.622, Level: 94
Levelaufstieg: 28% Levelaufstieg: 28% Levelaufstieg: 28%
Aktivität: 0% Aktivität: 0% Aktivität: 0%
Letzte Erfolge
 
Benutzerbild von pat
 
Registriert seit: 12.01.2011
Ort: @home
Alter: 42
Beitr?ge: 584
Abgegebene Danke: 99
Erhielt 136 Danke für 35 Beiträge
Downloads: 4
Uploads: 0
Nachrichten: 747
Renommee-Modifikator:
1641 pat genießt hohes Ansehenpat genießt hohes Ansehenpat genießt hohes Ansehenpat genießt hohes Ansehenpat genießt hohes Ansehenpat genießt hohes Ansehenpat genießt hohes Ansehenpat genießt hohes Ansehenpat genießt hohes Ansehenpat genießt hohes Ansehenpat genießt hohes Ansehen
Standard Firewall/fail2ban/rkhunter

Bonjour ihr lieben..

in diesem TUT gehts um die erstellung einer firewall der installation von fail2ban und rkhunter..

wie die firewall aufgebaut ist dürfte den meisten bekannt sein..

als erstes schecken wir mit :
Code:
iptables -L
die Einstellungen wen noch nichst in der Richtung gemacht wurde sollte es so aussehn.

Code:
*****@****:~# iptables -L
Chain INPUT (policy ACCEPT)  <-- hier stehen die eingänge  (policy ACCEPT)steht dafür das alles offen ist
target     prot opt source               destination

Chain FORWARD (policy ACCEPT)  <-- hier steht der gesteuerte trafik
target     prot opt source               destination

Chain OUTPUT (policy ACCEPT)  <-- hier steht der ausgang 
target     prot opt source               destination
____________

so nun erstellen wir ne firewall mit :
Code:
nano  firewall
den aufbau erklär ich jetzt nicht weiter am besten kopiert ihr euch die testfirewall die im anhang ist .(hab euch da die wichtigsten sachen rein gepackt was nicht bebraucht wird einfach rauslöschen oder umbenennen für zb:teamspeak shoutcast usw....

wen ihr soweit seit speichert sie ab geb ihr die rechte die sie brauch mit :
Code:
chmod +x firewall
und kopiert sie mit dem befehl :
Code:
CP  firewall /etc/init.d/
damit ihr die firewall bei einem reboot oder so nicht neu starten müssen geb den befehl ein :
Code:
update-rc.d firewall defaults
jetzt starten wir die firewall mit :
Code:
 ./firewall
wen sie richtig laüft sollte es so aussehen
Code:
Mise à 0
Interdiction
Loopback
Ping ok
SSH ok
dns ok
radio ok
rtorrent ok
ntp  ok
http ok
mail ok
teamspeak ok
hier mal meine....

wen ihr jetzt iptables -L ausführt werden alle einstellungen auf gelistet

so dad wars mit der firewall .
-------------------
weiter gehts mit fail2ban

installieren mit :
Code:
apt-get install fail2ban
so jetzt gehn wir in verzeichniss mit :
Code:
CD  /etc/fail2ban
und kopieren uns zu erst die jail.conf mit :
Code:
CP  jail.conf jail.conf.local
jetzt bearbeiten wir :
Code:
nano  jail.conf.local
und stellen dort unseren ssh port ein und wir können unsere email hinterlegen damit wir benachritet werden wen jemand gebant wird

der wichtigste teil ist der hier im normal fal stehen alle sachen auf false um die dienste zu aktivieren stellen wir sie auf true...

Code:
[ssh]

enabled = true  
port    = ******  <--- da muss euer port rein
filter    = sshd
logpath  = /var/log/auth.log
maxretry = 3

# Generic filter for pam. Has to be used with action which bans all ports
# such as iptables-allports, shorewall
[pam-generic]

enabled = false
# pam-generic filter can be customized to monitor specific subset of 'tty's
filter    = pam-generic
# port actually must be irrelevant but lets leave it all for some possible uses
port = all
banaction = iptables-allports
port     = anyport
logpath  = /var/log/auth.log
maxretry = 6

[xinetd-fail]

enabled   = false
filter    = xinetd-fail
port      = all
banaction = iptables-multiport-log
logpath   = /var/log/daemon.log
maxretry  = 2


[ssh-ddos]

enabled = true
port    = ****** <--- da muss euer port rein
filter  = sshd-ddos
logpath  = /var/log/auth.log
maxretry = 6

#
# HTTP servers
#

[apache]

enabled = true
port    = http,https
filter    = apache-auth
logpath = /var/log/apache*/*error.log
maxretry = 6

# default action is now multiport, so apache-multiport jail was left
# for compatibility with previous (<0.7.6-2) releases
[apache-multiport]

enabled   = true
port      = http,https
filter      = apache-auth
logpath   = /var/log/apache*/*error.log
maxretry  = 6

[apache-noscript]

enabled = true
port    = http,https
filter  = apache-noscript
logpath = /var/log/apache*/*error.log
maxretry = 6

[apache-overflows]

enabled = true
port    = http,https
filter  = apache-overflows
logpath = /var/log/apache*/*error.log
maxretry = 2
-------------------------------
[apache-404]
enabled = true
port = https              <-- hier entweder http oder https rein !!
filter = apache-404
logpath = /var/log/apache*/error*.log
maxretry = 10
[apache-admin]                                                                diesen teil erstellen wir selber und fügen ihn hier ein(das sind die filter )
enabled = true 
port = https                <-- hier entweder http oder https rein !!
filter = apache-admin
logpath = /var/log/apache*/error*.log
maxretry = 6
[apache-w00tw00t]
enabled = true
filter = apache-w00tw00t
action = iptables[name=Apache-w00tw00t,port=80,protocol=tcp]
logpath = /var/log/apache2/access*.log
maxretry = 1
-----------------------------------------
#
# FTP servers
so abspeichern...
jetzt gehn wir in den filter ordner mit CD  filter.d/

und erstellen die drei filter mit

Code:
nano  apache-404.conf
Code:
nano  apache-admin.conf
Code:
apache-w00tw00t.conf
filter sind im anhang einfach den jeweiligen rein kopieren und speichern

jetzt fail2ban neustarten mit :
Code:
/etc/init.d/fail2ban restart
und fertig sind wir mit fail2ban

-----------------------

jetzt installieren wir rkhunter

mit
Code:
apt-get install rkhunter
jetzt gehn wir in die datei mit

Code:
nano  /etc/default/rkhunter
und schauen ob report_email auf root steht und cron_daily_run auf yes


das wars hoffe hab mich net blöd angestellt ..


mfg



aso als kleines extra könnt euch per email benachritigen lassen wen sich jemand auf ssh schaltet

in der .bashrc

ganz unten den schnipsel rein

Code:
echo ‘Acces Shell  Root’ `who` `date` | mail -s `hostname` Shell  Root *****@***.***
Angeh?ngte Dateien
Dateityp: txt testfirewall.txt (2,9 KB, 21x aufgerufen)
Dateityp: txt apache-404.txt (567 Bytes, 12x aufgerufen)
Dateityp: txt apache-admin.txt (740 Bytes, 12x aufgerufen)
Dateityp: txt apache-w00tw00t.txt (740 Bytes, 11x aufgerufen)

Ge?ndert von pat (16.03.2013 um 17:43 Uhr) Grund: Code-Blöcke eingefügt
pat ist offline   Mit Zitat antworten Nach oben
Folgende 12 Benutzer sagen Danke zu pat für den nützlichen Beitrag:
$iMpLy (16.03.2013), .:.Uranus.:. (16.03.2013), Blade7777 (16.03.2013), Cerberus (16.03.2013), Dean (16.03.2013), gotthummer (16.03.2013), Hardtec (09.04.2013), IceTiger (27.12.2013), Lex (16.03.2013), robby (17.03.2013), Schwamm (16.03.2013), Sponge (16.03.2013)
Alt 16.03.2013, 15:29   #2
Cerberus
Administrator
 
Benutzerbild von Cerberus
 
Registriert seit: 07.03.2008
Ort: 3. Bit Links hinter dem Kernel
Alter: 49
Beitr?ge: 9.639
Abgegebene Danke: 1.121
Erhielt 4.499 Danke für 458 Beiträge
Downloads: 18
Uploads: 9
Nachrichten: 2258
Renommee-Modifikator:
10 Cerberus genießt hohes AnsehenCerberus genießt hohes AnsehenCerberus genießt hohes AnsehenCerberus genießt hohes AnsehenCerberus genießt hohes AnsehenCerberus genießt hohes AnsehenCerberus genießt hohes AnsehenCerberus genießt hohes AnsehenCerberus genießt hohes AnsehenCerberus genießt hohes AnsehenCerberus genießt hohes Ansehen
Standard

Deine Bemühungen in allen Ehren ...
Aber schau dir mal die Formatierungsmöglichkeiten im Editor an ....
Zum Probieren gibt es das Test-Forum. Auch finde ich, das diese Art Tutorials ins Glossar gehören ...
__________________

Fragen gehören ins Forum - und NICHT in mein Postfach !
Ich erteile KEINEN Privatunterricht über e-mail und PN !

Hackliste Br. NV nach Threadstarter u. Aktualität <--+--> Liste Hacks Bereich NV Alphabethisch
Cerberus ist gerade online   Mit Zitat antworten Nach oben
Alt 16.03.2013, 15:51   #3
pat
Profi
Punkte: 23.622, Level: 94 Punkte: 23.622, Level: 94 Punkte: 23.622, Level: 94
Levelaufstieg: 28% Levelaufstieg: 28% Levelaufstieg: 28%
Aktivität: 0% Aktivität: 0% Aktivität: 0%
Letzte Erfolge
 
Benutzerbild von pat
 
Registriert seit: 12.01.2011
Ort: @home
Alter: 42
Beitr?ge: 584
Abgegebene Danke: 99
Erhielt 136 Danke für 35 Beiträge
Themenstarter Themenstarter
Downloads: 4
Uploads: 0
Nachrichten: 747
Renommee-Modifikator:
1641 pat genießt hohes Ansehenpat genießt hohes Ansehenpat genießt hohes Ansehenpat genießt hohes Ansehenpat genießt hohes Ansehenpat genießt hohes Ansehenpat genießt hohes Ansehenpat genießt hohes Ansehenpat genießt hohes Ansehenpat genießt hohes Ansehenpat genießt hohes Ansehen
Standard

vielmals sry.....

merci für ändern (code blöcke einfügen)

blick da noch net so ganz durch

geb mir nachher beim nächsten mehr mühe

Ge?ndert von pat (16.03.2013 um 16:07 Uhr)
pat ist offline   Mit Zitat antworten Nach oben
Alt 16.03.2013, 17:32   #4
SP4C3
Erfahrener Benutzer
Punkte: 19.573, Level: 88 Punkte: 19.573, Level: 88 Punkte: 19.573, Level: 88
Levelaufstieg: 45% Levelaufstieg: 45% Levelaufstieg: 45%
Aktivität: 0% Aktivität: 0% Aktivität: 0%
Letzte Erfolge
 
Benutzerbild von SP4C3
 
Registriert seit: 06.12.2008
Ort: /dev
Beitr?ge: 433
Abgegebene Danke: 12
Erhielt 77 Danke für 8 Beiträge
Downloads: 10
Uploads: 0
Nachrichten: 331
Renommee-Modifikator:
791 SP4C3 genießt hohes AnsehenSP4C3 genießt hohes AnsehenSP4C3 genießt hohes AnsehenSP4C3 genießt hohes AnsehenSP4C3 genießt hohes AnsehenSP4C3 genießt hohes AnsehenSP4C3 genießt hohes AnsehenSP4C3 genießt hohes AnsehenSP4C3 genießt hohes AnsehenSP4C3 genießt hohes AnsehenSP4C3 genießt hohes Ansehen
Standard

Und schau dir mal die Grundlagen an. Shebang ist keine Sprache, eine Shell  keine Datei....
SP4C3 ist offline   Mit Zitat antworten Nach oben
Alt 16.03.2013, 17:43   #5
pat
Profi
Punkte: 23.622, Level: 94 Punkte: 23.622, Level: 94 Punkte: 23.622, Level: 94
Levelaufstieg: 28% Levelaufstieg: 28% Levelaufstieg: 28%
Aktivität: 0% Aktivität: 0% Aktivität: 0%
Letzte Erfolge
 
Benutzerbild von pat
 
Registriert seit: 12.01.2011
Ort: @home
Alter: 42
Beitr?ge: 584
Abgegebene Danke: 99
Erhielt 136 Danke für 35 Beiträge
Themenstarter Themenstarter
Downloads: 4
Uploads: 0
Nachrichten: 747
Renommee-Modifikator:
1641 pat genießt hohes Ansehenpat genießt hohes Ansehenpat genießt hohes Ansehenpat genießt hohes Ansehenpat genießt hohes Ansehenpat genießt hohes Ansehenpat genießt hohes Ansehenpat genießt hohes Ansehenpat genießt hohes Ansehenpat genießt hohes Ansehenpat genießt hohes Ansehen
Standard

Zitat:
Zitat von SP4C3 Beitrag anzeigen
Und schau dir mal die Grundlagen an. Shebang ist keine Sprache, eine Shell  keine Datei....



stimmt ist geändert

merci
pat ist offline   Mit Zitat antworten Nach oben
Alt 17.03.2013, 00:59   #6
bl0bb
Erfahrener Benutzer
Punkte: 12.526, Level: 73 Punkte: 12.526, Level: 73 Punkte: 12.526, Level: 73
Levelaufstieg: 19% Levelaufstieg: 19% Levelaufstieg: 19%
Aktivität: 0% Aktivität: 0% Aktivität: 0%
Letzte Erfolge
 
Benutzerbild von bl0bb
 
Registriert seit: 04.04.2011
Beitr?ge: 247
Abgegebene Danke: 6
Erhielt 94 Danke für 7 Beiträge
Downloads: 2
Uploads: 0
Nachrichten: 34
Renommee-Modifikator:
1013 bl0bb genießt hohes Ansehenbl0bb genießt hohes Ansehenbl0bb genießt hohes Ansehenbl0bb genießt hohes Ansehenbl0bb genießt hohes Ansehenbl0bb genießt hohes Ansehenbl0bb genießt hohes Ansehenbl0bb genießt hohes Ansehenbl0bb genießt hohes Ansehenbl0bb genießt hohes Ansehenbl0bb genießt hohes Ansehen
Standard

Hi,

danke fürs Tut. Aber möchte dennoch meckern

Anmerkung rkhunter: Sollte nur installiert werden, wenn das System gerade frisch aufgesetzt ist, da es sonst nutzlos ist.

Virenproggi dient auch der Sicherheit, z.B. clamAV

Deine Testfirewall ist totaler Müll, und ich hoffe du hast die nicht im produktiven Einsatz. (diverse DoS Schwachstellen [PoD, Slowloris, ...], IP Spoofing, ...).

Die zusätzlichen fail2ban Filter ergeben irgendwie keinen Sinn. Die Funktion die diese "erfüllen", sollte besser in der Firewall integriert werden.


Was jetzt kommt ist nicht nett und klingt vielleicht hart. Aber mit ein bißchen Lesen und Lernen (~6h), hättest du sehr viel mehr aus dem Tut machen können. Und dann würde es den Usern vielleicht sogar was nutzen. Das was du hier geschrieben hast, schaut mir aus wie eine schnelle Googlesuche.
bl0bb ist offline   Mit Zitat antworten Nach oben
Alt 17.03.2013, 01:26   #7
pat
Profi
Punkte: 23.622, Level: 94 Punkte: 23.622, Level: 94 Punkte: 23.622, Level: 94
Levelaufstieg: 28% Levelaufstieg: 28% Levelaufstieg: 28%
Aktivität: 0% Aktivität: 0% Aktivität: 0%
Letzte Erfolge
 
Benutzerbild von pat
 
Registriert seit: 12.01.2011
Ort: @home
Alter: 42
Beitr?ge: 584
Abgegebene Danke: 99
Erhielt 136 Danke für 35 Beiträge
Themenstarter Themenstarter
Downloads: 4
Uploads: 0
Nachrichten: 747
Renommee-Modifikator:
1641 pat genießt hohes Ansehenpat genießt hohes Ansehenpat genießt hohes Ansehenpat genießt hohes Ansehenpat genießt hohes Ansehenpat genießt hohes Ansehenpat genießt hohes Ansehenpat genießt hohes Ansehenpat genießt hohes Ansehenpat genießt hohes Ansehenpat genießt hohes Ansehen
Standard

Zitat:
Zitat von bl0bb Beitrag anzeigen
Hi,

danke fürs Tut. Aber möchte dennoch meckern

Anmerkung rkhunter: Sollte nur installiert werden, wenn das System gerade frisch aufgesetzt ist, da es sonst nutzlos ist.

Virenproggi dient auch der Sicherheit, z.B. clamAV

Deine Testfirewall ist totaler Müll, und ich hoffe du hast die nicht im produktiven Einsatz. (diverse DoS Schwachstellen [PoD, Slowloris, ...], IP Spoofing, ...).

Die zusätzlichen fail2ban Filter ergeben irgendwie keinen Sinn. Die Funktion die diese "erfüllen", sollte besser in der Firewall integriert werden.


Was jetzt kommt ist nicht nett und klingt vielleicht hart. Aber mit ein bißchen Lesen und Lernen (~6h), hättest du sehr viel mehr aus dem Tut machen können. Und dann würde es den Usern vielleicht sogar was nutzen. Das was du hier geschrieben hast, schaut mir aus wie eine schnelle Googlesuche.

moin blobb

thanks für die klare aussage nehm das nicht persönlich.....

wie oben schon gesagt muss man sich die firewall ja anpassen die test firewall dient nur als vorlage das man nicht alles selber schreiben muss......

wen sich jemand die mühe nicht machen will kann sie/er auch ne apf-firewall nehmen...

also fail2ban laüft eins A alle logs funktionieren klar kann das in die firewall packen....

das mit dem rkhunter stimmt zum teil,man kan den rkhunter schnell auf den neusten stand bringen mit : rkhunter --propupd

ne schnelle netvision suche war es keine

mfg

und thanks noch mal für die direkte antwort .
pat ist offline   Mit Zitat antworten Nach oben
Alt 17.03.2013, 02:08   #8
bl0bb
Erfahrener Benutzer
Punkte: 12.526, Level: 73 Punkte: 12.526, Level: 73 Punkte: 12.526, Level: 73
Levelaufstieg: 19% Levelaufstieg: 19% Levelaufstieg: 19%
Aktivität: 0% Aktivität: 0% Aktivität: 0%
Letzte Erfolge
 
Benutzerbild von bl0bb
 
Registriert seit: 04.04.2011
Beitr?ge: 247
Abgegebene Danke: 6
Erhielt 94 Danke für 7 Beiträge
Downloads: 2
Uploads: 0
Nachrichten: 34
Renommee-Modifikator:
1013 bl0bb genießt hohes Ansehenbl0bb genießt hohes Ansehenbl0bb genießt hohes Ansehenbl0bb genießt hohes Ansehenbl0bb genießt hohes Ansehenbl0bb genießt hohes Ansehenbl0bb genießt hohes Ansehenbl0bb genießt hohes Ansehenbl0bb genießt hohes Ansehenbl0bb genießt hohes Ansehenbl0bb genießt hohes Ansehen
Standard

Da rkhunter über Hashwerte funktioniert, sollte das System schon frisch sein. Sonst werden Rootkits nicht erkannt..., denn du weißt doch nicht ob schon wer auf deinem System spazieren gegangen ist.

Und wie ich schon sagte, deine Testfirewall ist Müll, und sollte damit auch nicht als Vorlage dienen. Ein User der keine Ahnung von IPTables hat, dem nutzt dies eh nichts. Daher wäre APF sicherlich eine Alternative.
bl0bb ist offline   Mit Zitat antworten Nach oben
Alt 17.03.2013, 11:47   #9
pat
Profi
Punkte: 23.622, Level: 94 Punkte: 23.622, Level: 94 Punkte: 23.622, Level: 94
Levelaufstieg: 28% Levelaufstieg: 28% Levelaufstieg: 28%
Aktivität: 0% Aktivität: 0% Aktivität: 0%
Letzte Erfolge
 
Benutzerbild von pat
 
Registriert seit: 12.01.2011
Ort: @home
Alter: 42
Beitr?ge: 584
Abgegebene Danke: 99
Erhielt 136 Danke für 35 Beiträge
Themenstarter Themenstarter
Downloads: 4
Uploads: 0
Nachrichten: 747
Renommee-Modifikator:
1641 pat genießt hohes Ansehenpat genießt hohes Ansehenpat genießt hohes Ansehenpat genießt hohes Ansehenpat genießt hohes Ansehenpat genießt hohes Ansehenpat genießt hohes Ansehenpat genießt hohes Ansehenpat genießt hohes Ansehenpat genießt hohes Ansehenpat genießt hohes Ansehen
Standard

Zitat:
Zitat von bl0bb Beitrag anzeigen
Ein User der keine Ahnung von IPTables hat, dem nutzt dies eh nichts. Daher wäre APF sicherlich eine Alternative.
Du hast den nagel auf den kopf getroffen ....

Schönen Sontag noch
pat ist offline   Mit Zitat antworten Nach oben
Alt 17.03.2013, 18:19   #10
SP4C3
Erfahrener Benutzer
Punkte: 19.573, Level: 88 Punkte: 19.573, Level: 88 Punkte: 19.573, Level: 88
Levelaufstieg: 45% Levelaufstieg: 45% Levelaufstieg: 45%
Aktivität: 0% Aktivität: 0% Aktivität: 0%
Letzte Erfolge
 
Benutzerbild von SP4C3
 
Registriert seit: 06.12.2008
Ort: /dev
Beitr?ge: 433
Abgegebene Danke: 12
Erhielt 77 Danke für 8 Beiträge
Downloads: 10
Uploads: 0
Nachrichten: 331
Renommee-Modifikator:
791 SP4C3 genießt hohes AnsehenSP4C3 genießt hohes AnsehenSP4C3 genießt hohes AnsehenSP4C3 genießt hohes AnsehenSP4C3 genießt hohes AnsehenSP4C3 genießt hohes AnsehenSP4C3 genießt hohes AnsehenSP4C3 genießt hohes AnsehenSP4C3 genießt hohes AnsehenSP4C3 genießt hohes AnsehenSP4C3 genießt hohes Ansehen
Standard

Noch ein kuerzer Hinweis.
Das hier vorgestellte ist KEINE! Firewall.
Das ist eher ein reiner Paketfilter, der lokal läuft.
Der Sicherheitsgewinn dadurch ist minimal, bis nicht vorhanden.
Das gilt im übrigen für alle lokal laufenden Paketfilter. Der Sinn einer Firewalllösung unter Windows ist auch primär ein anderer, als der "Ports dicht zu machen"...
SP4C3 ist offline   Mit Zitat antworten Nach oben
Antwort


Aktive Benutzer in diesem Thema: 1 (Registrierte Benutzer: 0, G?ste: 1)
 

Forumregeln
Es ist Ihnen nicht erlaubt, neue Themen zu verfassen.
Es ist Ihnen nicht erlaubt, auf Beitr?ge zu antworten.
Es ist Ihnen nicht erlaubt, Anh?nge hochzuladen.
Es ist Ihnen nicht erlaubt, Ihre Beitr?ge zu bearbeiten.

BB-Code ist an.
Smileys sind an.
[IMG] Code ist an.
HTML-Code ist aus.

Gehe zu


Alle Zeitangaben in WEZ +1. Es ist jetzt 21:35 Uhr.


Powered by vBulletin® Version 3.8.9 (Deutsch)
Copyright ©2000 - 2024, vBulletin Solutions, Inc.
Template-Modifikationen durch TMS