Rootserver absichern

01/03/2010 - 16:45 von Michael Fana | Report spam
Hallo NG,

ich wollte gerne mal Eure Meinung hören:
Ich würde gerne einen Postfix-Server aufsetzen, der die Mails
weiterleitet zu meinem Exchange. Diese soll im Internet stehen. Den
würde ich folgendermaßen absichern:
- SSH Administration nur von meiner öffentlichen IP erlauben
- Shorewall installieren und alle Ports dicht machen außer 22, 25 (und
53 ausgehend)
- Postfix auf dem neusten Stand und gegen Relaymissbrauch gesichert

Würde gerne Eure Meinung hören, welche Gefahren noch lauern, oder ob
der erstmal sicher ist

Danke!
Gruß
Micha
 

Lesen sie die antworten

#1 Heiko Schlenker
01/03/2010 - 18:37 | Warnen spam
* Michael Fana schrieb:
ich wollte gerne mal Eure Meinung hören:
Ich würde gerne einen Postfix-Server aufsetzen, der die Mails
weiterleitet zu meinem Exchange. Diese soll im Internet stehen. Den
würde ich folgendermaßen absichern:
- SSH Administration nur von meiner öffentlichen IP erlauben



Und keinen Rootzugang erlauben. Es sei denn, es gibt nur einen
Systemadministrator, sodass es klar ist, wer für die
Konfigurationsànderungen verantwortlich ist.

- Shorewall installieren und alle Ports dicht machen außer 22, 25
(und 53 ausgehend)



Warum dicht machen? Eigentlich sollten doch gar keine außer den
genannten Ports offen sein.

- Postfix auf dem neusten Stand und gegen Relaymissbrauch gesichert

Würde gerne Eure Meinung hören, welche Gefahren noch lauern, oder ob
der erstmal sicher ist



Die größte Gefahr sitzt vor dem Bildschirm. ;-) Hàufig werden
öffentlich erreichbare Rootserver von Leuten betrieben, die nicht
über die dazu nötige Sachkunde u.a. in Sachen Systemadministration
verfügen. Okay, das war jetzt etwas gemein. ;-)

Also, man beginnt mit der Analyse. Es geht dabei um die funktionalen
Anforderungen und um eine Bedrohungs- und Risikoanalyse. Daran
schließt sich der Entwurf an. Er beschàftigt sich mit der Umsetzung
der funktionalen Anforderungen und der Sicherheitsanforderungen
(Identifikation und Authentisierung, Rechtevergabe und
Autorisierung, Protokollierung, Abschottung usw.). Darauf folgt die
die Implementierung, der Test und die Inbetriebnahme inkl. Wartung
(dazu gehört das zeitnahe Einspielen von Sicherheitsupdates) des
Systems. Was schließlich hàufig stràflich vernachlàssigt wird, ist
der Notfallplan. Über Backup und Restore wird sich oftmals ebenfalls
viel zu spàt Gedanken gemacht.

Aber all das hat wenig mit dem Betriebssystem Linux zu tun. Konkrete
Tipps dürftest Du eher in den thematisch besser geeigneten
Newsgroups de.comm.software.mailserver, de.comp.security.misc und
de.comp.security.firewall erhalten.

Goldene Regel (aus <http://www.iks-jena.de/mitarb/lutz/...l.html>:
"Schalte nichts frei, von dessen sachlicher Notwendigkeit Du nicht
von Grund auf überzeugt bist."

Gruß, Heiko
Neu im Usenet? -> http://www.kirchwitz.de/~amk/dni/
Linux-Anfànger(in)? -> http://www.dcoul.de/infos/
Fragen zu KDE/GNOME? -> de.comp.os.unix.apps.{kde,gnome}
Passende Newsgroup gesucht? -> http://groups.google.com/search?as_umsgid=

Ähnliche fragen