Hallo zusammen, die Mail von Harald Tobias brachte mich auf die Idee, meine Ideen für einen neuen Server hier mal zu posten...
Aufgrund einer Umstrukturierung meines Netzes zu hause, werde ich mir einen Server neu aufsetzen, der mehrere Dinge auf einmal machen und können soll: - Mailserver - (Eingang / IMAP) - inkl. SpamAssassin - und Virenscanner - APT-Proxy - NFS-Freigabe - Samba-Freigabe - SSH - NTP - Printserver - Fileserver - evtl. NIS - (evtl. Webserver) Was ich machen will: Das wichtigste sind vor allem erstmal die internen Dienste: - der APT-Proxy läuft aktuell bereits auf dem alten Server und soll dorthin verschoben werden (btw: Reicht es, seine Verzeichnisse zu kopieren oder muss man zusätzlich importieren?). - Ansonsten wird der Server die neue große Platte von 200 Gig beherbergen und soll somit als File-Server dienen, damit ich von jedem Rechner an mein Home und die Daten ran komme. - (Ich überlege, zusätzlich eine komplette Useranmeldung über NIS zu machen.) - Für die Freigabe soll primär NFS verwendet werden, zusätzlich würde ich auch gerne Samba-Freigaben erstellen, für den (einzigen) Windows-Rechner oder für Besuch. - Außerdem bekommt der Rechner die Drucker - über CUPS und auch da am Liebsten zusätzlich über Samba. - Als NTP-Server soll er dem Netz auch dienen (ebenfalls intern, versteht sich). - Letztlich soll er noch meine Mails abholen, Spam- und Virenfilter drüber laufen lassen und mir per IMAP zur Verfügung stellen. - (Außerdem überlege ich, ob ich auch so etwas wie ein Fotoalbum auf dem Webserver zur Verfügung stelle). - Von außen möchte ich per DynDNS auf den Server kommen. Für die internen Dienste ist das obige ja zunächst alles kein Problem. Ich würde allerdings sehr gerne von außen auf den Rechner (am Liebsten per SSH) zugreifen können, um z.B. via Shell und Mutt meine Mails zu lesen (Ich halte das für sicherer als den IMAP-Server auch nach außen hin freizugeben. Oder?) Zunächst mal werde ich zwei NICs einbauen, um die Ports schön nach Interfacce zu trennen. Den SSH würde ich zum einen - über sshdfilter (http://www.csc.liv.ac.uk/~greg/sshdfilter/) absichern, - zum anderen nur für meinen Benutzer erlauben, - einen anderen Port als 22 nehmen und - außerdem in einem Changeroot (in meinem Home) laufen lassen. (Alternativ würde mich interessieren, ob jemand eine Möglichkeit (außer Portknocking) kennt, um den Port auf Demand freizugeben - z.B. über ISDN-Einwahl). Der SSH-Port soll zunächst als einziger Port nach außen hin offen sein, alles andere wird über die andere NIC nur nach innen freigegeben - alles per iptables; für die Konfiguration dessen werde ich bastille nehmen. Hiermit hoffe ich eigentlich schon, die Hauptschwachstelle genügend abgesichert zu haben!? (Wäre es ggf. auch sinnvoll, zwei sshds laufen zu lassen - einen intern, einen extern - oder eher lieber nicht?) Außerdem wird man per SSH nur AUF den Server kommen, aber nicht davon weg, kein interner Rechner wird einen SSH-Port offen haben. Den potentiellen Apache würde ich ebenfalls in einem Changeroot laufen lassen. Falls Ihr aber der Meinung seid, dass ein Apache - trotz Changeroot - für den Server viel zu unsicher wäre, werde ich von der Idee ablassen; so wichtig ist er mir dann auch nicht. Per Debian Hardening HowTo wird anschließend alles vom Server entfernt, was auf einem Server nichts zu suchen hat. Außerdem werde ich mir zu Überwachung der Logs irgendein IDS-Tool heraussuchen. Irgendwelche Empfehlungen? So... Was haltet Ihr davon? Was habe ich vergessen? Was sollte ich lieber nicht oder lieber anders machen? Ich möchte zum Schluss noch anfügen, dass ich prinzipiell genug Rechner bei mir zu hause zur Verfügung habe (wenn z.T. auch ältere). Ich würde aber sehr ungern mehr als einen laufen lassen, wegen der Stromkosten (die Workstation und die Aquarien laufen schließlich auch noch ;)). Bis dann erstmal, -- Best regards... Ace Dahlmann
