Original geschrieben von Berufspenner
[...]
Ich möchte eigentlich "nur" ein von Grund auf sicheres Serversystem aufbauen und dabei so gut wie alle mir von FreeBSD gestellten Möglichkeiten ausschöpfen.
Ahso. Na, da sieht die Welt dann schon wieder ganz anders aus und Deine Frage bezüglich eines ISP ist etwas komisch gestellt.
Um die Sicherheit zu erhöhen empfehle ich Dir folgendes:
1. Serverdienste
Lasse Serverdienste ala http, smtp, pop, DNS, FTP in einer jail laufen, sind diese gedacht.
Sollte es einem Eindringling nun gelingen über einen bug des Dienstes in Dein System zu kommen, so findet er sich in einer jail wieder, das Hostsystem ist davon nicht betroffen. Der Vorteil liegt auf der Hand.
Man weiss nie genau was der Eindringling alles "angefasst" haben könnte, daher wäre es immer das sichereste das System neu aufzusetzen. Ouch bei einem ganzen System, bei einer Jail in Kinderspiel. Einfach die BackupJail die man von der frisch eingerichtet Jail gemacht hat an die Stelle der alten Jail kopieren (diese wird einfach davor gelöscht). Gut ist.
2. Das System abschotten
Um das System von aussen abzuschotten eine Firewall Deiner Wahl einsetzen und diese anständig konfigurieren.
Daneben lässt Du dann noch Programme wie "tripwire" oder "aide" laufen. Mit diesen hast Du dann die Möglichkeit zu sehen was evtl. geändert wurde wenn man einer reinkommt.
Auch "portsentry" würde ich Dir empfehlen da es forensisch arbeitet und evtl. scans nach Sicherheitslücken erkennt und den Host mit einer IPFW Rule aussperrt.
3. Das System an sich härten
Fahre des System im securelevel mindestens auf "1". Dann setze noch das "schg" flag oder "sappnd" flag. Siehe dazu "man chflags". Setze das Flag auf Deine binaries in /bin /sbin,... . Ein Eindringling hat dann keine Möglichkeit diese Dateien zu löschen, oder mit Trojaner auszutauschen die Dein Passwort loggen. Ebenso setze das "schg" flag auf Deine configurationsdateien (auch die unter /usr/local/etc/rc.d). Denn darüber könnte der Eindringling ja den Befehl einpflanzen beim nächsten reboot den securelevel auf 0 bzw. -1 zu setzen und die Sicherheit wäre hinfällig. So kann auch dies nicht passieren.
Das hat natürlich zur Folge, das Du bei Veränderungen auch in den single user mode musst, aber bei einem System was gut eingerichtet ist, sollte das so oder so kaum vorkommen.
Deine logfiles, sollten auch mit dem "sappnd" flag versehen werden, oder "schg". Gerade diese nehmen sich hacker als erstes vor um ihre Spuren zu verwischen. Gerade .history wird von diesen, so lange diese im System sind, gerne auf /dev/null umgeleitet. Du kannst nicht nachvollziehen was diese gemacht haben. Ist es aber vor Eingriffen (auch vor root) geschützt, beissen die sich die Zähne daran aus.
GANZ WICHTIG.
Mache Dir einen sauberen Plan, Sicherheit ist nicht mal eben aus dem Ärmel geschüttelt und die Konfiguration muss gut dokumentiert sein, dass Du auch noch Monate später weisst was Du wo wie gedreht hast.
Arbeite eine Strategie aus, überdenke alles zweimail, dreimal, viermal.
Wenn Du weitere Fragen zu Sicherheit hast, dann helfe ich Dir gerne weiter.
Hoffe das hilft Dir etwas weiter.