GentooForum.de

Hallo gentoo-family

Tja, wie soll ich am besten beginnen...? Ich bin mir nach gestriger stundenlanger Leserei nicht sicher, welches "Profil" ich für den Server verwenden sollte.

Bei der Installation vor rund 2 Wochen hatte ich vom Standardprofil auf "server" gewechselt: Nun las ich gestern, das es wahrscheinlich nicht das Richtige ist.

Zitat

The selected profile is merely for people, who want a more base-Installation"

Ich in meiner Blauäugigkeit hatte dahinter aber das Richtige für einen Server gesehen. Vielleicht ist es das auch, sofern damit "Home-Server" gemeint ist. Also Home-FTP in alle Richtungen im eigenen LAN.

Nun sah ich, war auch schon versucht, entweder hardened oder selinux zu nehmen, doch bin ich mir in diesen, von mir bisher noch nie verwendeten Profilen etwas zu unsicher um mich da schnell entschieden haben zu können.

Ich las daraufhin einige Zeit doch ich las auch viele Widersprüche. Ich denke, (nachdem was ich da gelesen habe) - das sicher selinux mit enhanced Sec-Polices das absolute erstrebbare Ultimo" an Sicherheit bieten könnte. Doch wenn man sich die Kritiken auf verschiedenen Seiten ansieht, wird einem schnell klar, das man sich damit auch ein sehr schwer wartbares System erstellt, das bis ans Dach, ja und vielleicht noch darüber hinaus, mit Sicherheitsaspekten zugepflastert sein wird. Also eines, das keinen Spass bei der Administration mehr macht.

Dagegen steht "hardened"-gentoo. In ihm erkenne ich einen guten Kompromiss: Erhöhte Sicherheit, aber Wartbarkeit bleibt auch genug erhalten.

Zu was würdet Ihr mir da raten? Ich habe bis jetzt am System keine Veränderungen vorgenommen, ausser mal testweise die Profile gewechselt und mit getestet, was er mir damit installieren würde.

Bei "hardened" waren es 80 Installs. Davon 33 Neue Pakete. Die anderen remerges, da use-Flags hinzukommen. Das "selinux" - Profil würde 120 Pakete ändern wollen. Wieviel von was weiss ich nicht mehr, aber es war genug.

Also ich stehe vor diesem "Profilwechsel" - und wollte mir erstmal eine Meinung von Euch einholen bevor ich da irgendwas zuschütte, was dann wieder aufgerissen werden muss.

In vielen Foren wird auch nur "hardened" empfohlen. Sehr viele HowTo´s auf Server-gentoo-Basis nutzen lediglich "hardened". Von SELinux hört man sehr sehr wenig, das es oft genutzt ist.

Bedanke mich im Voraus für Eure Hilfe
Gute N8 Euch allen

Hallo bell,

Na, wieder im Lande Welcome back

Ja, zum Thema. Erstmal danke, das Du mir dennoch die Entscheidung leichter gemacht hast! Ich habe das System heute auf Hardened umgebaut. Hatte auch nochmals einige Seiten durchgelesen: Beispiel: http://www.rootforum.org/wiki/Gentoo_Har…ting_System_(de)

Dort beschreibt einer der "großen Linux-Oberadmin-Liga" - wie man ein Mailsystem auf gentoo aufsetzt. Wollte damit aber eigentlich nur zeigen, das selbst die lediglich auf hardened setzen. Denke mal, selinux wird dann nochmal eine große Kante sicherer sein. Ich stelle es mir mal so vor, das es notwendig wird, wenn man einen Bank-Server einrichtet, bei dem 100% Sicherheit nicht reicht.

Werde somit erstmal auf hardened bleiben. War auch genug zutun, hatte mir vor der Installation mal die geaddeten Use-Flags angesehen, also nach profilwechsel auf hardened überprüft, was und wo er da Ändern wird.

Nach http://www.gentoo.org/proj/en/hardened/hardenedfaq.xml bin ich dann letztlich vorgegangen. Habe aber ipv6 in die USE="" -Flags-Sammlung der make.conf gesetzt. Warum der (gerade) bei einem Serverprofil die ipv6-Unterstützung aus zahlreichen Paketen nehmen will, ist mir unverständlich.

Habe auch danach das gesamte System mit dem hardened-gcc neuübersetzt:

Zitat

After setting up your profile, you should recompile your system using a hardened toolchain so that you have a consistent base

Quellcode

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16

# emerge --oneshot binutils gcc virtual/libc Make sure the hardened toolchain is being used (gcc version may vary): # gcc-config -l [1] x86_64-pc-linux-gnu-4.4.4 * [2] x86_64-pc-linux-gnu-4.4.4-hardenednopie [3] x86_64-pc-linux-gnu-4.4.4-hardenednopiessp [4] x86_64-pc-linux-gnu-4.4.4-hardenednossp [5] x86_64-pc-linux-gnu-4.4.4-vanilla If the hardened version isn't chosen select it # gcc-config x86_64-pc-linux-gnu-4.4.4 # source /etc/profile Keep emerging the system # emerge -e --keep-going system # emerge -e --keep-going world The --keep-going option is added to ensure emerge won't stop in case any package fails to build.

Dann die ganzen configs neu angepasst (Die hatte ich mir aber vorher in ein nur root-lesbares Verzeichnis angelegt, um es hinterher leichter zu haben, was worin stand). Allein der Mailserver hat zig Configs

Eine Frage hätte ich evtl. doch noch, bell.

gentoo-sources vs. hardened-sources.

Ich sah, das es zwei verschiedene kernel gibt. Der hardened ist halt gepatcht zur erhöhten Sicherheit. Auf der vorhin genannten Seite steht ein Aspekt zu "PaX", das man im "gentoo-sources" aktivieren kann. Weil jetzt nochmal den kompletten Kernel neumachen... :/ zumal ich nicht weiss, ob hierbei "make oldconfig" benutzbar ist. Somit müsste ich den gesamten Kernel selbst neu-"gestalten". Ist zwar mittlerweile ein riesiges Hobby von mir geworden, Kernel neuzubraten - aber was nicht unbedingt sein muss...

Gutgut, dank Dir nochmals für Deinen Vorschlag, erstmal mit hardened zu probieren... Denke mal, das wird evtl auch reichen. Wenn gar die, die jahrelang schon gentoo-server aufsetzen auf hardened zurückgreifen... wirds soeine große Sünde wahrscheinlich nicht sein...

Edit: Mir war grade noch aufgefallen, das man auch in einzelnen Paketen - wenn gewünscht - selinux aktivieren könnte. Auch gentoo-like "da wo es gebraucht wird". Wär auch noch eine Alternative, nur in sehr bestimmten Fällen selinux zu setzen. Nenne mal ein Beispiel: fail2ban.

Edit2: ...ich glaube, das mit selinux (auch in einzelnen Paketen) lasse ich wohl sein... erstmal jedenfalls... Wenn ich da so Wörter wie "permissive-mode"... und Labeling der System-Ordner lese... http://www.gentoo.org/proj/en/hardened/s…hap=2#doc_chap3

Hallo boospy,

Danke Dir für Deine Antwort Ich hatte vorgestern den Kernel nochmal erneut kompiliert, da mir das "einfache" Einstellen des "grsec-Profils" auf Server irgendwie "zu einfach" vorkam. Bin dann nochmal hingegangen und habe komplett die config neuüberarbeitet, also menuconfig ohne .config ausgeführt, damit er eine frische.config erstellt. Die Einstellungen habe ich mittlerweile so im Kopf, das ich ziemlich schnell fündig werde, wo was einzustellen ist.

Diesmal habe ich das grsec-Level auf Custom und alle Schutzmaßnahmen manuell eingestellt (die Leserei, was was genau bedeutet, und wann man es einsetzen sollte und was besser nicht) habe ich bis nachts für gebraucht. Nun habe ich PaX und RBAC und per sysctl (switchbar) die Funktionen aus "grsecurity", wie Filesystem-protections und network-Protections (als UID)-Modus. Das habe ich aber nicht scharfgeschaltet. Ich wollte es jedoch verfügbar haben, deshalb ist es mit "sysctl on startup on = disabled" gebaut. So kann ich im "userland" bei Bedarf diese Funktionen aktivieren/steuern.

Hauptsächlich gehts mir um "dicke und schwer einreißbare Festungsmauern"... Sollte dies überwunden werden können, könnte ich im System mit sysctl alles blockieren und somit Schaden begrenzen. Nach aussen habe ich fail2ban stehen, der über iptables sperrt. (war auch ein Grund einen root zu nehmen, da iptables bei vServern nicht funkt). Sperrungen auf Betriebssystem-Kernel - Ebene finde ich "standhafter". Ich gehe davon aus, das der Kernel, der zwischen mir und der Hardware sitzt, viele Gefahren erst garnicht bs zum Userspace vordringen lässt...

Hier mache ich mir aber auch nicht mehr sooooooo sooooooo viele Kopfschmerzen... Was mir viel schwerer im magen liegt: php und $CMS. Da gibts irgendwie jeden Tag Albträume zu lesen... Aber das ist ein anderes Thema...

PS. Warum habt Ihr denn auf "nomultilib" gebaut? Ich habe eine Vermutung, aber ich sage sie im Moment noch nicht

Hallo tuxracer

Danke Dir für Deine Schilderung Nur, ich versteh dabei eines nicht:

Zitat von »tuxracer«

...weil eine NAT-"Firewall" momentan noch mit grosser Wahrscheinlichkeit IPv6 ungehindert passieren lässt, was es erforderlich macht die Systemeigene Firewall richtig für IPv6 zu konfigurieren...

Welche "NAT-Firewall" meinst Du da? Also da ist keine NAT-Firewall zwischen dem Server und dem Internet. Das ist ein dedizierter Server im Internet. Ich verwende dabei "IPTables" als Firewall. Sozusagen gibts lauschende Ports und halt nen net-analyzer der auf "Typisches" in Logs reagiert und per IPTables DROP-Regeln aufstellt, die IP´s den Zugang zum Server sperren. Also wenn "von einem Angriff" auszugehen ist: (20mal innerhalb einer Sekunde mit falschem PW versucht wurde, einzuloggen). Ab 3 Versuchen ist dann "Ende"... Den Schutz gibt es gegen ssh-ddos/ssh postfix, apache ftp... usw...

Aber "gut" solange IPv6 nicht gebraucht wird... Ich habe es bei mir nicht deaktiviert.