Froxlor-Sicherheit

[christophe]

Hallo,

 

ich m?chte einen Server mit Froxlor auf einem hohen Sicherheitsniveau laufen lassen. In diesem Thread m?chte ich meinen Plan mit euch diskutieren, vielleicht entsteht ja ein Howto daraus. Dabei geht es mir nicht um einen bestimmten Sicherheitsaspekt, sondern um alle F?lle, in denen eine Person unbefugt Zugang zu privaten Daten hat.

 

Dienste

• Web (apache2)
  
• PHP (fcgi)
  
• Ruby (mod_passenger)
  
• SMTP (postfix)
  
• IMAP (dovecot)
  
• POP3 (dovecot)
  
• SSH
  
• MySQL
  

 

(1) Angreifer nutzt bestehenden Account

 

Passwort erraten => Sichere Passw?rter verwenden, fail2ban f?r SSH, SMTP, IMAP/POP3

Passwort mitgeh?rt => Alle Dienste nur verschl?sselt anbieten (SMTP, IMAP/POP3, FTP)

 

(2) Angreifer hat Webanwendung eines Nutzers gehackt

 

Durch PHP-L?cke => In Ma?en mit Suhosin vermeidbar

Durch L?cke in der Anwendung => Nicht vermeidbar

 

(3) Zugriff von einem Account auf den anderen

 

PHP => Suexec, gute Dateirechte (Der Safe Mode bzw. open_basedir sind Bockmist)

Ruby => ?

SMTP/IMAP/POP3 => unwahrscheinlich

FTP => Chroot

SFTP => Chroot oder gute Dateirechte

SSH => gute Dateirechte

MySQL => Sichere Passw?rter

 

(4) Allgemeine Serversicherheit

 

?ber Serverupdates benachrichtigen mit apt-cron

Ggf. per Firewall die das Nachladen von Code verhindert

Ggf. per Firewall bestimmte L?nder blockieren

 

 

Ich habe fast alles umgesetzt, nur die Dateirechte fehlen noch.

 

/var/customers/webs/* rwxr-x---

/var/www/ rwxr-x--x (wg. php-fcgi-scripts)

/var/www/* rwxr-x--- (au?er php-fcgi-scripts)

/var/customers/sieve ?

/var/customers/logs ?

/var/customers/tmp OK

/var/customers/mail OK

/var/log/* ?

[Heimchen]

Hallo Zusammen,

 

mein erster Beitrag hier

 

Ich wollte mal horchen wie es um die Sicherheit der Defaultconfig steht.

 

Hab heute Froxlor installiert, den Apachen mit nem SSL Cert von StartSSL ausgestattet und alle Domainaufrufe zu Froxlor von HTTP auf HTTPS umgeleitet. F?r Scriptkiddys noch kurz fail2ban eingerichtet. Alles recht quick and dirty

 

Hab mir die genauen configs nicht angesehen, sind die soweit in Ordnung und auch sicher? War erstaunt wie "simpel" die Installation doch ist und dass nach den hunderten ge?nderten configs noch alles funzt

[d00p]

Die Configs sind nach bestem Wissen und Gewissen erstellt.

[Heimchen]

Danke

 

Wie sieht es eigentlich generell mit systemupdates aus. Wenn ich nun per aptitude das system auf dem Laufenden halte und da dann mal nen apache oder php Update dabei ist, die m?glichkeit dass ich mir das aktuelle Setup zerbasele ist durchaus gegeben oder?

[Softbuilder]

Wenn sich bei einem Update auch Konfigurationsdateien ?ndern fragt Aptitude nach, ob aktuelle Versionen beibehalten oder ?berschrieben werden soll. Zudem kannst du dir die Differenzen anzeigen lassen. Ich gucke meist was sich ge?ndert hat und pflege das ggf. nach, bzw lasse die neue Version installieren und aktualisiere die dann. Was weniger Aufwand ist.

[d00p]

Also das einzige Paket was bei mir unter Gentoo bei neuer Version hin und wieder Konfigurations-?nderungen mitbringt war bisher Postfix...der Rest hat nichtmal nach Konfigurations-Updates gefragt (da evtl. nur default-config neu erstellt wurden, nicht aber die produktiven ?berschrieben).

[Heimchen]

Was ich bei mir noch ge?ndert habe ist folgendes:

 

Beim apachen habe ich:

ServerTokens Major

TraceEnable off

 

eingetragen und bei der phpini

expose_php auf off gesetzt.

 

Nun ist Tracing deaktiviert welches bei Nessus einen mittleren Alarm ausl?st und der Server verr?t nicht welche Apache und php Version installiert ist. Evtl. interessant um nicht gezielt irgendwann bekanntwerdende Sicehrheitsl?cken auszunutzen.

[Exploit]

Um das Thema mal wieder auf zu greifen. Momentan habe ich einen Shared Hosting Server mit Froxlor eingerichtet. Soweit funktioniert alles wunderbar mit PHP-FPM usw.

 

Momentan sehe ich noch 2 potentielle Probleme die noch zu l?sen sind:

 

1) FTPS (Ist wahrscheinlich einfacher ein zu richten als SFTP und w?rde ich sogar bevorzugen)

 

2) Es muss verhindert werden das PHP-Skripte sich direkt mit Port 25 anderer Server verbinden k?nnen, um den Mailserver zu umgehen. Software wie z.b. Joomla oder Wordpress soll aber nicht daran gehindert werden Updates zu machen. Bisher habe ich keine Firewall-L?sung gefunden, die Port 25 f?r PHP Blockiert aber den SMTP-Server durchl?sst, diese m?sste Programm oder (besser) Benutzer orientiert sein. Auch ?ber ?ber iptables habe ich keine L?sung gefunden. (was nicht bedeuten muss das es keine gibt???)

 

Wenn das gel?st ist w?rde ich den Server in der freien Wildbahn laufen lassen. Feedback folgt ;-)

[d00p]

4 jahre alter thread...echt jetzt?

[Exploit]

Ja, der passt doch, oder habe ich eine L?sung woanders ?bersehen? Muss ich nur weil er alt ist einen neuen anlegen?

[junkpad92]

FTPS ist einfach umzusetzen, gibt es genug Tutorials dazu.

 

Und es hat sich viel ge?ndert in 4 Jahren, warum also kein neuer Thread?

[Exploit]

Naja, das Thema ist immernoch das gleiche und klar kann mann FTPS von Hand umsetzen, aber wozu haben wir denn Froxlor?  Ungesichertes FTP f?r andere Zwecke als ein ?ffentlicher FTP-Dienst ist einfach aus der Zeit. Also wenn Froxlor zzt. keine L?sung daf?r hat, werde ich mal den Versuch machen, um Froxlor damit zu erweitern.

[webass]

Echt jetzt? 

[stefan-m]

...

Ruby => ?

FTP => Chroot

SFTP => Chroot oder gute Dateirechte

SSH => gute Dateirechte

...

 

Ruby kannst du ebenfalls via suexec und fcgi einbinden...

Das ganze kann man gleich ebenfalls ?ber ein wrapper script realisieren wie bei PHP.

 

^^Evt. Kan man das auch in Froxlor einbauen?

 

SFTP usw. k?nnte man ?ber restrictive shells wie "scpoly" einrichten.

[d00p]

Also wenn Froxlor zzt. keine L?sung daf?r hat, werde ich mal den Versuch machen, um Froxlor damit zu erweitern.

 

Wir sind gespannt - Github PullRequests werden gerne gesehen

[d00p]

Ruby kannst du ebenfalls via suexec und fcgi einbinden...

Das ganze kann man gleich ebenfalls ?ber ein wrapper script realisieren wie bei PHP.

 

^^Evt. Kan man das auch in Froxlor einbauen?

 

K?nnte, ja. Ich hab das bei mir f?r meine Firma auch implementiert...nutzt nur absolut kein schwein, daher seh ich das nicht als super-dringlich

[junkpad92]

Da m?ssen doch "nur" die Config-Dateien von z. B. proFTP angepasst werden ...

[stefan-m]

K?nnte, ja. Ich hab das bei mir f?r meine Firma auch implementiert...nutzt nur absolut kein schwein, daher seh ich das nicht als super-dringlich

 

^^Mich w?rde es freuen so ein feature zu sehen.

Evt. andere auch

[arnoldB]

^^Mich w?rde es freuen so ein feature zu sehen.

 

+1

 

Ich w?rde den Kunden auch gerne SFTP anbieten d?rfen. Muss nat?rlich nicht sein, w?re aber ein super Zusatzfeature von Froxlor

[Heimchen]

Die oben genannten settings kann man auch einfach inder /etc/apache2/conf.d/security anpassen. Ist glaube ich der sauberere Weg als es in die apache2.config hinzuzuf?gen.

[rep]

Also erstmal find ich die Idee gut. Man sollte/muss aber schon vorher angreifen, meiner bescheidenene Meinung nach. Das macht erst Sinn ab ein paar Kunden, aber eine Software wie froxler sollte sich das doch als "Ziel" setzen, und das andere ebenfalls erm?glichen.

 

Das bedeutet als erstes das die Dienste auf unterschiedliche Server geh?ren, so kann man auch Mailserver Betriebsystem austauschen und extra absichern, ebenfalls den Webserver. Wenn die Templates f?r die Konfiguration besser werden und flexibler, dann kann man auch eigene Software kompilieren und die Standard Templates anpassen oder erweitern, was auch nicht in Default Ordnern und Co liegen muss. Dann sollte man livezugriff vermeiden, also auf jedem Server per Cron all X Minuten die Konfiguration aktiv vom Node aus ziehen, und der sollte nur auf das Zugriff haben was er braucht, eventuell zieht er das auch per FTP und jeder Server bekommt da nur das hingelegt was er braucht, dann braucht man auch nicht zwingend eine DB.

 

So erreicht man Sicherheit auf mehreren Ebenen, ebenfalls Sicherheit vor ?berlastung, bzw. Kapselung der Dienste. Alles bekommt man nie gel?st, aber ein Kunde der PHP und FTP hat, der kann alleine schon viel machen, aber man geht ja meistens nicht davon aus das kunden was machen. Wenn die aber schon alleine auf diesem Server keine Mailkonten liegend haben, dann ist das Problem schon mal sehr eingegrenzt...

[rep]

noch was, das sa-update von SpamAssassin ist sehr cool.

Man k?nnte die Server also ?ber MD5 Summen oder Serinennummer der Konfigurationsfiles entscheiden lassen ob Sie was updaten m?ssen.

 

Diese codes k?nnte man in Records im DNS hinterlegen. Da gibt es viele M?glichkeiten, mir kommen da immer mehr Ideen gerade f?r gr??ere Installationen wenn ich mir den Mechanismus ansehen. Beispielswiese k?nnte hier selbst bei einem Ausfall der Weboberfl?che (eigener Server) jeder Server durch DNS Abfragen entscheiden das er gut l?uft, und auch keine Anfrage an eien nicht laufenden Server stellen braucht.

 

Nicht alles macht Sinn, aber ansehen lohnt sich. Ideen kommen von ganz alleine.